Versteckte Befehle im Quelltext: Wie das „Agentic Web" KI-Assistenten angreifbar macht
KI-Assistenten lesen heute selbstständig Webseiten, um Aufgaben zu erledigen. Genau das eröffnet eine neue Angriffsfläche: Anweisungen, die für Menschen unsichtbar im Seitencode stehen und die Maschine kapern sollen. Fachleute nennen das Problem indirekte Prompt-Injection – und halten es für eine der größten offenen Sicherheitsfragen der KI-Branche.
Wer heute einen KI-Assistenten bittet, eine Nachricht zusammenzufassen oder ein Produkt herauszusuchen, schickt oft ein Programm ins Netz, das selbstständig Webseiten öffnet, liest und weiterverarbeitet. Aus dem Chatbot, der nur auf Fragen antwortet, wird ein „Agent", der handelt. Diese Entwicklung, in der Branche gern „Agentic Web" genannt, gilt als nächster großer Schritt der KI-Nutzung. Sie bringt aber ein Sicherheitsproblem mit, das mit klassischen Schutzmechanismen nur schwer zu fassen ist.
Wenn die Maschine liest, was der Mensch nicht sieht
Der Kern des Problems: Ein Sprachmodell unterscheidet nicht sauber zwischen dem Auftrag seines Nutzers und dem Text, den es unterwegs auf einer Webseite vorfindet. Beides landet als Sprache im selben Verarbeitungsstrang. Wer es also schafft, auf einer Seite eine als Befehl formulierte Textpassage zu platzieren, kann versuchen, den Assistenten umzulenken – etwa dazu, vertrauliche Angaben preiszugeben oder eine Aktion auszuführen, die der Nutzer nie beauftragt hat.
Fachleute sprechen von indirekter Prompt-Injection. „Indirekt", weil die Anweisung nicht vom Angreifer direkt an die KI geht, sondern über eine dritte Quelle: eine Website, ein Dokument, eine Bewertung, einen Forenbeitrag. Besonders heikel ist, dass die Betroffenen davon in der Regel nichts merken. Der Assistent kann äußerlich normal weiterarbeiten, während er im Hintergrund fremde Vorgaben abarbeitet.
Weiße Schrift auf weißem Grund
Damit ein solcher Befehl nicht auffällt, wird er häufig vor dem menschlichen Auge versteckt. Gängige Techniken sind weiße Schrift auf weißem Hintergrund, in der Größe auf null gesetzter Text oder unsichtbare Sonderzeichen. Auch Kommentare im Quelltext, Metadaten oder von Nutzern eingegebene Inhalte können als Träger dienen. Für den Besucher der Seite bleibt alles unsichtbar; das Sprachmodell dagegen liest den Rohtext und nimmt die eingeschmuggelte Anweisung mit auf.
Der Augsburger Anbieter Eberle Consulting hat nach eigenen Angaben Webseiten auf solche Manipulationen untersucht und berichtet, sieben von zehn der gefundenen Prompt-Injection-Anweisungen hätten im unsichtbaren Teil der Seiten gestanden. Diese Zahl stammt aus einer einzelnen Erhebung und lässt sich nicht ohne Weiteres verallgemeinern. Sie deckt sich aber mit dem Bild, das Sicherheitsforscher unabhängig davon zeichnen: Das Verstecken von Anweisungen ist gängige Praxis, und die reale Angriffsfläche wächst mit der Verbreitung autonomer Assistenten.
Vom Gedankenspiel zum dokumentierten Vorfall
Dass es sich nicht um ein rein theoretisches Risiko handelt, zeigen dokumentierte Fälle. Sicherheitsforscher demonstrierten unter anderem, wie sich in einem öffentlichen Forenbeitrag unsichtbarer Text unterbringen ließ, den ein KI-Browserassistent beim Zusammenfassen der Seite mitlas – und der ihn dazu brachte, sensible Daten an eine fremde Adresse weiterzugeben. Das Open-Source-Sicherheitsprojekt OWASP führt Prompt-Injection inzwischen als Sicherheitsrisiko Nummer eins in seiner Liste der größten Schwachstellen von Sprachmodellen.
Warum es keine einfache Lösung gibt
Anders als bei klassischen Softwarelücken lässt sich das Problem nicht mit einem Filter oder einem Update endgültig schließen. Solange ein Assistent überhaupt fremde Texte lesen soll – und genau das ist sein Zweck –, bleibt die Grenze zwischen harmloser Information und getarntem Befehl unscharf. Diskutiert werden deshalb mehrere Ansätze zugleich: strengere Trennung von Nutzerauftrag und externem Inhalt, Rückfragen vor kritischen Aktionen, eng gefasste Berechtigungen für Agenten sowie ein „Plan-dann-Ausführen"-Prinzip, bei dem der Assistent seinen Handlungsplan festlegt, bevor er fremde Seiteninhalte überhaupt zu Gesicht bekommt.
Für Unternehmen, die KI-Assistenten in ihre Abläufe einbauen, folgt daraus eine nüchterne Konsequenz: Je mehr Handlungsspielraum ein Agent bekommt, desto sorgfältiger muss abgesichert werden, worauf er zugreifen und was er selbstständig auslösen darf. Für Nutzerinnen und Nutzer bleibt vorerst die Erkenntnis, dass ein Assistent, der eigenständig im Netz unterwegs ist, nicht nur das liest, was auf dem Bildschirm steht – sondern auch das, was jemand bewusst darunter versteckt hat.
Dieser Beitrag ist eine redaktionelle Einordnung eines Branchentrends und keine Bewertung einzelner Anbieter oder Produkte.