Sicherheitsforscher von Zscaler haben zwei reale Kampagnen analysiert, bei denen präparierte Webseiten autonome KI-Agenten fernsteuern. Vier von 26 getesteten Sprachmodellen führten daraufhin eine nicht autorisierte Krypto-Zahlung aus. Für jedes Unternehmen, das Agenten einkaufen oder recherchieren lässt, verschiebt das die Sicherheitsfrage vom Modell auf jede besuchte Seite.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Eine indirekte Prompt Injection versteckt Befehle dort, wo kein Mensch hinsieht, im Quelltext einer Webseite. Zscaler ThreatLabz dokumentierte am 2. Juli 2026[1], wie ein KI-Agent auf einer gefälschten Python-Bibliothek eine erfundene Lizenz für rund 2,61 € kaufte, ohne dass ein Mensch das je angeordnet hatte. Der Angriff zielt nicht auf das Modell, sondern auf seine Handlungsrechte.

Das Wichtigste in Kürze

  • Zscaler ThreatLabz belegt zwei aktive Kampagnen, die KI-Agenten über versteckte Webinhalte manipulieren.
  • Die Befehle stecken unsichtbar im Quelltext, per CSS ausgeblendet oder in JSON-LD-Metadaten getarnt.
  • Vier von 26 Modellen zahlten unautorisiert, zwei weitere stuften eine Betrugsdomain als vertrauenswürdig ein.
  • Ab dem 2. August 2026 verlangt der EU AI Act für Hochrisiko-Systeme nachweisbare Abwehr genau solcher Angriffe.

Wie steuert eine Webseite den KI-Agenten?

Marionette kniet vor Münze. Schild: Bitte jetzt bezahlen, Marke: versteckt
Versteckte Anweisungen in Webinhalten werden von KI-Agenten als legitime Aufgaben ausgeführt. Dieses indirekte Prompt-Injection-Verfahren umgeht direkte Angriffe

Die Seite liefert dem Agenten neben dem sichtbaren Inhalt versteckte Anweisungen, die das Modell wie eine vertrauenswürdige Aufgabe behandelt und ausführt.

Der Mechanismus heißt indirekte Prompt Injection. Anders als beim direkten Angriff tippt niemand einen Schadbefehl ins Chatfenster. Stattdessen bettet der Angreifer die Anweisung in Inhalte ein, die der Agent ohnehin abruft.

Zscaler fand die Befehle per CSS aus dem sichtbaren Bereich geschoben, in JSON-LD-Metadaten mit erfundenen Vertrauenssignalen und in ausgeblendeten div-Elementen. Damit die präparierte Seite in den Ergebnissen des Agenten auftaucht, kommt SEO-Poisoning hinzu.

Das eigentliche Risiko liegt in der Reichweite. Ein Modell, das im Chat halluziniert, richtet wenig an. Ein KI-Agent mit Zahlungs- und Schnittstellenrechten dagegen überweist Geld, wie schon der Vending-Bench-Test mit Claude Fable 5 zeigte.

Ist das ein Einzelfall?

Nein. Prompt Injection führt die OWASP-Rangliste der größten KI-Risiken an, und erste großflächige Angriffe laufen bereits produktiv.

Die Angriffsklasse ist gut dokumentiert. Im OWASP-Katalog für Sprachmodelle steht Prompt Injection auf Platz eins, und für agentische Systeme ergänzt die Ausgabe 2026 den eigenen Punkt „Agent Goal Hijack“. Branchenforscher beschrieben Anfang 2026 zudem die ersten großflächigen indirekten Injektionen im laufenden Betrieb.

Der Trend verschärft sich, weil Agenten immer mehr dürfen. Modelle steuern inzwischen eigene Subagenten, bearbeiten Office-Dateien oder programmieren industrielle Automatisierung. Jede neue Fähigkeit vergrößert den Schaden, den ein einziger versteckter Befehl anrichten kann.

Die Modellwahl allein löst das nicht: Zscaler prüfte 26 Sprachmodelle, und selbst etablierte Namen fielen durch.

Die Sicherheitsfrage bei KI-Agenten liegt nicht mehr im Modell, sondern in jeder Webseite, die es aufruft. Ein Agent mit Zahlungsrechten ist nur so vertrauenswürdig wie die schlechteste Quelle, die er ungeprüft liest.

— Markus Seyfferth, Chefredakteur Dr. Web
KI-Agenten im Visier: indirekte Prompt Injection in Zahlen

Zscaler ThreatLabz testete 26 Sprachmodelle gegen zwei reale Angriffskampagnen mit versteckten Web-Befehlen. Das Ergebnis zeigt, dass die Modellwahl allein nicht schützt.

26
getestete Sprachmodelle
4
zahlten unautorisiert per Krypto
2
stuften die Betrugsseite als echt ein
So versteckt sich der Befehl im Quelltext
Aus dem Bild geschoben
Per CSS mit left: -9999px unsichtbar positioniert.
In Metadaten getarnt
JSON-LD mit erfundenen Vertrauenssignalen für die Maschine.
In leeren Elementen
Anweisungen in ausgeblendeten div-Tags plus SEO-Poisoning.
2,61 €
Betrag der gefälschten Lizenz, die ein Agent unaufgefordert kaufte (umgerechnet aus 3,00 US-Dollar, Kurs 0,87, Stand 7. Juli 2026).
2. August 2026
Ab diesem Stichtag verlangt der EU AI Act für Hochrisiko-Systeme nachweisbare Abwehr gegen solche Manipulationen.

Was sollten Entscheider im DACH-Raum jetzt tun?

Behandeln Sie Agenten wie nicht vertrauenswürdige Nutzer: Kritische Aktionen und Zahlungen brauchen eine menschliche Freigabe, und jede Aktion muss protokolliert werden.

Der regulatorische Druck steigt. Ab dem 2. August 2026 gelten die Pflichten des EU AI Act für Hochrisiko-Systeme vollständig. Artikel 15 verlangt nachweisbare Widerstandsfähigkeit gegen Manipulation der Eingaben, nicht nur saubere Ausgaben.

Das BSI und die französische ANSSI empfehlen in ihrem gemeinsamen Leitfaden ausdrücklich ein Zero-Trust-Prinzip für Sprachmodell-Systeme[2]. Konkret heißt das: Ein Agent bekommt Zahlungsrechte nur mit Bestätigungsschritt, und die Quellen, die er liest, bleiben strikt getrennt von den Aktionen, die er auslösen darf. Jede Aktion wird protokolliert, denn die Haftung bleibt beim Betreiber, nicht beim Modellanbieter.

Für besonders sensible Prozesse lohnt ein zusätzlicher Schritt: Prüfen Sie, welche Seiten ein Agent überhaupt ansteuern darf, und betreiben Sie Modelle teils lokal auf eigener Hardware. Beginnen Sie mit dem einen Agenten, der heute schon Geld ausgeben oder Daten senden kann, und ziehen Sie dort die Freigabe- und Protokollpflicht ein.

Quellen

[1] Zscaler ThreatLabz: „Indirect Prompt Injection in Web Content Targets AI Agents“

[2] BSI und ANSSI: „Design Principles for LLM-based Systems with Zero Trust“

Mehr Newshunger?

4,3 16 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?