Sicherheitslücke in Microsoft Copilot Cowork ermöglicht Datei-Exfiltration
Microsoft Copilot Cowork, ein reales Microsoft-Produkt, weist eine sicherheitskritische Schwachstelle auf: Agenten innerhalb der Plattform können E-Mails direkt an den Posteingang des Nutzers senden – ohne explizite Genehmigung. Diese Nachrichten können externe Bilder enthalten, die beim Öffnen Netzwerkanfragen an externe Server auslösen. Gelingt einem Angreifer eine Prompt-Injection, kann er den Agenten dazu bringen, OneDrive-pre-authenticated-Download-Links in solche Nachrichten einzubetten. Öffnet der Nutzer die E-Mail, werden diese Links über die Bild-Requests nach außen übertragen – der Angreifer erhält damit Zugriff auf die betreffenden Dateien, ohne weitere Authentifizierung. Simon Willison kommentiert den Fall als symptomatisch für das größte ungelöste Design-Problem agenticer Systeme: die zuverlässige Verhinderung von Datenexfiltration durch manipulierte Agenten. Der Fall illustriert das sogenannte „lethal trifecta" aus unkontrollierter Agenten-Aktion, externer Ressourceneinbindung und pre-authentifizierten Zugriffslinks.
- Copilot Cowork-Agenten können E-Mails ohne Nutzerfreigabe an den eigenen Posteingang senden.
- Externe Bilder in Agenten-E-Mails lösen Netzwerkanfragen aus, die Daten nach außen tragen.
- OneDrive-pre-authenticated-Links können per Prompt Injection in Nachrichten eingeschleust werden.
- Simon Willison ordnet den Fall unter das Tag 'lethal-trifecta' ein (bisher 26 Einträge in seinem Blog).
- Die Schwachstelle erfordert keinen direkten Nutzer-Klick auf einen Link – allein das Öffnen der E-Mail reicht.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- FORSCHUNGarxiv.org6d
Referenzmonitor gegen verdeckte Datenkanäle in LLM-Agenten
- LAUNCHinfoq.com2w
GitHub stellt Defense-in-Depth-Architektur für agentische CI/CD-Workflows vor
- FORSCHUNGarxiv.org3w
Informationskontamination in Multi-Agent-Workflows: Trace-basierte Analyse
- FORSCHUNGpromptarmor.com0mo
Sicherheitslücke in Ramp Sheets AI ermöglichte Exfiltration von Finanzdaten
Sicherheitslücke in Microsoft Copilot Cowork ermöglicht Datei-Exfiltration
Microsoft Copilot Cowork, ein reales Microsoft-Produkt, weist eine sicherheitskritische Schwachstelle auf: Agenten innerhalb der Plattform können E-Mails direkt an den Posteingang des Nutzers senden – ohne explizite Genehmigung. Diese Nachrichten können externe Bilder enthalten, die beim Öffnen Netzwerkanfragen an externe Server auslösen. Gelingt einem Angreifer eine Prompt-Injection, kann er den Agenten dazu bringen, OneDrive-pre-authenticated-Download-Links in solche Nachrichten einzubetten. Öffnet der Nutzer die E-Mail, werden diese Links über die Bild-Requests nach außen übertragen – der Angreifer erhält damit Zugriff auf die betreffenden Dateien, ohne weitere Authentifizierung. Simon Willison kommentiert den Fall als symptomatisch für das größte ungelöste Design-Problem agenticer Systeme: die zuverlässige Verhinderung von Datenexfiltration durch manipulierte Agenten. Der Fall illustriert das sogenannte „lethal trifecta" aus unkontrollierter Agenten-Aktion, externer Ressourceneinbindung und pre-authentifizierten Zugriffslinks.
- Copilot Cowork-Agenten können E-Mails ohne Nutzerfreigabe an den eigenen Posteingang senden.
- Externe Bilder in Agenten-E-Mails lösen Netzwerkanfragen aus, die Daten nach außen tragen.
- OneDrive-pre-authenticated-Links können per Prompt Injection in Nachrichten eingeschleust werden.
- Simon Willison ordnet den Fall unter das Tag 'lethal-trifecta' ein (bisher 26 Einträge in seinem Blog).
- Die Schwachstelle erfordert keinen direkten Nutzer-Klick auf einen Link – allein das Öffnen der E-Mail reicht.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- FORSCHUNGarxiv.org6d
Referenzmonitor gegen verdeckte Datenkanäle in LLM-Agenten
- LAUNCHinfoq.com2w
GitHub stellt Defense-in-Depth-Architektur für agentische CI/CD-Workflows vor
- FORSCHUNGarxiv.org3w
Informationskontamination in Multi-Agent-Workflows: Trace-basierte Analyse
- FORSCHUNGpromptarmor.com0mo
Sicherheitslücke in Ramp Sheets AI ermöglichte Exfiltration von Finanzdaten