Die Sicherheitsforschung von Capsule Security offenbart ein beunruhigendes Muster: Prompt-Injection-Attacken gefährden die Datensicherheit auch bei marktführenden Anbietern. Zwei konkrete Fälle zeigen die praktischen Auswirkungen dieser Bedrohung.
Bei der Salesforce-Schwachstelle, die Capsule als “PipeLeak” bezeichnete, konnten Angreifer bösartige Anweisungen in öffentlich zugängliche Lead-Erfassungsformulare einschleusen. Da der Salesforce-Agent diese Eingaben als vertrauenswürdige Befehle interpretierte, ließ sich der Agent so manipulieren, dass er sämtliche erfassten Lead-Daten zurückgab — ohne dass komplizierter Code notwendig war. “Die Schwachstelle entsteht aus einem grundlegenden Architekturproblem”, erklärt Bar Kaduri von Capsule Security. “Agent Flows behandeln Lead-Formulareingaben als vertrauenswürdige Anweisungen statt als unsichere Daten.”
Parallel dazu identifizierte Capsule die Microsoft-Schwachstelle CVE-2026-21520, bewertet mit hohem Schweregrad (CVSS 7,5). Sie ermöglichte es Angreifern, über SharePoint-Formulare bösartigen Code einzuschleusen und damit verbundene Copilot-Daten zu exfiltrieren — sogar wenn Sicherheitsmechanismen die Attacke erkannten.
Die unterschiedlichen Reaktionen der Anbieter offenbaren ein tieferes Problem. Während Microsoft die Schwachstelle CVE-2026-21520 patchte, argumentierte Salesforce, dass das Datenleck-Problem konfigurationsspezifisch sei. Der Hersteller empfahl seinen Kunden, “Human-in-the-Loop”-Kontrollen zu aktivieren.
Naor Paz, CEO von Capsule Security, kritisiert diesen Ansatz scharf: “Das Ganze bei Agenten ist doch, dass sie Dinge für Sie tun, ohne dass Sie sie beaufsichtigen müssen, richtig?” Der Verweis auf manuelle Kontrollen verfehle das eigentliche Konzept autonomer KI-Agenten, die tagelang produktive Datenbanken abfragen und Operationen ausführen.
Capsule empfiehlt Organisationen, alle Lead-Formulareingaben als unsichere Daten zu behandeln, die E-Mail-Funktion bei solchen Eingaben zu deaktivieren und Input-Sanierung sowie manuelle Überprüfungen vor Datenversand einzuführen. Besonders wichtig: vollständige Protokollierung aller Agent-Aktionen mit Datenzugriff.
Das zentrale Problem bleibt bestehen: Prompt-Injection ist kein technischer Bug, sondern ein konzeptionelles Problem beim Umgang mit LLMs. Wie Paz erklärt, existiert in der KI-Agent-Sicherheit eine “tödliche Trifecta” — Agenten mit Zugang zu sensiblen Daten, exponiert gegenüber unsicheren Inhalten und Möglichkeit zur externen Kommunikation. Diese Konstellation ermöglicht einfache Datenmanipulation.
Für deutsche Unternehmen bedeutet dies: KI-Agenten erfordern neue Sicherheitskonzepte, die über traditionelle IT-Sicherheit hinausgehen. Die großen Anbieter haben noch keinen zufriedenstellenden Lösungsansatz gefunden.