Zum Inhalt springen

KI-Agenten anfällig für indirekte Prompt-Injection-Angriffe

Auf den Punkt: Indirekte Prompt-Injection-Angriffe sind ein architektonisches Sicherheitsproblem von Transformer-Modellen, das sich nicht durch Training allein lösen lässt und in Produktionsumgebungen zu erheblichen Verlusten führen kann.

Zscaler hat in Tests nachgewiesen, dass autonome KI-Agenten für indirekte Prompt-Injection-Attacken anfällig sind — auch hochwertige Sprachmodelle fallen auf Manipulationen herein, die ein Mensch leicht durchschauen würde.

Zscaler untersuchte in Tests verschiedene Formen indirekter Prompt-Injection (IPI) und fand heraus, dass zahlreiche KI-Modelle für solche Angriffe anfällig sind. Die Tests identifizierten in 26 Sprachmodellen vier als „vulnerabel“: Llama 3.3-70b-instruct, Llama 3.2-90b-instruct, Gemini 3-flash und Gemini 2.5-pro. Drei Modelle schnitten besser ab und wurden als „sicher“ klassifiziert: Llama 4-maverick, Gemini 3.1-pro und Gemini 3.1-flash-lite. Überraschend war, dass einige kostengünstigere Modelle bessere Resistenz zeigten als teurere Alternativen.

Zscaler identifizierte IPI-Angriffe, die in Websites eingebettet waren und verborgene Anweisungen zur Manipulation von KI-Agenten enthielten. Die Sicherheitsimplikationen sind erheblich: In einem Beispiel wurde ein Agent dazu gebracht, eine gefälschte Entwicklerlizenz für 3 US-Dollar zu bezahlen. Dieser Angriffsvektormechanismus könnte jedoch auch für Agenten mit Befugnissen in Beschaffung, Spesenabrechnung oder Zahlungsverkehr eingesetzt werden und dort zu Verlusten im großen Maßstab führen. Aman Mahapatra, Chief Strategy Officer bei Tribeca Softtech, berichtete, dass Fortune-50-Banken bereits agentic Workflows eingeführt haben, die diese Attacke „in einer Live-Überprüfung nicht überstehen würden“.

Das grundsätzliche Problem liegt nicht in mangelhaftem Sicherheitstraining, sondern in der Architektur von Transformer-basierten Modellen. Laut Mahapatra können diese „saubere Trennungen zwischen nicht vertrauenswürdigem Inhalt und vertrauenswürdigen Anweisungen“ nicht erreichen, wenn beide im gleichen Kontext-Fenster vorhanden sind. Der Angriffsvektor ist somit fundamental architektonisch bedingt, nicht nur eine Trainings- oder Implementierungsfrage.

Sicherheitsexperten warnen vor einer zu simplen Betrachtung. Noah Kenney, Principal Consultant bei Digital 520, kritisiert die strikte Einteilung in „sicher/vulnerabel“ als für praktische Risikoeinschätzungen untauglich. Agenten verändern ihr Verhalten kontinuierlich durch neue Daten, weshalb Testergebnisse nur eine Momentaufnahme darstellen. Ein Test-Resultat zu einem Zeitpunkt lässt sich nicht verallgemeinern.


Quelle: www.csoonline.com · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: