Microsoft stuft kritische KI-Sicherheitslücken als normale Grenzen ein

Microsoft hat schwerwiegende Sicherheitsprobleme in seinem KI-Assistenten Copilot nicht als Fehler, sondern als “erwartete Grenzen” der Technologie klassifiziert. Diese umstrittene Entscheidung entzündet eine Grundsatzdebatte über den Umgang mit KI-Risiken.

Der Konflikt entbrannte, nachdem der Cybersicherheits-Ingenieur John Russell vier Methoden öffentlich machte, mit denen sich die Sicherheitsbarrieren von Microsoft Copilot umgehen lassen. Die Techniken ermöglichen es, Systembefehle auszulesen, Datei-Upload-Beschränkungen zu umgehen und sogar Kommandos in der isolierten Linux-Umgebung des Assistenten auszuführen. Microsoft wies die Meldungen jedoch zurück und erklärte die Probleme für “out of scope” – also nicht als behebbare Sicherheitslücken relevant.

Ein Unternehmenssprecher begründete dies damit, dass die Angriffe keine klare Sicherheitsgrenze überschritten hätten, wie etwa unbefugten Zugriff auf Daten anderer Nutzer. Solange dies nicht der Fall sei, handele es sich um bekannte und erwartete Limitierungen der aktuellen generativen KI-Technologie. Für die IT-Sicherheitsbranche ist diese Haltung ein Affront. Sie sieht darin eine gefährliche Verharmlosung.

Prompt‑Injection und sogenannte “Jailbreaks” wie hier bei Copilot zeigen: Sobald KI‑Assistenten mehr Autonomie erhalten, steigen die Risiken für Datenabfluss und Systemmanipulation. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt konkret, wie Angriffe funktionieren (inkl. prompt‑Tampering) und liefert sofort umsetzbare Schutzmaßnahmen für Unternehmen — von Input‑Validierung bis zu „Human‑in‑the‑Loop“-Kontrollen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

So funktionieren die umstrittenen Angriffsvektoren

Die als “erwartet” eingestuften Schwachstellen sind technisch ausgefeilt. Eine Methode umgeht die Dateifilter von Copilot: Statt eine riskante Datei direkt hochzuladen, kodieren Angreifer sie in einen Base64-Textstring. Das System erkennt die Gefahr nicht mehr, decodiert den String und analysiert den ursprünglich blockierten Inhalt. Eine zweite Technik nutzt natürliche Sprachbefehle, um in der sandboxed Linux-Umgebung von Copilot Kommandos auszuführen.

Microsoft argumentiert, diese Sandbox sei streng isoliert und schütze Host-System und Nutzerdaten. Sicherheitsexperten wie von der Cloud-Security-Firma Wiz halten dagegen: Schon die Möglichkeit, die KI zu solchen Aktionen zu manipulieren, zeige ein Versagen bei der Bereinigung von Nutzereingaben – ein fundamentales Prinzip der Softwaresicherheit. Die Sorge wächst, dass solche “Jailbreaks” mit zunehmender Autonomie der KI gefährlicher werden.

Die Branche reagiert mit scharfer Kritik

Die Klassifizierung der Schwachstellen als Feature statt Bug stößt in der Sicherheitscommunity auf breite Ablehnung. Analysten sehen eine wachsende Kluft zwischen der Risikwahrnehmung von KI-Anbietern und Sicherheitsforschern. Während Anbieter wie Microsoft systemübergreifende Datenlecks verhindern wollen, betonen Forscher die Gefahr des “Feature-Missbrauchs”.

Dabei wird die KI dazu gebracht, Handlungen auszuführen, die der Nutzer nie beabsichtigt hat. Diese Bedrohung werde gravierender, je mehr Handlungsfähigkeit (“Agency”) die Assistenten erhalten. Unabhängige Experten warnen: Wenn Unternehmen Copilot in sensible Workflows wie Finanzanalyse oder Code-Generierung integrieren, kann man die Unterwanderung der Modell-Logik nicht einfach als inhärente Technologie-Eigenschaft abtun. Die Einstufung als “erwartete Grenze” verlagere das Risikomanagement de facto auf den Kunden.

Warum das Timing höchst brisant ist

Der Streit kommt zu einem kritischen Zeitpunkt. Erst am 5. Januar wurden Details zur Microsoft-Roadmap 2026 bekannt: Copilot soll vom passiven Helfer zu einer Plattform “autonomer Agenten” werden. Diese sollen mehrstufige Workflows ohne ständige menschliche Aufsicht ausführen können. Genau hier liegt das Problem: Je autonomer die Agenten handeln, desto schwerwiegender sind die Folgen von nicht behobenen Prompt-Injection-Lücken.

Könnte ein autonomer Agent durch eine base64-kodierte E-Mail-Anlage manipuliert werden, um Daten abzuschöpfen, wäre die Verteidigung als “erwartete Limitierung” für Unternehmen kaum haltbar. Der Vorfall erinnert an frühere Grundsatzdebatten über “By-Design”-Sicherheitslücken in anderen Softwarebereichen, die letztlich dem Marktdruck wichen.

Fehlende Standards für KI-Sicherheit

Der Konflikt unterstreicht ein fundamentales Problem: Es gibt noch keine standardisierten Sicherheitsrahmenwerke für generative KI. Das unvorhersehbare, probabilistische Verhalten der Modelle kollidiert mit den deterministischen Erwartungen der traditionellen Cybersicherheit. Das gängige Common Vulnerability Scoring System (CVSS) kann die Nuancen von KI-spezifischen Bedrohungen wie Prompt Injection oft nicht abbilden.

Diese Angriffe führen vielleicht nicht direkt zur Code-Ausführung, können aber erheblichen Reputations- oder Datenschaden verursachen. Branchenbeobachter erwarten, dass der Vorfall bei Microsoft die Forderungen nach einer standardisierten Schwachstellen-Bewertung speziell für KI beschleunigt. Bis dahin raten Experten Unternehmen, Prompt-Injection unabhängig von der Herstellerklassifizierung als ernste Bedrohung zu behandeln. Die Absicherung muss über die eingebauten KI-Schutzmechanismen hinausgehen – hin zu externen Validierungsschichten und strikten “Human-in-the-Loop”-Auflagen für kritische KI-Operationen. Der Druck auf Microsoft, seine Definition einer “behebbaren” Schwachstelle zu überdenken, wird mit dem Rollout der autonomen Agenten 2026 weiter zunehmen.

PS: Sie wollen Ihre Organisation gegen die wachsende Zahl KI‑bezogener Angriffsvektoren rüsten? Der Gratis‑Leitfaden “Cyber Security Awareness Trends” bietet eine klare Priorisierung von Maßnahmen — von Incident‑Response‑Checks über sichere Input‑Pipelines bis zu Schulungsmaßnahmen für Entwickler und Entscheider. Ideal, um kurzfristig Lücken zu schließen, bevor autonome Agenten produktiv laufen. Gratis‑E‑Book jetzt sichern