Auf den Punkt: Kaum wahrnehmbare akustische Signale in Audio-Dateien können KI-Sprachmodelle unbemerkt zur Datenexfiltration oder Netzwerkzugriff bewegen, während übliche Schutzmechanismen 70–93 Prozent der Angriffe nicht abfangen.
Sicherheitsforscher haben eine Angriffsmethode entwickelt, die durch kaum wahrnehmbare akustische Modifikationen KI-Sprachassistenten zur Ausführung unerwünschter Aktionen bringt. Die auf dem IEEE Symposium on Security and Privacy vorgestellte Technik funktioniert in Konferenztönen und Videoübertragungen und umgeht bisherige Schutzmechanismen.
Forscher der Zhejiang-Universität, der Nationaluniversität von Singapur und der Technologischen Universität Nanyang haben AudioHijack entwickelt – eine Form der auditiven Prompt-Injektion. Die Methode injiziert winzige, für das menschliche Ohr nicht wahrnehmbare Modifikationen in Audiodateien, die als natürliches Hintergrundgeräusch wahrgenommen werden, das neuronale Netz des KI-Systems jedoch als konkrete Programmbefehle interpretiert.
Im Test gegen 13 quelloffene Audio-KI-Systeme (darunter Qwen2-Audio, GLM-4-Voice, Phi-4-Multimodal, Voxtral-Mini, Kimi-Audio) sowie kommerzielle Systeme von Microsoft Azure und Mistral AI erreichte die Angriffsmethode Erfolgsquoten zwischen 79 und 96 Prozent. Getestete Aktionen umfassten Web-Suchen, das Herunterladen von Dateien aus kontrollierten Quellen und die unbefugte Weiterleitung von Nutzerdaten per E-Mail.
Für ein Szenario im Unternehmensalltag: Ein Mitarbeiter nimmt an einem Zoom-Call teil, in dem Hintergrundmusik läuft. Die anwesenden Personen nehmen keine Anomalie wahr, ein aktiver Transkriptionsdienst jedoch liest die versteckten Anweisungen aus. Während der sichtbaren Unterhaltung durchsucht der KI-Assistent unbemerkt das Netzwerk nach sensiblen Dateien oder leitet Geschäftsinformationen an vom Angreifer kontrollierte E-Mail-Adressen weiter.
Herkömmliche Verteidigungsmechanismen erweisen sich als wenig wirksam. Ein Training der Modelle, um verdächtige auditive Prompts zu erkennen, reduzierte die Erfolgsquote um lediglich 7 Prozent. Ein Abgleich geplanter Aktionen mit der ursprünglichen Absicht des Nutzers konnte 28 Prozent der Angriffe abwehren.
Quelle: www.it-daily.net · Erschienen 1. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.8.