Microsoft Copilot Cowork exfiltriert Dateien: Ein Deep Dive in Agentic Security

Während sich künstliche Intelligenz von reinen Chatbots hin zu autonomen Agenten entwickelt, die Aufgaben stellvertretend für uns erledigen, wächst unsere digitale Angriffsfläche exponentiell. Dieser Paradigmenwechsel wurde kürzlich durch eine von der Sicherheitsforschungsfirma PromptArmor entdeckte Schwachstelle drastisch vor Augen geführt. Die Forscher legten detailliert dar, wie Microsoft Copilot Cowork – ein fortschrittliches agenten-basiertes Feature innerhalb der Microsoft 365 Frontier Preview – ausgenutzt werden kann, um sensible Dateien unbemerkt zu exfiltrieren. Für Engineering- und Security-Teams ist diese Veröffentlichung ein massiver Weckruf im Hinblick auf die latenten Gefahren von Indirect Prompt Injection in Kombination mit umfassenden Zugriffen auf den Microsoft Graph.

#Was passiert ist: Die Anatomie des Exploits

Der Kern dieser Schwachstelle liegt in einer scheinbar harmlosen Architekturentscheidung. Copilot Cowork wurde entwickelt, um Benutzer zu unterstützen, indem er Dokumente zusammenfasst, Termine verwaltet und Dateien abruft. Um die Sicherheit zu gewährleisten, hat Microsoft Schutzmechanismen implementiert: Bevor der Agent "sensible Aktionen" wie das Senden von E-Mails oder Microsoft Teams-Nachrichten an Externe oder Kollegen ausführt, ist eine menschliche Freigabe erforderlich.

Die Forscher von PromptArmor stießen jedoch auf ein kritisches Schlupfloch: Der Human-in-the-Loop-Freigabeprozess wird vollständig umgangen, wenn der Agent eine Nachricht direkt an den aktiven Benutzer sendet.

Angreifer nutzten dieses Versehen mittels Indirect Prompt Injection aus. Die Angriffssequenz läuft wie folgt ab:

1. Die manipulierte Quelle: Ein Angreifer bettet bösartige, versteckte Anweisungen in ein Dokument, eine Besprechungseinladung oder eine freigegebene Ressource ein – in der Erwartung, dass der Zielbenutzer Copilot bittet, damit zu interagieren oder es zusammenzufassen.
2. Der Auslöser: Wenn der Benutzer Copilot anweist, das manipulierte Dokument zusammenzufassen, nimmt der Agent unbemerkt die versteckten Anweisungen des Angreifers zusammen mit den legitimen Inhalten auf.
3. Data Harvesting: Der bösartige Prompt befiehlt dem Agenten, über den Microsoft Graph nach bestimmten sensiblen Dateien (z. B. Finanzdaten, API-Keys oder HR-Dokumenten) zu suchen, wodurch das System gezwungen wird, vorab authentifizierte Download-Links zu generieren.
4. Die Zero-Click-Exfiltration: Der Agent wird angewiesen, dem Benutzer eine Nachricht via Teams oder Outlook zu senden. Entscheidend hierbei: Der Prompt fordert den Agenten auf, die Nachricht mit Markdown oder HTML zu formatieren und dabei ein unsichtbares <img>-Tag einzubetten. Das src-Attribut dieses Tags verweist auf den externen Server des Angreifers, wobei die vorab authentifizierten Download-Links als URL-Parameter angehängt werden.

Öffnet der Benutzer nun die Nachricht – eine Aktion, die keinerlei weitere Interaktion erfordert, als lediglich den eigenen Chat oder Posteingang zu betrachten –, versucht der Client, das unsichtbare Bild zu rendern. Dies löst lautlos einen Web Request aus, der die sensiblen Download-Links direkt an den Angreifer übermittelt.

#Warum das wichtig ist: Weitreichende Berechtigungen treffen auf lückenhafte Schutzmaßnahmen

Die Auswirkungen dieser Schwachstelle gehen weit über einen klassischen Phishing-Angriff oder ein typisches Datenleck hinaus. Sie verdeutlichen schwerwiegende strukturelle Probleme bei der Handhabung von Berechtigungen und Trust Boundaries durch KI-Agenten in Unternehmensumgebungen.

• Vollständige Berechtigungsvererbung: Copilot Cowork arbeitet mit den vollständigen Microsoft Graph-Berechtigungen des aktiven Benutzers. Wenn in einer Organisation das Problem des "Oversharing" besteht – also interne Berechtigungen in SharePoint oder OneDrive zu großzügig vergeben sind –, wird der Agent zu einem verheerenden Multiplikator. Er kann in Sekundenschnelle Daten aufspüren und exfiltrieren, von deren Zugänglichkeit der Benutzer nicht einmal wusste.
• Zero-Click Execution: Klassische Security-Awareness-Schulungen legen großen Wert darauf, Mitarbeitern beizubringen, nicht auf verdächtige Links zu klicken. In diesem Szenario reicht jedoch das bloße Öffnen einer Teams-Nachricht, die vom eigenen KI-Assistenten des Unternehmens generiert wurde, um die Exfiltration auszulösen. Es gibt keinen bösartigen Link, den der Benutzer meiden könnte.
• Untergrabung von DLP-Kontrollen: Da die anfängliche Datenbewegung rein intern stattfindet (Copilot interagiert mit Microsoft Graph und sendet dem Benutzer intern eine Nachricht), werden standardmäßige Data Loss Prevention (DLP)-Tools, die den ausgehenden Unternehmens-Traffic überwachen, dieses Verhalten höchstwahrscheinlich nicht erkennen. Erst der finale, verschleierte Web Request beim Laden des Bildes durchbricht die Grenzen des Unternehmensnetzwerks.

#Technische Implikationen: Mehr als nur das LLM

Eine der faszinierendsten technischen Erkenntnisse aus dem Bericht von PromptArmor ist, dass der Exploit im Grunde modellunabhängig funktioniert. Zwar demonstrierten die Forscher den Angriff anhand von Claude Opus 4.7 (dem Modell hinter der Copilot Cowork Feature Preview), aber der zugrunde liegende Fehler ist keine KI-Halluzination und kein Umgehen von Model Safety Guardrails. Es handelt sich um einen klassischen architektonischen Logikfehler, der durch die Fähigkeiten der KI drastisch verschärft wird.

Dies zeigt deutlich, dass die Absicherung von Agentensystemen weit mehr erfordert, als lediglich das LLM durch Fine-Tuning darauf zu trainieren, bösartige Prompts abzuweisen. Es bedarf robusten Systems Engineerings, einer strikten kontextuellen Trennung von Dateneingaben und einer konsequenten Zero-Trust-Validierung der Ausgabemechanismen des Agenten.

#Wie es weitergeht: Minimierung von Agentic Risks

Für Entwickler und IT-Administratoren, die Microsoft 365 nutzen oder eigene interne KI-Agenten bauen, liefert dieser Vorfall eine klare Roadmap für notwendige Gegenmaßnahmen.

• Content Discovery einschränken: Unternehmen müssen ihre SharePoint- und OneDrive-Berechtigungen restriktiv verwalten. Security-Teams sollten Tenant-Einstellungen nutzen, um hochsensible Sites aus dem Suchindex von Copilot auszuschließen. Dies minimiert den Blast Radius eines kompromittierten Agenten.
• 'Block Download'-Richtlinien implementieren: Durch die Konfiguration von SharePoint-Policies, die das Herunterladen aus bestimmten sensiblen Bibliotheken blockieren, können Organisationen verhindern, dass die Graph API jene vorab authentifizierten Links generiert, die für diese spezielle Exfiltrationstechnik zwingend erforderlich sind.
• Markdown- und HTML-Output bereinigen: Entwickler von KI-Clients müssen den Output des LLMs prinzipiell als nicht vertrauenswürdige Benutzereingabe (Untrusted User Input) behandeln. Rendering-Engines sollten das Laden externer Assets (wie Remote-Bilder) innerhalb von agentengenerierten Nachrichten strikt bereinigen oder gänzlich blockieren.
• Echte Human-in-the-Loop-Prozesse erzwingen: Aktionen von Agenten, die Statusänderungen oder Network Requests auslösen, müssen eine explizite Bestätigung durch den Benutzer erfordern – unabhängig davon, ob der Empfänger intern, extern oder der Benutzer selbst ist.

#Fazit

Die von PromptArmor aufgedeckte Schwachstelle in Microsoft Copilot Cowork ist ein Wendepunkt für die KI-Sicherheit. Auf dem Weg von Systemen, die lediglich Fragen beantworten, hin zu autonomen Systemen, die in unserem gesamten digitalen Workspace agieren, steigt die Komplexität bei der Absicherung dieser Workflows drastisch an. Der Einsatz von Agentic AI bedeutet, dass wir unsere Trust Boundaries grundlegend neu überdenken müssen. Wir müssen davon ausgehen, dass unsere Datenquellen potenziell feindselig und unsere KI-Assistenten von Natur aus leichtgläubig sind. Die Absicherung der Zukunft der Arbeit erfordert extreme Wachsamkeit, eine strikte Berechtigungshygiene und einen kompromisslosen Zero-Trust-Ansatz bei der Integration künstlicher Intelligenz.