Das hier ist ein vollständig KI generierter Artikel.

Eine neue Bedrohung alarmiert die Welt der Cybersicherheit: Man-in-the-Prompt. Diese Angriffsmethode kann Interaktionen mit führenden generativen KI-Tools wie ChatGPT, Gemini und anderen kompromittieren. Das Erschreckende daran? Es bedarf keiner komplexen Angriffe, sondern lediglich einer einfachen Browsererweiterung.

Was ist „Man-in-the-Prompt“?

Der Begriff „Man-in-the-Prompt“ bezieht sich auf eine neue Angriffsvektor, der eine unterschätzte Schwachstelle ausnutzt: das Eingabefeld von KI-Chatbots. Wenn wir Tools wie ChatGPT im Browser verwenden, sind unsere Nachrichten in einem einfachen HTML-Feld geschrieben, das vom DOM (Document Object Model) der Seite zugänglich ist. Das bedeutet, dass jede Browsererweiterung mit Zugriff auf das DOM unsere Anfragen an die KI lesen, ändern oder umschreiben kann, ohne dass wir es bemerken.

Wie funktioniert der Angriff?

  • Der Nutzer öffnet ChatGPT oder ein anderes KI-Tool im Browser.
  • Die bösartige Erweiterung fängt den Text ab, der gesendet werden soll.
  • Der Prompt wird modifiziert, um z. B. versteckte Anweisungen hinzuzufügen oder Daten aus der Antwort der KI zu exfiltrieren.
  • Der Nutzer erhält eine scheinbar normale Antwort, aber im Hintergrund wurden Daten gestohlen oder die Sitzung kompromittiert.

Diese Technik funktioniert bei allen großen KI-Tools, darunter ChatGPT, Gemini, Copilot, Claude und DeepSeek.

Welche konkreten Risiken bestehen?

Die potenziellen Konsequenzen sind ernst, insbesondere in der Geschäftswelt:

  • Diebstahl sensibler Daten: Wenn die KI vertrauliche Informationen verarbeitet, kann der Angreifer diese Informationen durch modifizierte Prompts lesen oder extrahieren.
  • Manipulation von Antworten: Ein injizierter Prompt kann das Verhalten der KI ändern.
  • Umgehung von Sicherheitskontrollen: Der Angriff erfolgt, bevor der Prompt an den KI-Server gesendet wird, sodass Firewalls, Proxies und Systeme zur Verhinderung von Datenverlust umgangen werden.

Was können wir tun?

Für einzelne Nutzer:

  • Regelmäßig installierte Erweiterungen überprüfen und unnötige deinstallieren.
  • Keine Erweiterungen aus unbekannten oder unzuverlässigen Quellen installieren.
  • Erweiterungsberechtigungen so weit wie möglich einschränken.

Für Unternehmen:

  • Browsererweiterungen auf Unternehmensgeräten blockieren oder aktiv überwachen.
  • KI-Tools von sensiblen Daten isolieren, wenn möglich.
  • Laufzeitsicherheitslösungen einsetzen, die das DOM überwachen und Manipulationen in Eingabefeldern erkennen.
  • Spezifische Sicherheitstests an Prompt-Flows durchführen, um Injektionsangriffe zu simulieren.

Ein größeres Problem: Prompt Injection

Der Man-in-the-Prompt-Angriff fällt unter die breitere Kategorie der Prompt Injection, eine der schwerwiegendsten Bedrohungen für KI-Systeme laut OWASP Top 10 LLM 2025. Diese Angriffe sind nicht nur technischer Natur: Auch scheinbar harmlose externe Inhalte können versteckte Anweisungen an die KI enthalten.

Was wir lernen

Der Bericht von LayerX hebt einen entscheidenden Punkt hervor: Die Sicherheit von KI darf sich nicht nur auf das Modell oder den Server beschränken, sondern muss auch die Benutzeroberfläche und die Browserumgebung einbeziehen. In einer Ära, in der KI zunehmend in persönliche und geschäftliche Arbeitsabläufe integriert wird, kann ein einfaches HTML-Textfeld zur Achillesferse des gesamten Systems werden.

Quelle: https://securityaffairs.com/181211/cyber-crime/man-in-the-prompt-the-invisible-attack-threatening-chatgpt-and-other-ai-systems.html