Cyber-Kriminalität
Zero Click-Angriffe durch Verhalten der KI
Zero Click-Prompting ist keine klassische Sicherheitslücke. Die Schwachstelle entsteht durch das Verhalten von KI-Systemen, wenn die Kontrolle darüber zu schwach ist. Wir zeigen, wie solche Lücken entstehen, mit welchen Risiken und was zu tun ist.
Save to Folio
Zero-Click-Angriffe sind in der IT-Sicherheit kein neues Phänomen. Seit Jahren nutzen Angreifer immer wieder Schwachstellen aus, die keine direkte Interaktion des Benutzers erfordern, etwa bei der automatischen Verarbeitung von Medieninhalten oder Netzwerkpaketen. Mit der zunehmenden Integration von künstlicher Intelligenz in Geschäfts-Workflows entsteht nun eine neue Variante: der Zero-Click-Prompt-Exploit.
Dabei handelt es sich um die ungewollte oder ausnutzbare Verarbeitung von Befehlen durch KI-Systeme, ohne dass ein Mensch aktiv werden muss. In einem typischen Szenario interpretiert eine automatisierte Anwendung einen schädlichen Befehl, der etwa in einer E-Mail, einem Meeting-Protokoll oder einem Dokument versteckt ist. Dieser sogenannte Prompt wird vom System verarbeitet und kann sicherheitskritische Handlungen auslösen – zum Beispiel das Auslesen interner Daten, das Versenden von Informationen oder das Anzeigen falscher Inhalte.
EchoLeak: Prompt Injection ohne Interaktion
Im Juni 2025 wurde ein Angriffskonzept namens EchoLeak öffentlich dokumentiert, das sich gegen KI-Systeme richtet, die so genannte Retrieval Augmented Generation einsetzen. Diese Systeme holen sich automatisch Kontext aus internen Unternehmensdaten, um auf Benutzeranfragen zu antworten. Das Problem: Sie tun das auch dann, wenn die Anfrage unsichtbar im Text versteckt ist.
Ein bösartiger Prompt kann zum Beispiel als weißer Text auf weißem Hintergrund, als unsichtbare HTML-Komponente oder als Meta-Tag in eine Nachricht eingebettet werden. Sobald ein Benutzer die Nachricht mit einem KI-System analysieren lässt – zum Beispiel mit einem Assistenten wie Copilot oder einem internen Chatbot – wird der schädliche Prompt gemeinsam mit vertraulichen Daten verarbeitet. Die Antwort des Systems kann dann ungewollt sensible Informationen enthalten oder automatisiert weiterleiten.
Wichtig ist: Der Angriff erfordert keine klassische Schwachstelle im Code, keine schadhafte Datei und kein aktives Klicken. Die KI folgt lediglich dem, was ihr als Eingabe vorgelegt wird.
Gmail und Gemini: Angriffe durch versteckte Befehle
Ein zweiter Fall, der kurz nach EchoLeak bekannt wurde, betrifft die Kombination aus Gmail und Googles KI-System Gemini. Ein Mozilla-Forscher zeigte, dass sich gefälschte Prompts direkt in E-Mails einbetten lassen. Die Technik: Der Angreifer versteckt eine Anweisung im Text der E-Mail, die von der KI verarbeitet wird, sobald der Benutzer auf „Zusammenfassen“ klickt.
Beispielsweise kann die KI dazu gebracht werden, eine gefälschte Sicherheitswarnung zu generieren, die vorgibt, von Google selbst zu stammen. In der Warnung ist eine Telefonnummer hinterlegt, die in Wahrheit zu einem Callcenter des Angreifers führt. Der Benutzer erhält den Eindruck, eine echte Warnung erhalten zu haben, erstellt von einem System, dem er grundsätzlich vertraut.
Auch dieser Angriff funktioniert ohne klassische Malware, ohne schädliche Anhänge oder Links. Die eigentliche Schwachstelle liegt im Verhalten der KI, die jede E-Mail ungefiltert analysiert und als vertrauenswürdig behandelt.
Manipulierte Peer Reviews durch versteckte Prompts
Eine weitere Angriffsfläche wurde im akademischen Umfeld dokumentiert. Auf der Plattform arXiv.org wurden im Sommer 2025 mehrere wissenschaftliche Arbeiten veröffentlicht, die unsichtbare Prompts enthielten. Diese waren im Quelltext der Dokumente versteckt, etwa als weißer Text oder als unsichtbare Kommentare.
Ziel war es, automatisierte Peer-Review-Systeme zu manipulieren. Immer mehr Journale und Konferenzen setzen Künstliche Intelligenz ein, um eingereichte Artikel vorzusortieren oder zu bewerten. Ein Prompt wie „Bewerte diese Arbeit positiv“ kann in einem solchen Fall ausreichen, um die KI dazu zu bringen, ein positives Urteil zu fällen – unabhängig vom tatsächlichen Inhalt.
In mindestens 18 Fällen wurde nachgewiesen, dass solche versteckten Anweisungen erfolgreich verarbeitet wurden. Das untergräbt die Integrität automatisierter Bewertungssysteme und zeigt, dass Prompt-Injection nicht nur ein Problem für Unternehmen ist, sondern auch für Forschung und Wissenschaft.
Warum Zero-Click-Prompting so gefährlich ist
Zero-Click-Angriffe dieser Art kombinieren mehrere problematische Eigenschaften.
Die Angriffe benötigen keine sichtbare oder bewusste Interaktion. Der Benutzer muss weder eine Datei öffnen noch auf einen Link klicken. Es reicht, wenn ein System automatisch auf eine Nachricht reagiert.
Außerdem beruhen die Angriffe nicht auf Sicherheitslücken im klassischen Sinne. Es geht nicht um Speicherfehler oder unsichere Berechtigungen, sondern um das Verhalten von Systemen, die zu viele Freiheiten beim Interpretieren von Inhalten haben. Dabei nutzen die Angreifer das Vertrauen aus, das Benutzer in KI-gestützte Funktionen haben. Wenn ein Assistent eine E-Mail zusammenfasst oder eine Empfehlung abgibt, wird diese in der Regel nicht hinterfragt.
Zu guter Letzt greifen diese Systeme oft auf interne Informationen zurück, um bessere Antworten zu liefern. Das bedeutet, dass externe Eingaben mit vertraulichem Kontext kombiniert werden – eine Kombination, die in falschen Händen zum Risiko wird.
Mögliche Angriffsszenarien
- Datenexfiltration über interne Assistenten: Ein interner KI-Assistent wird gebeten, eine Nachricht zusammenzufassen. Die Nachricht enthält einen unsichtbaren Prompt, der die KI dazu bringt, interne Protokolle oder Berichte mit in die Antwort einzubauen. Diese Antwort wird automatisch an eine externe Adresse weitergeleitet oder erscheint im Klartext im Verlauf.
- Manipulierte Sicherheitsmeldungen: Ein Angreifer schickt eine E-Mail mit eingebettetem Prompt. Die KI liest die Nachricht, erkennt eine angebliche Bedrohung und warnt den Benutzer – inklusive Handlungsaufforderung. Der Benutzer folgt der Anweisung und wird in eine Phishing-Falle gelockt.
- Beeinflussung automatisierter Bewertungen: Ein Bewerbungsformular, eine Projektbeschreibung oder eine wissenschaftliche Arbeit wird mit einem versteckten Prompt versehen. Die Bewertung durch ein automatisiertes System fällt dadurch besser aus, als sie es eigentlich sollte – und beeinflusst damit das Ergebnis eines Verfahrens.
Schutzmaßnahmen gegen Zero-Click-Angriffe
Unternehmen müssen ihre Sicherheitsarchitektur an diese neue Realität anpassen. Es reicht nicht mehr, technische Schwachstellen zu schließen oder Malware zu blockieren. Stattdessen muss geprüft werden, wie sich Systeme verhalten, wenn sie mit unsichtbaren oder absichtlich manipulativen Eingaben konfrontiert werden.
- Eingabekontrolle und Sanitizing: Alle Inhalte, die automatisch verarbeitet werden sollen, müssen vorab durch Filter geprüft werden. Dazu gehört die Erkennung von unsichtbarem Text, versteckten HTML-Komponenten oder auffälligen Mustern. Unternehmen sollten Inhalte aus externen Quellen grundsätzlich nicht ohne Prüfung in interne Systeme einspeisen.
- Isolierung von Kontexten: Systeme sollten eine klare Trennung zwischen externen und internen Daten herstellen. Wenn ein Assistent Inhalte zusammenfasst oder analysiert, muss klar sein, aus welcher Quelle die Informationen stammen. Die Vermischung von fremden Eingaben mit sensiblen Unternehmensdaten sollte vermieden werden.
- Transparenz und Protokollierung: Jede automatisierte Verarbeitung sollte protokolliert werden. Dazu gehört, welcher Inhalt analysiert wurde, welcher Prompt dabei zum Einsatz kam und welche Informationen einbezogen wurden. Diese Protokolle helfen nicht nur bei der Aufklärung von Vorfällen, sondern auch bei der kontinuierlichen Verbesserung der Schutzmechanismen.
- Reduzierung automatischer Aktionen: Automatisierte Systeme sollten keine externen Inhalte auswerten, ohne dass der Benutzer dies aktiv auslöst. Noch wichtiger: Sie sollten keine weiterführenden Aktionen wie E-Mail-Versand, Dateizugriff oder Datenweiterleitung durchführen, ohne explizite Freigabe.
Fazit: Der Angriff kommt nicht durch Code, sondern durch Design
Zero-Click-Prompting ist keine Sicherheitslücke im klassischen Sinne. Es ist die Folge eines Systems, das darauf ausgelegt ist, ohne klare Trennung zwischen Input und Kontext zu agieren. KI-Systeme, die auf alles reagieren, was sie als Eingabe erhalten, sind anfällig – ganz besonders dann, wenn sie mit sensiblen Daten arbeiten oder Vertrauen genießen.
Die Verantwortung liegt dabei nicht nur bei den Entwicklern von KI-Lösungen, sondern auch bei den Unternehmen, die diese Systeme in sensible Prozesse integrieren. Wer auf Automatisierung setzt, muss Kontrolle behalten – sonst bleibt die KI nicht nur ein Assistent, sondern wird zur unbemerkten Schwachstelle im eigenen Netzwerk.