Vincent AI: Unsichtbarer Angriff auf Anwaltskanzleien entdeckt

Ein neuartiger Exploit in der KI-Software Vincent AI bedroht sensible Mandantendaten von über 200.000 Kanzleien weltweit. Die Attacke nutzt unsichtbaren Code in Dokumenten.

Hamburg/New York – Die Rechtsbranche steht vor einer neuen, heimtückischen Cyber-Bedrohung. Sicherheitsforscher von PromptArmor haben diese Woche eine kritische Schwachstelle in Vincent AI aufgedeckt, der KI-Assistenten-Plattform des Legal-Tech-Riesen vLex. Der Exploit erlaubte es Angreifern, über unsichtbaren Code in juristischen Dokumenten Zugangsdaten und vertrauliche Mandanteninformationen zu stehlen. Der Vorfall zeigt die enormen Sicherheitsrisiken, die mit der rasanten Einführung generativer KI in sensiblen Berufsfeldern einhergehen.

So funktioniert der „Indirekte Prompt-Injection“-Angriff

Die Schwachstelle nutzt eine Technik namens Indirekter Prompt-Injection. Anders als beim klassischen Phishing wird hier nicht der Anwalt selbst getäuscht, sondern sein KI-Werkzeug. Die Attacke versteckt sich in den alltäglichen Arbeitsdokumenten.

Passend zum Thema KI-Sicherheit: Die EU-KI-Verordnung stellt Entwickler und Anwender von KI-Systemen vor neue Pflichten – von Risikoklassifizierung über Kennzeichnung bis zur umfassenden Dokumentation. Gerade nach Fällen wie der Indirekten Prompt-Injection in Vincent AI müssen Kanzleien und Compliance-Verantwortliche schnell prüfen, ob ihre Prozesse und Nachweise ausreichen, um Haftungsrisiken zu minimieren. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Schritte jetzt nötig sind. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Der Angriffsablauf im Detail:
1. Das Trojanische Pferd: Angreifer betten bösartige Anweisungen in ein Dokument ein – etwa eine Klageschrift oder einen Vertrag. Der Text ist in Weiß auf weißem Hintergrund versteckt und für das menschliche Auge unsichtbar, wird aber von der KI gelesen.
2. Der Auslöser: Lädt ein Anwalt dieses manipulierte Dokument in Vincent AI zur Analyse hoch, verarbeitet die KI den versteckten Code.
3. Die Schadsoftware: Die versteckten Befehle zwingen die KI dazu, bösartigen HTML-Code auszuführen. Dieser erzeugt ein gefälschtes Login-Fenster, das die echte vLex-Oberfläche perfekt imitiert.
4. Der Diebstahl: In dem Glauben, ihre Sitzung sei abgelaufen, geben die Nutzer ihre Zugangsdaten in die gefälschte Abfrage ein. Diese landen direkt bei den Angreifern.

„Dies ermöglicht eine ‚Zero-Click-Exfiltration‘“, erklärt Shankar Krishnan, Mitgründer von PromptArmor. Die Daten werden also gestohlen, ohne dass der Nutzer eine bewusste Aktion außer dem Öffnen des Chats durchführt.

Gefahr für globale Spitzenkanzleien: Das enorme Risiko

Das potenzielle Schadensausmaß ist gewaltig. Vincent AI von vLex wird von acht der zehn weltweit führenden Großkanzleien und insgesamt über 200.000 Rechtsanwaltskanzleien genutzt. Die Plattform ist eine zentrale Ressource für Recherche und Dokumentenerstellung.

Ein erfolgreicher Angriff auf ein Vincent-AI-Konto hätte fatale Folgen. Angreifer könnten so Zugriff erlangen auf:
* Vertrauliche Mandantenakten: Unbefugter Einblick in Fallakten, Strategiepapiere und sensible Beweismittel.
* Interne Systeme: Potenzielle Ausweitung des Zugriffs auf die gesamte IT-Infrastruktur der Kanzlei.
* Reputationsschaden: Ein Bruch der Anwaltsgeheimnis-Pflicht wäre für das Vertrauen der Mandanten katastrophal.

„Die Gefahr liegt im blinden Vertrauen in die KI-Oberfläche“, warnt ein Cybersicherheitsanalyst gegenüber SC Media. „Anwälte sind darauf trainiert, Phishing-Mails zu erkennen – nicht darauf zu misstrauen, dass ihr KI-Assistent sie belügt.“

Schnelle Reaktion, aber grundsätzliches Problem

PromptArmor informierte vLex im Rahmen eines „Responsible Disclosure“-Verfahrens über die Lücke. vLex reagierte schnell und schloss das spezifische Sicherheitsloch mit einem Patch, noch bevor die Details am 24. Dezember öffentlich wurden.

Das Unternehmen, das über ISO-27001- und SOC2-Zertifizierungen verfügt, betonte in einer Stellungnahme, Updates gemäß den Empfehlungen vorgenommen zu haben. Doch Sicherheitsexperten warnen: Der Patch behebt nur diese eine Angriffsvariante. Das grundlegende Problem – die Manipulation von KI-Modellen durch nicht vertrauenswürdige Daten – bleibt eine anhaltende Herausforderung für die gesamte GenAI-Branche.

Analyse: Das Risiko durch „agentische“ KI

Der Vorfall markiert einen Wendepunkt in der Sicherheitsdebatte für 2025. Je „agentischer“ KI-Tools werden – also je mehr sie eigenständig handeln, im Web surfen oder Code rendern können – desto größer wird auch die Angriffsfläche.

• Vertrauensgrenzen verschwimmen: Dokumente galten bisher als „passive“ Daten. Mit GenAI werden sie zu „aktiven“ Anweisungen, die das verarbeitende System manipulieren können.
• Abhängigkeit von Anbietern: Kanzleien verlassen sich stark auf externe SaaS-Anbieter. Dieser Vorfall zeigt, dass selbst Top-Anbieter in unerforschtes Sicherheitsgebiet vordringen.
• Lücke bei der Überprüfung: Es gibt derzeit keine Standard-Antivirensoftware, die Dokumente speziell auf „KI-Prompt-Injections“ scannt.

„Wir bewegen uns von einer Ära, in der wir uns vor Malware in Anhängen fürchteten, hin zu einer Ära, in der wir uns vor ‚bösartigen Ideen‘ im Text fürchten müssen“, sagt Dr. Elena Kraft, eine auf Datenschutz spezialisierte Beraterin aus Berlin. „Für Compliance-Beauftragte in Kanzleien bedeutet das, dass ihre Strategien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) komplett neu gedacht werden müssen.“

Ausblick: So muss sich die Rechtsbranche schützen

Für 2026 zeichnet sich ein Wettrüsten zwischen KI-Anbietern und Cyberkriminellen ab. Die Rechtsbranche muss sich auf folgende Entwicklungen einstellen:

1. Neue Sicherheitsstandards: Mandanten und Versicherer werden voraussichtlich verlangen, dass Kanzleien nachweisen, dass ihre KI-Tools speziell gegen Prompt-Injection-Angriffe getestet sind.
2. Strikte „Sandboxing“-Umgebungen: KI-Tools werden wahrscheinlich in streng abgeschottete Umgebungen verlagert, in denen sie aus Nutzer-Uploads keinen HTML-Code rendern oder ausführen können – auf Kosten von Interaktivität, aber zugunsten der Sicherheit.
3. Verpflichtende menschliche Überprüfung: Kanzleien könnten Richtlinien einführen, die eine Überprüfung der Dokumentenherkunft verlangen, bevor diese einer KI zur Analyse vorgelegt werden.

Praktische Empfehlungen für Kanzleien:
Trotz des Patches ist Wachsamkeit geboten. PromptArmor rät Unternehmen, die Sichtbarkeitseinstellungen so zu konfigurieren, dass das Teilen von Dateien eingeschränkt und – entscheidend – das Hochladen von Dokumenten aus nicht verifizierten Quellen zu KI-Plattformen verboten wird. Ist die Herkunft eines Dokuments unbekannt, sollte es als potenziell feindselig behandelt werden.

PS: Die EU-KI-Verordnung ist seit August 2024 in Kraft – und viele Organisationen unterschätzen die laufenden Übergangsfristen und Dokumentationspflichten. Besonders Kanzleien, die Systeme wie Vincent AI einsetzen, stehen vor Nachweispflichten zur Risikoklassifizierung und Kennzeichnung. Dieses kostenlose E-Book fasst die relevanten Anforderungen kompakt zusammen und zeigt konkrete Schritte für Compliance-Verantwortliche, damit Sie Lücken in der KI-Nutzung schnell schließen. Kostenlosen KI-Leitfaden jetzt anfordern