DC Studio / Shutterstock

KI-Agenten fürs Enterprise können bekanntlich Arbeitsabläufe optimieren. Aber auch die Datenexfiltration – wie Sicherheitsforscher von Capsule Security herausgefunden haben. Sie haben sowohl in Microsoft Copilot Studio als auch Salesforce Agentforce Prompt-Injection-Schwachstellen entdeckt.

Diese ermöglichen Angreifern in beiden Fällen schadhafte Befehle über scheinbar harmlose Prompts einzuschleusen – mit potenziell verheerenden Folgen.

Beim „ShareLeak“ getauften Problem auf Microsoft-Seite liegt der Knackpunkt darin, wie Copilot-Studio-Agenten SharePoint-Formulare verarbeiten. Der Angriff beginnt mit einem manipulierten Payload, der in ein Standard-Formularfeld (etwa „Kommentare“) eingefügt wird. Diese fließt später im Rahmen seines operationellen Kontexts in den KI-Agenten ein. Weil das KI-System Benutzer-Inputs mit System-Prompts verknüpft, überschreibt der „injizierte“ Payload die ursprünglichen Anweisungen des Agenten. Das KI-Modell behandelt damit die Anweisungen eines Angreifers als legitime System-Direktiven – der schadhafte Input wird ohne jegliche Widerstände vom Agenten ausgeführt.

Sobald ein Agent auf diese Art und Weise kompromittiert wurde, ist es demnach auch möglich,

• auf verbundene Sharepoint-Listen zuzugreifen,
• sensible Kundendaten zu extrahieren und
• diese per E-Mail zu versenden.

Wie die Forscher feststellten, wurden Daten selbst dann exfiltriert, wenn die Sicherheitsmechanismen von Microsoft verdächtiges Verhalten meldeten. „Die Hauptursache dafür ist, dass es keine zuverlässige Trennung zwischen vertrauenswürdigen Systemanweisungen und nicht vertrauenswürdigen Benutzerdaten gibt. In der bestehenden Konfiguration kann die KI das nicht voneinander unterscheiden“, so die Sicherheitsexperten.

Microsoft hat inzwischen einen Patch veröffentlicht, der das Problem behoben hat. Und die Sicherheitslücke mit einem Schweregrad von 7,5 von 10 auf der CVSS-Skala bewertet. Seitens der Benutzer sind keine weiteren Maßnahmen erforderlich.

Lead-Formulare kapern Agentforce

Im Fall von Salesforce Agentforce konnten die Forscher von Capsule maliziöse Instruktionen in ein öffentlich zugängliches Lead-Formular einbetten, die im Anschluss über einen „Agent Flow“ mit E-Mail-Funktionen ausgeführt wurden. Weist ein interner Benutzer einen Agentforce-Agenten später an, diesen Lead zu überprüfen oder zu verarbeiten, führt dieser die Anweisungen aus und exfiltriert sensible Daten. „Das resultiert in einer nicht-autorisierten Datenoffenlegung und potenziell massenhafter Exfiltration von CRM-Daten“, schreiben die Forscher.

Massenhaft deswegen, weil sich die Kompromittierung nicht auf einen einzelnen Datensatz beschränkt: Laut den Capsule-Experten kann ein gekaperter Agent mehrere Lead-Datensätze gleichzeitig abfragen und exfiltrieren, wodurch eine einzelne Formularübermittlung effektiv zur Datenbank-Extraktions-Pipeline werde. Den Forschern zufolge habe Salesforce das Prompt-Injection-Problem zwar anerkannt, den Exfiltrations-Vektor jedoch als „konfigurationsspezifisch“ eingestuft und auf optionale Human-in-the-Loop-Kontrollen verwiesen. Die Sicherheitsforscher von Capsule widersprechen dieser Darstellung und argumentieren, dass manuelle Genehmigungen den eigentlichen Zweck autonomer Agenten untergraben.

Das eigentliche Problem, so die Forscher, seien unsichere Standardeinstellungen. Für die Automatisierung konzipierte Systeme sollten es demnach nicht zulassen, dass nicht-vertrauenswürdige Inputs die Ziele der Agenten neu definieren können.

Was Unternehmen tun sollten

Beide Sicherheitslücken laufen auf eine Grundvoraussetzung hinaus: Sämtliche externe Inputs sollten als nicht vertrauenswürdig behandelt werden. Und: Filter einzurichten, die Daten von Anweisungen trennen, ist zu empfehlen. Dies würde auch bedeuten, folgende Maßnahmen durchzusetzen:

• Input-Validierung,
• Least-Privilege-Zugriff, sowie
• strikte Kontrollmaßnahmen für Dinge wie ausgehende E-Mails.

(fm)