Prompt Injection ist ein Angriff, der ein KI-Modell durch gestaltete Eingaben kapert. Erfahren Sie, wie direkte und indirekte Injektion funktionieren und wie man sich verteidigt.

Prompt Injection ist eine Schwachstelle, bei der ein Angreifer ein großes Sprachmodell durch sorgfältig gestaltete Eingaben manipuliert und es dazu bringt, sich auf Weisen zu verhalten, die seine Entwickler nie beabsichtigt haben. Da die meisten Modelle Anweisungen und Daten gemeinsam in einem einzigen Textstrom verarbeiten, kann sich eine bösartige Anweisung mit legitimem Inhalt vermischen und stillschweigend das Verhalten des Modells übernehmen, was zu durchgesickerten Daten, falscher Ausgabe oder unautorisierten Aktionen führt.
Das Risiko ist zentral für die KI-Sicherheit geworden: Die OWASP Top 10 für LLM-Anwendungen führen Prompt Injection als die größte Bedrohung für 2025 auf. Für Marketer, Gründer und SEO- und GEO-Praktiker ist es wichtig, weil dieselben Seiten, die ein KI-Assistent liest, um eine Frage zu beantworten, zu einem Übertragungskanal für diese Angriffe werden können, was die Inhaltshygiene zu einem Sicherheitsanliegen macht, nicht nur zu einem Qualitätsanliegen.
Eine Prompt-Injection-Schwachstelle entsteht, wenn Nutzer-Prompts, oder anderer Text, den das Modell liest, sein Verhalten oder seine Ausgabe auf unbeabsichtigte Weise verändern. Anders als eine traditionelle Software-Injektion, die auf einen Parser abzielt, nutzt Prompt Injection etwas Grundlegenderes aus: Das Modell behandelt die gesamte Sprache, die es empfängt, als bedeutsam, ohne eingebaute Trennung zwischen vertrauenswürdigen Anweisungen und nicht vertrauenswürdigen Daten.
Genau dieses Design ist der Grund, warum der Angriff funktioniert. Wenn Sie eine Systemanweisung, eine Nutzeranfrage und aus dem Web gezogenen Inhalt in einen Prompt mischen, hat das Modell keine zuverlässige Möglichkeit zu wissen, welchen Teilen es gehorchen und welche es nur lesen soll. Ein Angreifer, der einen Teil dieses Textes kontrolliert, kann versuchen, Befehle einzuschleusen. Dies zu verstehen, erfordert ein grundlegendes Verständnis von Prompt Engineering und davon, wie ein LLM Eingaben verarbeitet.
Direkte Prompt Injection, oft Jailbreaking genannt, geschieht, wenn ein Nutzer eine bösartige Anweisung direkt in das Modell eingibt. Das klassische Beispiel ist eine Anweisungsüberschreibung, etwa das Modell zu bitten, seine vorherigen Anweisungen zu ignorieren und seinen versteckten System-Prompt preiszugeben. Andere Formen umfassen Rollenspiel-Jailbreaks, die das Modell in eine Persona mit weniger Beschränkungen locken, Kodierungstricks, die die Nutzlast verschleiern, und Konversationen, die langsam Privilegien eskalieren.
Direkte Injektion ist die häufigste Form, weil der Angreifer das Eingabefeld einfach wie vorgesehen nutzt, nur mit feindseligem Inhalt. Die Auswirkung reicht vom Offenlegen eines vertraulichen System-Prompts bis zum Umgehen von Sicherheitsregeln, weshalb sie direkt innerhalb breiterer AI Safety Anliegen liegt.
Indirekte Prompt Injection ist gefährlicher und schwerer zu entdecken. Hier versteckt der Angreifer Anweisungen in externem Inhalt, den das Modell später lesen wird: einer Webseite, einem PDF, einer E-Mail, einer Tool-Beschreibung oder einer Konfigurationsdatei. Wenn die KI diesen vergifteten Inhalt verarbeitet, kann sie den Unterschied zwischen Information und eingebetteten Befehlen nicht zuverlässig erkennen, sodass die versteckte Anweisung aktiviert wird, ohne dass der Nutzer sie je sieht.
Die Gefahr skaliert, weil eine vergiftete Quelle jeden kompromittieren kann, der eine KI bittet, sie zu verarbeiten. Ein dokumentierter Fall betraf den Perplexity-Comet-Browser, bei dem Forscher unsichtbaren Text in einem Forenbeitrag platzierten, der den Assistenten dazu verleitete, das Einmalpasswort eines Nutzers an den Server eines Angreifers durchsickern zu lassen. Da KI-Systeme über Retrieval Augmented Generation aus mehr Quellen ziehen, wächst die Angriffsfläche mit ihnen.
Die meisten Angriffe folgen einer einfachen Logik: Finde einen Ort, an dem das Modell Text aufnimmt, und platziere dort eine Anweisung, die mit dem echten Ziel des Modells in Konflikt steht. Bei direkten Angriffen ist dieser Ort die Chatbox. Bei indirekten Angriffen ist es jeder Inhalt, den das System automatisch konsumiert, ohne ihn als potenziell feindselig zu behandeln, was Sicherheitsteams eine Aufnahmefläche nennen.
Die Nutzlast selbst kann einfach oder versteckt sein, da das Modell keine menschenlesbare Formatierung benötigt, um sie zu parsen. Anweisungen können in weißem Text, in Metadaten, in Alt-Attributen oder tief in einem langen Dokument sitzen. Einmal gelesen, können sie das Modell bitten, Daten zu exfiltrieren, eine Antwort umzuschreiben oder ein verbundenes Tool aufzurufen, weshalb die Folgen stark davon abhängen, was das Modell tun darf.
Die Auswirkungen sind ernst. Eine erfolgreiche Injektion kann zur Offenlegung sensibler Informationen führen, einschließlich persönlicher Daten und des System-Prompts selbst, zu unautorisiertem Datenzugriff, Privilegieneskalation, voreingenommener oder falscher Ausgabe und, in verbundenen Systemen, zur Ausführung beliebiger Befehle. Wenn das Modell handeln kann und nicht nur antworten, kann eine eingeschleuste Anweisung reale Konsequenzen auslösen.
Das Risiko vervielfacht sich mit der Autonomie. Ein AI Agents-Aufbau, der surft, Dateien liest und Tools aufruft, kann durch versteckte Anweisungen dazu gelenkt werden, schädliche Aktionen im Auftrag des Nutzers auszuführen. Tool-Ökosysteme wie das Model Context Protocol fügen Macht hinzu, aber auch neue Aufnahmeflächen, wie Tool-Beschreibungen, die Angreifer zu vergiften versuchen können.
OWASP stuft Prompt Injection an erster Stelle ein, weil sie inhärent damit verbunden ist, wie generative KI Sprache verarbeitet, und kein Fehler ist, den ein einzelner Patch schließen kann. Die Organisation merkt an, dass unklar ist, ob überhaupt eine narrensichere Verhinderung existiert, angesichts der stochastischen Natur dieser Modelle. Mit anderen Worten, die Schwachstelle lebt im grundlegenden Design von Systemen, die Anweisungen in natürlicher Sprache entgegennehmen.
Die indirekte Injektion macht die Einstufung noch gerechtfertigter, weil sie skaliert. Ein einzelnes Dokument, eine Seite oder eine E-Mail kann einen Angriff tragen, der jeden Nutzer erreicht, dessen Assistent ihn liest. Diese Kombination aus prinzipieller Unlösbarkeit und breiter Ausnutzbarkeit in der Praxis ist der Grund, warum Verteidiger es als oberste Priorität statt als Randfall behandeln.
Es gibt keine einzelne Lösung, daher ist die Verteidigung geschichtet. Beschränken Sie das Modell mit klaren Rollenanweisungen und validieren Sie sein Ausgabeformat streng. Trennen und kennzeichnen Sie externen Inhalt klar, sodass das System vertrauenswürdige Anweisungen von nicht vertrauenswürdigen Daten unterscheidet, und wenden Sie Eingabe- und Ausgabefilterung an. Erzwingen Sie einen Zugriff mit minimalen Privilegien, sodass das Modell nur berühren kann, was es wirklich braucht, und verlangen Sie menschliche Genehmigung für risikoreiche Aktionen.
Über das Modell hinaus ist die Verteidigung architektonisch: Validieren Sie Tool-Aufrufe vor der Ausführung, überwachen Sie auf Verhaltensanomalien und führen Sie regelmäßige adversariale Tests durch, um Schwachstellen zu finden, bevor Angreifer es tun. Für Publisher ist die praktische Erkenntnis, Ihren eigenen Inhalt sauber zu halten. Nutzergenerierten Inhalt zu bereinigen und Ihre Website zu sichern, ist Teil der AI Brand Safety und schützt sowohl Ihre Besucher als auch die Assistenten, die Ihre Seiten lesen.
Die Kernherausforderung ist, dass Prompt Injection mit den aktuellen Modelldesigns nicht vollständig beseitigt, sondern nur gemildert werden kann. Filter reduzieren das Risiko, können aber durch neuartige Formulierungen oder Kodierung umgangen werden, und eine übermäßig aggressive Filterung kann legitime Nutzung brechen. Das lässt Teams das Restrisiko verwalten, statt es zu entfernen.
Auch die Erkennung ist schwierig, besonders bei indirekten Angriffen, die sich in Inhalt verstecken, den Nutzer nie prüfen. Gedächtnissysteme können eine Vergiftung sogar über Sitzungen hinweg fortbestehen lassen, sodass eine einzelne erfolgreiche Injektion verweilen kann. Die realistische Haltung ist eine Verteidigung in der Tiefe, kombiniert mit der Begrenzung dessen, was ein Modell tun darf, sodass selbst eine erfolgreiche Injektion begrenzten Schaden anrichtet.
Prompt Injection ist das bestimmende Sicherheitsrisiko der KI-Ära, weil sie ausnutzt, wie Modelle Anweisungen und Daten als eins lesen. Sie kommt in direkter Form vor, bei der ein Nutzer einen bösartigen Prompt einspeist, und in indirekter Form, bei der sich Anweisungen in Inhalt verstecken, den das Modell später liest, wobei indirekte Angriffe die gefährlicheren und skalierbareren sind. Es gibt keine vollständige Heilung, nur geschichtete Verteidigungen und enge Berechtigungen.
Für Marketer und Publisher ist die Lehre, dass sauberer, sicherer Inhalt die KI-Systeme schützt, die ihn lesen. Um weiterzugehen, verbinden Sie dies mit AI Safety und AI Brand Safety. Referenzquellen: OWASP GenAI Security Project und Lakera.
Prompt Injection ist ein Angriff, bei dem gestalteter Text ein KI-Modell dazu bringt, seine echten Anweisungen zu ignorieren und stattdessen das zu tun, was der Angreifer will. Da Modelle Anweisungen und Daten im selben Strom lesen, kann eine bösartige Anweisung, die in der Nutzereingabe oder in externem Inhalt versteckt ist, das Modell kapern. Sie wird als das größte Sicherheitsrisiko für KI-Anwendungen eingestuft.
Direkte Prompt Injection liegt vor, wenn ein Nutzer eine bösartige Anweisung direkt in das Modell eingibt, etwa wenn er es anweist, seinen System-Prompt zu ignorieren. Indirekte Prompt Injection versteckt die Anweisung in externem Inhalt, den das Modell später liest, wie einer Webseite, einem PDF oder einer E-Mail. Indirekte Angriffe sind gefährlicher, weil der Nutzer sie nie sieht und eine vergiftete Quelle viele Menschen betreffen kann.
Ja. Wenn ein KI-Assistent Ihre Seite liest, könnten Angreifer, die Inhalt in sie einschleusen können (über Kommentare, Nutzereinreichungen oder kompromittierte Elemente), versteckte Anweisungen platzieren, die den Assistenten kapern. Ihre Website sauber zu halten, nutzergenerierten Inhalt zu bereinigen und einer guten Sicherheitshygiene zu folgen, schützt sowohl Ihre Besucher als auch die KI-Systeme, die Ihre Seiten lesen.