NERDMANVergiftete Webseiten kapern jetzt KI-Agenten
Google schlägt Alarm: Öffentliche Webseiten werden gezielt mit versteckten Befehlen präpariert, die Enterprise-KI-Agenten übernehmen. Die Angriffsmethode heißt Indirect Prompt Injection — und sie funktioniert erschreckend gut.
So läuft der Angriff
Website-Betreiber und Angreifer verstecken unsichtbare Instruktionen im HTML-Code ganz normaler Webseiten. Für Menschen unsichtbar, für KI-Agenten ein direkter Befehl. Sobald ein Agent die Seite scrapt, führt er die eingeschleusten Anweisungen aus — ohne Rückfrage, ohne Warnung.
Die Dimension
Googles Sicherheitsteams haben den Common Crawl durchforstet — eine Datenbank mit Milliarden öffentlicher Webseiten. Das Ergebnis: Die Zahl dieser digitalen Sprengfallen wächst massiv.
💡 Was das bedeutet
Jedes Unternehmen, das KI-Agenten im Web recherchieren lässt, hat ein Problem. Die Agenten vertrauen dem Input blind. Ein vergiftetes Suchergebnis reicht, und der Agent arbeitet plötzlich für jemand anderen. Das ist kein theoretisches Risiko — es passiert jetzt.
Zahlenbox
- Milliarden** — Webseiten im Common Crawl Datensatz
- 0** — Nutzerinteraktion nötig für den Angriff
- 1** — Eine einzige vergiftete Seite reicht aus
✅ Pro
- Google benennt das Problem offen
- Forschung basiert auf realen Daten, nicht auf Lab-Szenarien
❌ Con
- Kein Fix in Sicht — das Problem ist architektonisch
- Agenten haben keine eingebaute Verteidigung gegen manipulierten Input
- Jeder mit HTML-Kenntnissen kann den Angriff ausführen
Warum das so gefährlich ist
Prompt Injection ist das älteste ungelöste Problem der LLM-Ära. Bei Chatbots war es ärgerlich. Bei autonomen Agenten, die Aktionen ausführen, wird es zur Waffe. Ein Agent, der Mails verschickt, Daten abruft oder Code ausführt, lässt sich mit einer einzigen vergifteten Webseite umdrehen.
