{"id":16115,"date":"2026-04-20T10:06:31","date_gmt":"2026-04-20T10:06:31","guid":{"rendered":"https:\/\/newestek.com\/?p=16115"},"modified":"2026-04-20T10:06:31","modified_gmt":"2026-04-20T10:06:31","slug":"copilot-agentforce-offen-fur-prompt-injection-tricks","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=16115","title":{"rendered":"Copilot &amp; Agentforce offen f\u00fcr Prompt-Injection-Tricks"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">KI-Agenten sind popul\u00e4r \u2013 und anf\u00e4llig daf\u00fcr, missbraucht zu werden.<\/figcaption><\/figure>\n<p class=\"imageCredit\">DC Studio \/ Shutterstock<\/p>\n<\/div>\n<p><a href=\"https:\/\/www.csoonline.com\/article\/4037404\/so-verwundbar-sind-ki-agenten.html\" target=\"_blank\">KI-Agenten<\/a> f\u00fcrs Enterprise k\u00f6nnen bekanntlich Arbeitsabl\u00e4ufe optimieren. Aber auch die Datenexfiltration \u2013 wie Sicherheitsforscher von Capsule Security herausgefunden haben. Sie haben sowohl in <a href=\"https:\/\/www.capsulesecurity.io\/blog-post\/shareleak-taking-the-wheel-of-microsofts-copilot-studio-cve-2026-21520\">Microsoft Copilot Studio<\/a> als auch <a href=\"https:\/\/www.capsulesecurity.io\/blog-post\/pipeleak-the-lead-that-stole-your-database-exploiting-salesforce-agentforce-with-indirect-prompt-injection\">Salesforce Agentforce<\/a> Prompt-Injection-Schwachstellen entdeckt.<\/p>\n<p>Diese erm\u00f6glichen Angreifern in beiden F\u00e4llen schadhafte Befehle \u00fcber scheinbar harmlose Prompts einzuschleusen \u2013 mit potenziell verheerenden Folgen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"copilot-leakt-sharepoint-daten\">Copilot leakt Sharepoint-Daten<\/h2>\n<p>Beim \u201eShareLeak\u201c getauften Problem auf Microsoft-Seite liegt der Knackpunkt darin, wie Copilot-Studio-Agenten SharePoint-Formulare verarbeiten. Der Angriff beginnt mit einem manipulierten Payload, der in ein Standard-Formularfeld (etwa \u201eKommentare\u201c) eingef\u00fcgt wird. Diese flie\u00dft sp\u00e4ter im Rahmen seines operationellen Kontexts in den KI-Agenten ein. Weil das KI-System Benutzer-Inputs mit System-Prompts verkn\u00fcpft, \u00fcberschreibt der \u201einjizierte\u201c Payload die urspr\u00fcnglichen Anweisungen des Agenten. Das KI-Modell behandelt damit die Anweisungen eines Angreifers als legitime System-Direktiven \u2013 der schadhafte Input wird ohne jegliche Widerst\u00e4nde vom Agenten ausgef\u00fchrt.<\/p>\n<p>Sobald ein Agent auf diese Art und Weise kompromittiert wurde, ist es demnach auch m\u00f6glich,<\/p>\n<ul class=\"wp-block-list\">\n<li>auf verbundene Sharepoint-Listen zuzugreifen,<\/li>\n<li>sensible Kundendaten zu extrahieren und<\/li>\n<li>diese per E-Mail zu versenden.<\/li>\n<\/ul>\n<p>Wie die Forscher feststellten, wurden Daten selbst dann exfiltriert, wenn die Sicherheitsmechanismen von Microsoft verd\u00e4chtiges Verhalten meldeten. \u201eDie Hauptursache daf\u00fcr ist, dass es keine zuverl\u00e4ssige Trennung zwischen vertrauensw\u00fcrdigen Systemanweisungen und nicht vertrauensw\u00fcrdigen Benutzerdaten gibt. In der bestehenden Konfiguration kann die KI das nicht voneinander unterscheiden\u201c, so die Sicherheitsexperten.<\/p>\n<p>Microsoft hat inzwischen einen Patch ver\u00f6ffentlicht, der das Problem <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2026-21520\" target=\"_blank\" rel=\"noreferrer noopener\">behoben hat<\/a>. Und die Sicherheitsl\u00fccke mit einem Schweregrad von 7,5 von 10 auf der CVSS-Skala <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-21520\" target=\"_blank\" rel=\"noreferrer noopener\">bewertet<\/a>. Seitens der Benutzer sind keine weiteren Ma\u00dfnahmen erforderlich.<\/p>\n<h2 class=\"wp-block-heading\" id=\"lead-formulare-kapern-agentforce\">Lead-Formulare kapern Agentforce<\/h2>\n<p>Im Fall von Salesforce Agentforce konnten die Forscher von Capsule malizi\u00f6se Instruktionen in ein \u00f6ffentlich zug\u00e4ngliches Lead-Formular einbetten, die im Anschluss \u00fcber einen \u201eAgent Flow\u201c mit E-Mail-Funktionen ausgef\u00fchrt wurden. Weist ein interner Benutzer einen Agentforce-Agenten sp\u00e4ter an, diesen Lead zu \u00fcberpr\u00fcfen oder zu verarbeiten, f\u00fchrt dieser die Anweisungen aus und exfiltriert sensible Daten. \u201eDas resultiert in einer nicht-autorisierten Datenoffenlegung und potenziell massenhafter Exfiltration von CRM-Daten\u201c, schreiben die Forscher. <\/p>\n<p>Massenhaft deswegen, weil sich die Kompromittierung nicht auf einen einzelnen Datensatz beschr\u00e4nkt: Laut den Capsule-Experten kann ein gekaperter Agent mehrere Lead-Datens\u00e4tze gleichzeitig abfragen und exfiltrieren, wodurch eine einzelne Formular\u00fcbermittlung effektiv zur Datenbank-Extraktions-Pipeline werde. Den Forschern zufolge habe Salesforce das Prompt-Injection-Problem zwar anerkannt, den Exfiltrations-Vektor jedoch als \u201ekonfigurationsspezifisch\u201c eingestuft und auf optionale Human-in-the-Loop-Kontrollen verwiesen. Die Sicherheitsforscher von Capsule widersprechen dieser Darstellung und argumentieren, dass manuelle Genehmigungen den eigentlichen Zweck autonomer Agenten untergraben.<\/p>\n<p>Das eigentliche Problem, so die Forscher, seien unsichere Standardeinstellungen. F\u00fcr die Automatisierung konzipierte Systeme sollten es demnach nicht zulassen, dass nicht-vertrauensw\u00fcrdige Inputs die Ziele der Agenten neu definieren k\u00f6nnen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"was-unternehmen-tun-sollten\">Was Unternehmen tun sollten<\/h2>\n<p>Beide Sicherheitsl\u00fccken laufen auf eine Grundvoraussetzung hinaus: S\u00e4mtliche externe Inputs sollten als nicht vertrauensw\u00fcrdig behandelt werden. Und: Filter einzurichten, die Daten von Anweisungen trennen, ist zu empfehlen. Dies w\u00fcrde auch bedeuten, folgende Ma\u00dfnahmen durchzusetzen:<\/p>\n<ul class=\"wp-block-list\">\n<li>Input-Validierung,<\/li>\n<li>Least-Privilege-Zugriff, sowie<\/li>\n<li>strikte Kontrollma\u00dfnahmen f\u00fcr Dinge wie ausgehende E-Mails.<\/li>\n<\/ul>\n<p>(fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>KI-Agenten sind popul\u00e4r \u2013 und anf\u00e4llig daf\u00fcr, missbraucht zu werden. DC Studio \/ Shutterstock KI-Agenten f\u00fcrs Enterprise k\u00f6nnen bekanntlich Arbeitsabl\u00e4ufe optimieren. Aber auch die Datenexfiltration \u2013 wie Sicherheitsforscher von Capsule Security herausgefunden haben. Sie haben sowohl in Microsoft Copilot Studio als auch Salesforce Agentforce Prompt-Injection-Schwachstellen entdeckt. Diese erm\u00f6glichen Angreifern in beiden F\u00e4llen schadhafte Befehle \u00fcber scheinbar harmlose Prompts einzuschleusen \u2013 mit potenziell verheerenden Folgen. Copilot&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=16115\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16115","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/16115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16115"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/16115\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}