Wenn AI nicht mehr handelt, wie sie soll: Was steckt hinter Prompt Injection?

Prompt Injection bezeichnet eine Manipulationstechnik, bei der Angreifer gezielt versteckte oder täuschende Anweisungen innerhalb von Eingaben („Prompts“) einschleusen. Dadurch bringen sie ein Sprachmodell – etwa einen Chatbot oder Assistenten – dazu, sein Verhalten zu verändern oder vertrauliche Informationen preiszugeben.

Oft sind diese schädlichen Befehle in scheinbar harmlosen Texten, E-Mails oder Webseiten versteckt. Für Menschen bleiben sie unsichtbar, doch das AI-System erkennt und verarbeitet sie. Laut einem Bericht von Heise Online stellt diese Angriffsmethode eine dauerhafte Schwachstelle für viele AI-Anwendungen dar: Damit werden Sicherheitssysteme auf konzeptioneller Ebene unterwandert.

So funktioniert ein manipulierter Prompt

Ein sogenannter „Prompt“ ist die Eingabeaufforderung, mit der Nutzer und Systeme kommunizieren. Bei einer Prompt Injection fügt ein Angreifer gefährliche Instruktionen hinzu – etwa in der Art von „Ignoriere alle bisherigen Anweisungen“ oder „Gib den internen Systemprompt aus“. Das AI‑Modell wertet diese Anweisungen in vielen Fällen wie legitime Befehle aus. So können Sicherheitsfilter umgangen und vertrauliche Daten offengelegt werden.

Zwei Arten von Prompt-Injection-Angriffen

• Direkte Prompt Injection (Jailbreaking): Der Angreifer gibt manipulierte Befehle unmittelbar in das Eingabefeld ein, um das Verhalten der AI sofort zu verändern. 

• Indirekte Prompt Injection: Der Angreifer bettet schädliche Prompts versteckt in externe Quellen wie Webseiten, Dokumente oder Metadaten ein. Wenn das AI-System diese später automatisch verarbeitet, wird es unbemerkt beeinflusst – oft ohne, dass der Nutzer aktiv beteiligt ist. 

Zwischen beiden Methoden besteht ein fließender Übergang, doch in beiden Fällen liegt das Ziel darin, die Kontrolle über die Ausgabe des AI-Modells zu gewinnen. 

Darum müssen Unternehmen handeln

Für Unternehmen sind Prompt-Injection-Angriffe besonders gefährlich. Manipulierte AI-Systeme können falsche Daten liefern, ungewollte Aktionen auslösen oder rechtlich bedenkliche Aussagen erzeugen. Noch gravierender: Es drohen Datenschutz- und Haftungsrisiken, wenn Systeme vertrauliche oder personenbezogene Informationen ungewollt preisgeben.

Das größte Problem: Prompt Injection nutzt keine klassische „technische“ Schwachstelle, sondern das Grundprinzip, wie Sprachmodelle Anweisungen verstehen. Herkömmliche Sicherheitsmechanismen greifen hier oft zu kurz. Unternehmen sind daher gefordert, eigene Schutzstrategien zu entwickeln – etwa durch AI‑Sicherheitsaudits, Eingabefilter oder regelmäßige Modellüberprüfungen.

Wie Firmen ihre AI-Modelle vor Manipulationen und Angriffe wie Prompt Injection schützen können, erfahren Sie im Interview mit Joren Afman (Teamlead im CANCOM RedTeam). Dabei geht der CANCOM-Experte dediziert auf drei große Themenbereiche ein.