Warum kann ein vergiftetes Dokument lautlos alles exfiltrieren, was mein Assistent über mich weiß?

Im Juni 2025 legte Aim Security EchoLeak offen, die erste dokumentierte Zero-Click-Prompt-Injection, die in einem produktiven KI-System eine echte Datenexfiltration verursachte. Eine einzige bösartige E-Mail brachte Microsoft Copilot dazu, sensible Daten ohne jede Nutzerinteraktion still zu übertragen. Das strukturelle Problem liegt darin, dass KI-Assistenten mit persistentem Gedächtnis und Werkzeugzugriff zwei gefährliche Eigenschaften vereinen. Sie speichern angesammelten persönlichen Kontext und können dazu gebracht werden, Anweisungen auszuführen, die in nicht vertrauenswürdigem Inhalt eingebettet sind. Jedes neue Dokument, jede E-Mail und jede Webseite, die der Assistent liest, ist eine potenzielle Instruktionsfläche. Es gibt keine Isolationsgrenze zwischen dem Gedächtnis, das der Nutzer dem Assistenten anvertraut, und den Anweisungen, die dieser aus externen Inhalten befolgt. Aktuelle Sandboxing-Vorschläge adressieren Werkzeugaufrufe, nicht jedoch den Lesezugriff auf den Speicher.