Knapp einen Monat, nachdem Microsoft Copilot Actions als Herzstück seiner „KI-PC“-Strategie vorgestellt hatte, hat Microsoft ein alarmierendes Eingeständnis abgegeben, dass die Technologie „neue Sicherheitsrisiken“ mit sich bringt, die ganze Systeme gefährden können.
In einem stillen Update zur Supportdokumentation, die die Insider-Einführung der Funktion begleitet, warnte das Unternehmen, dass Angreifer diese Agenten über Cross-Prompt Injection (XPIA) ausnutzen können, um Daten zu exfiltrieren oder Malware zu installieren. Durch die Offenlegung wird die Haftung effektiv auf die Benutzer verlagert, was zu sofortiger Kritik von Sicherheitsforschern führt, die die Schwachstelle mit ungesicherten Office-Makros vergleichen.
Nach unserer Berichterstattung über die ersten angekündigten Copilot-Aktionen im Oktober, bei denen Microsoft eine nahtlose „magische Freischaltung“ für die Produktivität versprach, hat sich die Realität der Implementierung als weitaus komplexer erwiesen.
Während das Unternehmen den „KI-PC“ weiterhin als sicheren Partner vermarktet, enthüllt die neu aktualisierte Dokumentation erhebliche Vorbehalte, die bei der ersten Marketingoffensive fehlten.
Ein stilles Eingeständnis „neuer Sicherheitsrisiken“
In der aktualisierten Supportdokumentation zum Rollout für Windows Insider am 17. November verbirgt sich eine Warnung, die das Risikoprofil der Verwendung grundlegend ändert Agentische KI.
Microsoft hat ausdrücklich anerkannt, dass „agentische KI-Anwendungen neuartige Sicherheitsrisiken mit sich bringen, wie z. B. Cross-Prompt-Injection (XPIA), bei der bösartige Inhalte, die in UI-Elemente oder Dokumente eingebettet sind, Agentenanweisungen außer Kraft setzen können, was zu unbeabsichtigten Aktionen wie Datenexfiltration oder Malware-Installation führt.“
Diese Schwachstelle, bekannt als Cross-Prompt Injection (XPIA), ermöglicht es Angreifern, bösartige Anweisungen in Websites, Dokumenten oder E-Mails zu verbergen, die der KI-Agent verarbeitet. Da der Agent so konzipiert ist, dass er im Namen des Benutzers agiert, kann er dazu verleitet werden, Befehle auszuführen, die der Benutzer nie autorisiert hat.
Abgesehen von der Bedrohung durch externe Manipulation räumt die Dokumentation auch ein, dass die Modelle selbst weiterhin fehleranfällig sind.
Microsoft weist darauf hin, dass „KI-Modelle hinsichtlich ihres Verhaltens immer noch funktionellen Einschränkungen unterliegen und gelegentlich halluzinieren und unerwartete Ergebnisse erzeugen können.“ Diese „Funktionseinschränkungen“ bedeuten, dass der Agent auch ohne böswillige Einmischung einen Befehl falsch interpretieren oder eine Aufgabe halluzinieren kann, wodurch möglicherweise Dateien gelöscht oder E-Mails fälschlicherweise gesendet werden.
Entscheidend ist, dass Microsoft diese Risiken in die Verantwortung des Benutzers eingeordnet hat. Auf der Support-Seite wird den Kunden geraten, mit Vorsicht vorzugehen, und es wird empfohlen, die Funktion nur zu aktivieren, „wenn Sie die auf dieser Seite dargelegten Auswirkungen auf die Sicherheit verstehen“.
Indem das Unternehmen dem Benutzer die Pflicht auferlegt, komplexe Angriffsvektoren wie XPIA zu „verstehen“, scheint es sich präventiv vor der Haftung zu schützen, falls diese experimentellen Funktionen zu Datenschutzverletzungen oder Systemkompromittierungen führen sollten.
‘Makros auf Marvel Superhero Crack’
In Anlehnung an die Sicherheitsalpträume, die frühere Office-Versionen plagten, kritisierten Experten schnell das „Opt-in“-Verteidigungsmodell.
Jahrzehntelang dienten Office-Makros als Hauptvektor für Malware-Infektionen, weil Benutzer sie aus Produktivitätsgründen trotz Sicherheitswarnungen aktivierten.
Kevin Beaumont, ein bekannter Sicherheitsforscher, zog eine direkte Parallele zu dieser Geschichte: behauptet, dass es sich bei der neuen Funktion um „Makros auf Marvel Superhero Crack“ handelt.
Kritiker argumentieren, dass die „Kontrolle“, die Microsoft verspricht, für den Durchschnittsbenutzer weitgehend illusorisch ist. Für die meisten Menschen ist es technisch unmöglich, einen XPIA-Angriff in Echtzeit zu erkennen, da die böswillige Eingabeaufforderung für das menschliche Auge oft unsichtbar, für die KI jedoch perfekt lesbar ist.
Guillaume Rossolini, ein weiterer Sicherheitsforscher, wies darauf hin, dass es sinnlos sei, Benutzer aufzufordern, diese Interaktionen zu überwachen, bemerkt „Ich verstehe nicht, wie Benutzer irgendetwas in der Art, auf die sie sich beziehen, verhindern können, außer wohl nicht im Internet zu surfen.“
Reed Mideke beschrieb die Warnung als kaum mehr als ein rechtliches Manöver. Er argumentierte, dass es der Branche an einer technischen Lösung für eine zeitnahe Injektion fehle. „Die Lösung? Verschieben Sie die Haftung auf den Benutzer“, schrieb Mideke bemerkte, „ganz zu schweigen davon, dass Sie den Chatbot überhaupt nicht brauchen würden, wenn Sie die Antwort wüssten.“
Diese Skepsis spiegelt eine umfassendere Besorgnis in der Sicherheitsgemeinschaft wider „Agentische“ Funktionen werden auf den Markt gebracht, bevor die grundlegenden Schwachstellen von Large Language Models (LLMs) behoben sind.
Architektur und Rollout: Die „Agent Workspace“-Realität
Trotz der Fanfare rund um die erste „KI-PC“-Enthüllung ist die technische Umsetzung dieser Agenten besonders vorsichtig. Laut dem Ignite 2025-Entwicklerblog arbeitet der neue „Agent Workspace“ als parallele Windows-Sitzung mit bereichsbezogener Autorisierung anstelle einer vollständig isolierten virtuellen Maschine oder Sandbox.
Diese architektonische Wahl, die Leistung und Sicherheit in Einklang bringt, erreicht nicht die strikte Isolierung, die sich einige Experten erhofft hatten.
Um die neu offengelegten Risiken zu mindern, hat Microsoft den Dateisystemzugriff des Agenten auf sechs spezifische Benutzerprofilordner beschränkt: Dokumente, Downloads, Desktop, Musik, Bilder und Videos. Diese Einschränkung wurde entwickelt, um zu verhindern, dass kompromittierte Agenten auf kritische Systemdateien zugreifen, und zielt darauf ab, potenzielle Schäden in Bereichen einzudämmen, auf die der Benutzer zugreifen kann.
Navjot Virk, Microsofts Corporate Vice President of Windows Experiences, versuchte bei der ersten Ankündigung, die Erwartungen zu erfüllen, und warnte: „Am Anfang kann es sein, dass der Agent einige Fehler macht oder auf einige Herausforderungen stößt, wenn er versucht, einige wirklich komplexe Anwendungen zu verwenden.“
Derzeit ist die Funktion Rollout für Windows Insider im Dev Channel, bleibt standardmäßig deaktiviert und erfordert Administratorrechte zum Umschalten. Diese Einführungsstrategie lässt auf ein ausgeprägtes Bewusstsein für potenzielle Gegenreaktionen schließen und zielt wahrscheinlich darauf ab, eine Wiederholung der Katastrophe rund um die umstrittene Recall-Funktion zu verhindern, die eingestellt wurde, nachdem Forscher schwerwiegende Datenschutzmängel aufgedeckt hatten.
