Google-Forscher warnen: Das offene Web wird zur Angriffsfläche für Prompt-Injection bei KI-Agenten

Unternehmens-KI-Agenten könnten das älteste Vertrauensproblem des Webs erben

Google-Forscher warnen laut den bereitgestellten Kandidaten-Metadaten und dem Auszug, dass bösartige öffentliche Webseiten Unternehmens-KI-Agenten aktiv durch indirekte Prompt-Injection vergiften. Die Warnung schärft ein Bedenken, das seit Monaten über agentischer KI schwebt: Je mehr Autonomie Systeme erhalten, um externe Quellen zu lesen, zusammenzufassen und über sie zu handeln, desto stärker übernehmen sie die adversarielle Natur des offenen Webs.

Die hier beschriebene Bedrohung ist kein herkömmlicher Software-Exploit im engen Sinne. Es handelt sich um eine Manipulation des Modellverhaltens. Eine feindliche Seite kann Anweisungen oder Inhalte einbetten, die darauf ausgelegt sind, einen KI-Agenten zu beeinflussen, der sie besucht, indexiert oder zusammenfasst. Wenn dieser Agent mit Unternehmens-Tools oder Workflows verbunden ist, beschränkt sich das Risiko nicht auf schlechte Ausgaben. Es kann sich auf Entscheidungen, Abrufketten und operative Folgemaßnahmen auswirken.

Warum indirekte Prompt-Injection strukturell schwer zu lösen ist

Die Warnung ist bemerkenswert, weil sie eine Designannahme hinter vielen heutigen KI-Produkten angreift: dass Agenten sicher mit einer großen Menge von Dokumenten arbeiten können, wenn Entwickler genügend Schutzmechanismen um das Modell herum platzieren. Indirekte Prompt-Injection-Angriffe stellen diese Annahme infrage, indem sie die Eingangsschicht selbst verunreinigen. Das Problem ist nicht nur, was der Nutzer das Modell fragt. Es ist auch, was die Umgebung dem Modell ohne Wissen des Nutzers zuflüstert.

Der bereitgestellte Auszug sagt, dass Sicherheitsteams, die das Common-Crawl-Repository durchsucht haben, Belege für dieses Risiko gefunden hätten. Das ist relevant, weil Common Crawl riesig ist und in webbasierten Datenarbeiten weit verbreitet genutzt wird. Wenn dort bereits Prompt-Injection-Muster sichtbar sind, ist das Problem nicht theoretisch. Es deutet darauf hin, dass feindliche Inhalte in genau jene öffentliche Informationsumgebung eingeschleust werden können, auf die KI-Systeme zunehmend für Abruf, Zusammenfassung oder Browsing angewiesen sind.

Warum Agenten die Risiken erhöhen

Chatbots können halluzinieren oder Anweisungen falsch lesen, doch Agenten schaffen eine folgenschwerere Angriffsfläche, weil sie Dinge tun sollen. Sie rufen Seiten ab, verbinden Systeme, entwerfen Aktionen und lösen manchmal Workflows aus. Das bedeutet, eine vergiftete Seite muss Software nicht im traditionellen Sinne „hacken“, um gefährlich zu sein. Sie muss das Denken des Modells nur so weit umlenken, dass sich ändert, was als Nächstes passiert.

Für Unternehmen entsteht dadurch eine neue Frage der Sicherheitsgrenze. Das Web enthielt schon immer Spam, Betrug, bösartige Skripte und irreführende Inhalte. Menschen navigieren in dieser Umgebung mit einer Mischung aus Schulung, Browser-Abwehr und institutionellen Kontrollen. KI-Agenten besitzen diese Urteilskraft noch nicht, und sie können feindliche Inhalte in Maschinen-Geschwindigkeit und -Skala verarbeiten. Diese Asymmetrie macht aus einem bekannten Internetproblem ein klar KI-typisches Problem.

Die größere Lehre für den KI-Einsatz

Die Warnung von Google sollte als Produktarchitekturproblem gelesen werden, nicht nur als Forschungsfußnote. Jedes System, das einem KI-Agenten das Browsen oder Aufnehmen öffentlicher Seiten erlaubt, muss davon ausgehen, dass diese Seiten adversarielle Anweisungen enthalten können. Der sichere Standard ist nicht Vertrauen. Er ist Misstrauen, Isolierung und gestufte Validierung, bevor die Ausgabe eines Agenten sensible Systeme beeinflussen darf.

Das bereitgestellte Material enthält Googles vollständige Minderungsempfehlungen nicht, daher ist die hier verfügbare Evidenz eher richtungsweisend als erschöpfend. Die Richtung ist aber klar genug. Unternehmens-KI-Agenten stoßen auf die Realität, dass Sprachmodelle Text interpretieren, und das Web Text enthält, der von Angreifern geschrieben wurde. Während immer mehr Unternehmen Agenten in den Betrieb überführen, ist die wichtigste Sicherheitsfrage vielleicht nicht mehr, was das Modell kann, sondern zu was es verleitet werden kann.

Dieser Artikel basiert auf einer Berichterstattung von AI News. Den Originalartikel lesen.