Prompt Injection: KI-Browser mit nur einem Zeichen überlistet

Sicherheitsforscher von Cato haben einen neuen Prompt-Injection-Angriff namens Hashjack vorgestellt, mit dem sich in Browsern integrierte KI-Assistenten von Google, Microsoft oder Perplexity dazu verleiten lassen, vom Angreifer vorgegebene Anweisungen auszuführen.

Der anvisierte Nutzer muss dafür lediglich einen speziell gestalteten Link anklicken, was bei der Bedienung eines Webbrowsers in der Regel aber keine große Hürde darstellt. Wie die Forscher in einem Blogbeitrag schildern, lassen sich die bösartigen Anweisungen einfach nach einer Raute (#) an eine beliebige Webadresse anhängen. Normalerweise dient die Raute an dieser Stelle als Anker, um direkt zu einer bestimmten Stelle auf der Zielwebseite zu springen. Einige KI-Assistenten verstehen nachfolgende Inhalte allerdings als Anweisung.

Die Forscher warnen, dass durch dieses Verhalten mehrere gefährliche Angriffsszenarien ermöglicht werden. Ein Angreifer könne die jeweilige KI etwa Daten ausleiten lassen oder dem attackierten Nutzer gezielt falsche Informationen unterschieben, was wiederum Malware-Infektionen, erfolgreiche Phishing-Angriffe oder, sofern der Nutzer bei der KI medizinischen Rat einholt, gar gesundheitliche Schäden nach sich ziehen könne.

Beliebige Links ausnutzbar

Besonders brisant ist dieser Angriffsvektor, da die jeweilige URL nicht einmal auf eine vom Angreifer kontrollierte Domain verweisen muss. Die bösartigen Anweisungen lassen sich an Links zu beliebigen Webseiten anhängen, denen Anwender vertrauen – etwa zu bekannten Shopping-Portalen wie Amazon oder Ebay oder gut besuchten Onlineforen oder Nachrichtenportalen.

Quelle: golem.de