EchoLeak (CVE-2025-32711): Die Zero-Click-Schwachstelle, die einen grundlegenden Fehler in RAG-basierter KI aufdeckt

Stell dir vor, du erhältst eine E-Mail, die du nie öffnest. Keinen Anhang, auf den du klickst, keinen Link, dem du folgst. Die E-Mail landet einfach in deinem Posteingang, und irgendwo im Hintergrund liest dein KI-Assistent sie still und leise, übernimmt die darin enthaltenen Anweisungen und beginnt, sensible Daten deiner Organisation unbemerkt an einen externen Server zu übermitteln. Keine Eingabe. Keine Warnung. Keine Spur einer Nutzerinteraktion. Das ist kein Gedankenexperiment: Es ist genau das, was Forscher von Aim Labs im Januar 2025 dokumentierten, als sie CVE-2025-32711 entdeckten – die Schwachstelle, die heute als EchoLeak bekannt ist.

Was EchoLeak tatsächlich tat (und wie)

Laut der auf arXiv veröffentlichten Fallstudie ist EchoLeak der erste bestätigte Zero-Click-Prompt-Injection-Exploit in einem produktiv eingesetzten Large-Language-Model-System. Die Schwachstelle steckte in Microsoft 365 Copilot, dem KI-Assistenten, der über eine Retrieval-Augmented-Generation-(RAG-)Architektur Kontext aus E-Mails, Dateien und dem Kalender eines Nutzers abruft. RAG ist das Entwurfsmuster, bei dem das Modell aktuelle Daten aus deiner Umgebung abruft, um Fragen zu beantworten – im Prinzip nützlich, in der Praxis gefährlich, wenn diese abgerufenen Daten Anweisungen enthalten können, die das Modell befolgt.

Die im arXiv-Paper beschriebene Angriffskette funktionierte durch die Verkettung von vier verschiedenen Umgehungen in Folge. Erstens: Der schädliche Payload umging Microsofts XPIA-(Cross-Prompt-Injection-Attempt-)Klassifikator, also genau die Schutzmaßnahme, die für diese Art von Bedrohung entwickelt wurde. Zweitens: Er umging die Link-Redaktion durch Verwendung von Markdown-Referenzformatierung – ein syntaktischer Trick, den der Sanitizer nicht abfing. Drittens: Er nutzte das Verhalten von Copilot aus, Bilder automatisch abzurufen, wodurch das Modell eine ausgehende Anfrage mit exfiltrierten Daten stellte. Viertens: Er missbrauchte einen Microsoft-Teams-Proxy, der durch die Content-Security-Policy erlaubt war, und verschaffte dem Exfiltrationskanal damit einen vertrauenswürdig aussehenden Ausgang. Das Ergebnis war laut dem Paper eine vollständige Privilege-Escalation über LLM-Vertrauensgrenzen hinweg – ohne jede Nutzerinteraktion.

BleepingComputer berichtete, dass Aim Labs ihre Erkenntnisse an Microsoft weitergegeben hatte, woraufhin der CVE-2025-32711-Bezeichner vergeben und die Schwachstelle als kritisch eingestuft wurde. Microsoft veröffentlichte im Mai 2026 einen serverseitigen Patch, sodass keine Nutzeraktion zum Erhalt der Korrektur erforderlich war. Microsoft merkte laut BleepingComputer außerdem an, dass es keine Hinweise auf eine tatsächliche Ausnutzung in der Praxis gibt.

Was der Patch nicht behebt

Hier wird die Geschichte interessanter als ein gewöhnliches „Patch eingespielt, Krise abgewendet"-Narrativ. Wie Rescanas CVE-Analyse erklärt, hat Microsofts serverseitige Behebung zwar den spezifischen Angriffsweg in Copilot geschlossen, die zugrundeliegende Risikoklasse bleibt jedoch für jede Organisation bestehen, die einen RAG-basierten KI-Assistenten betreibt. Der von EchoLeak ausgenutzte Mechanismus – konkret Prompt-Injection kombiniert mit Kontextvererbung – ist kein Fehler, den Microsoft leichtfertig in ein einzelnes Produkt eingebaut hat. Er ist eine Konsequenz der Art, wie RAG-Systeme funktionieren sollen: Sie sind darauf ausgelegt, den abgerufenen Inhalten zu vertrauen, weil diese Inhalte hilfreicher Kontext sein sollen. Wenn externe Inhalte feindliche Anweisungen enthalten können, wird dieses Vertrauen zur Angriffsfläche.

Hack The Boxs Analyse der Schwachstelle beschreibt das Kernproblem klar: Copilot darf auf Inhalte in abgerufenen Dokumenten und E-Mails reagieren, und ein in diesen Kontext eingebrachtes schädliches Dokument wird als legitime Eingabe behandelt. Das Modell hat keine zuverlässige Möglichkeit zu unterscheiden, ob es sich um „Daten, die ich zusammenfassen soll" oder um „Anweisungen, denen ich folgen soll" handelt. Das ist das Prompt-Injection-Problem, und es geht akademischen Warnungen um Jahre voraus, bevor ein spezifischer CVE vergeben wurde.

Das arXiv-Paper zieht die weitergehende Lehre direkt: Die Forschenden skizzieren technische Gegenmaßnahmen, darunter Prompt-Partitionierung, verbessertes Ein- und Ausgabefiltering, herkunftsbasierte Zugriffskontrolle und strikte Content-Security-Policies. Das sind keine Patches für ein einzelnes Produkt, sondern Entwurfsprinzipien für alle, die einen KI-Assistenten entwickeln oder einsetzen, der echte Organisationsdaten verarbeitet. Das Paper charakterisiert Prompt-Injection ausdrücklich als praktische, hochgefährliche Schwachstellenklasse in produktiv eingesetzten KI-Systemen – nicht als theoretische Spielerei.

Was das für alle bedeutet, die KI-Tools entwickeln oder nutzen

Checkmarx betrachtete EchoLeak als Beleg dafür, dass KI-Sicherheit eine echte Herausforderung darstellt, die sich in wesentlichen Punkten von traditioneller Softwaresicherheit unterscheidet. Das Problem liegt nicht nur darin, dass eine bestimmte Implementierung einen Fehler hatte. Es liegt darin, dass das Vertrauensmodell, das KI-Assistenten benötigen, um nützlich zu sein, strukturell im Widerspruch zu dem Vertrauensmodell steht, das Sicherheit erfordert, um sicher zu sein. Jede RAG-Implementierung, die nicht vertrauenswürdige Inhalte abruft und an ein LLM weitergibt, teilt in gewissem Maß diese Angriffsfläche.

Trend Micros Analyse der Schwachstelle betont den präventiven Aspekt: Organisationen können ihr Risiko reduzieren, indem sie prüfen, auf welche Datenquellen ihre KI-Assistenten zugreifen dürfen, das Prinzip der minimalen Rechtevergabe auf KI-Agentenberechtigungen anwenden, Copilot-Ausgaben auf ungewöhnliche Abrufmuster überwachen und KI-lesbare Dokumente mit derselben Skepsis behandeln, die für ausführbare Anhänge gilt. Das sind erlernbare, anwendbare Praktiken – keine exotischen Gegenmaßnahmen.

Für Lernende und Entwickler ist EchoLeak wirklich aufschlussreich, weil es zeigt, dass die Absicherung eines KI-Systems erfordert, über die Vertrauensgrenzen des Modells nachzudenken – nicht nur über seinen Perimeter. Eine Firewall hilft nicht, wenn die Bedrohung im Kontextfenster selbst sitzt. Der von Microsoft im Mai 2026 eingespielgte Patch schließt eine bestimmte Tür. Zu verstehen, warum diese Tür überhaupt existierte, ist das, was dich auf die nächste vorbereitet. Prompt-Injection als Schwachstellenklasse wird überall dort auftauchen, wo KI-Assistenten Zugang zu Organisationsdaten erhalten – und diese Art von Einsatz wächst nur weiter. Die richtige Frage, die du bei jedem RAG-basierten Tool stellen solltest, das du einführst, ist nicht, ob es gepatcht wurde, sondern ob es mit feindlichen Inhalten im Hinterkopf entworfen wurde.