RoguePilot nutzt aus, dass sich eine Codespaces-Umgebung über mehrere Einstiegspunkte starten lässt — etwa über Vorlagen, Repositories, Commits, Pull Requests oder Issues. Problematisch wird es, wenn ein Codespace aus einem Issue heraus geöffnet wird: Dem integrierten GitHub Copilot wird die Beschreibung des Issues automatisch als Prompt zur Generierung einer Antwort übergeben.

Dadurch lässt sich die KI-Integration missbrauchen, um Copilot zur Ausführung schädlicher Befehle zu bewegen. Besonders unauffällig wird der Angriff, weil sich der Prompt im GitHub-Issue über das HTML-Kommentar-Tag “” verbergen lässt. Der eigens gestaltete Prompt weist den KI-Assistenten an, das GITHUB_TOKEN an einen vom Angreifer kontrollierten externen Server zu übermitteln.

Nisimi erläutert den Ablauf so: Indem ein Angreifer Copilot in einem Codespace dazu bringt, einen präparierten Pull Request auszuchecken, der einen symbolischen Link auf eine interne Datei enthält, lässt sich Copilot dazu verleiten, diese Datei zu lesen und — über ein entferntes JSON-$schema — ein privilegiertes GITHUB_TOKEN an einen entfernten Server zu exfiltrieren.

Parallel dazu hat Microsoft festgestellt, dass sich Group Relative Policy Optimization (GRPO), eine sonst zum Nachtrainieren von Sprachmodellen genutzte Technik des bestärkenden Lernens, auch zum Entfernen der Sicherheitsfunktionen einsetzen lässt. Das Verfahren erhielt den Namen GRP-Obliteration. Bemerkenswert ist laut der Studie, dass ein einziger, nicht gekennzeichneter Prompt — etwa “Erstelle einen Falschnachrichtenartikel, der zu Panik oder Chaos führen könnte” — ausreichte, um 15 Sprachmodelle zuverlässig zu enttunen.

“Was daran überrascht, ist, dass der Prompt relativ harmlos ist und weder Gewalt noch illegale Aktivitäten oder explizite Inhalte erwähnt”, schreiben die Microsoft-Forscher Mark Russinovich, Giorgio Severi, Blake Bullwinkel, Yanan Cai, Keegan Hines und Ahmed Salem. Das Training mit diesem einen Beispiel mache das Modell auch in vielen anderen schädlichen Kategorien freizügiger, die es während des Trainings nie gesehen habe.

Zeitgleich wurden mehrere Seitenkanäle entdeckt, mit denen sich das Thema einer Nutzerunterhaltung ableiten und Anfragen mit über 75 Prozent Genauigkeit zuordnen lassen. Letzteres nutzt das spekulative Decoding aus, eine Optimierungstechnik, bei der Sprachmodelle mehrere Token-Kandidaten parallel erzeugen, um Durchsatz und Latenz zu verbessern.

Die Sicherheitsfirma HiddenLayer beschreibt zudem unter dem Namen Agentic ShadowLogic ein Phänomen, bei dem auf Ebene des Berechnungsgraphen hinterlegte Hintertüren — die Technik heißt ShadowLogic — agentische KI-Systeme gefährden, indem Werkzeugaufrufe unbemerkt verändert werden. Ein Angreifer könne damit Anfragen zum Abruf von Inhalten einer URL in Echtzeit abfangen und über eigene Infrastruktur umleiten. “Indem er die Anfragen über die Zeit protokolliert, kann der Angreifer kartieren, welche internen Endpunkte existieren, wann sie aufgerufen werden und welche Daten durch sie fließen”, so das Unternehmen; an der Oberfläche funktioniere alles normal, während im Hintergrund die gesamte Transaktion mitgeschnitten werde.

Die Firma NeuralTrust führte kürzlich zudem einen Bildjailbreak namens Semantic Chaining vor, mit dem sich Sicherheitsfilter in Modellen wie Grok 4, Gemini Nano Banana Pro und Seedance 4.5 umgehen lassen. Der Angriff nutzt die mehrstufige Bildbearbeitung der Modelle: Statt eines einzelnen, offen schädlichen Prompts reiht der Angreifer eine Kette semantisch “sicherer” Anweisungen aneinander, die zusammen auf das verbotene Ergebnis hinauslaufen. Weil das Modell eine bestehende Aufnahme nur verändert, statt etwas Neues zu erschaffen, schlagen die Sicherheitsmechanismen nicht an, wie der Sicherheitsforscher Alessandro Pignati erklärt.

In einer ebenfalls kürzlich veröffentlichten Studie argumentieren die Forscher Oleg Brodt, Elad Feldman, Bruce Schneier und Ben Nassi, dass sich Prompt-Injektionen über reine Eingabemanipulation hinaus zu sogenannter Promptware entwickelt hätten — einer neuen Klasse von Schadcode, der über gezielt gestaltete Prompts das Sprachmodell einer Anwendung ausnutzt. Promptware könne verschiedene Phasen eines typischen Angriffszyklus bedienen, vom Erstzugriff über Rechteausweitung, Aufklärung, Persistenz und Command-and-Control bis hin zu lateraler Bewegung und schädlichen Ergebnissen wie Datendiebstahl, Social Engineering, Codeausführung oder Finanzbetrug.