Ein Sicherheitsexperte hat eine kritische Schwachstelle in Googles KI-Modell Gemini identifiziert, die es Angreifern ermöglicht, durch versteckte Befehle sensible Nutzerdaten zu extrahieren. Trotz einer Demonstration des Risikos hat Google das Problem als Social-Engineering-Taktik abgetan und plant offenbar keine Korrektur, wodurch die Verantwortung auf die Nutzer abgewälzt wird.
Wichtige Erkenntnisse
- Googles KI-Modell Gemini ist anfällig für eine Angriffsmethode namens "ASCII Smuggling".
- Angreifer können schädliche Befehle in scheinbar harmlosen Texten verstecken.
- Google lehnt eine Korrektur der Schwachstelle ab und betrachtet sie nicht als Sicherheitsproblem, sondern als Social Engineering.
- Konkurrierende KI-Modelle wie ChatGPT und Copilot sind laut dem Forscher gegen diese Art von Angriff geschützt.
Ein Forscher deckt eine neue Bedrohung auf
Der Sicherheitsforscher Viktor Markopoulos hat eine Untersuchung der Sicherheitsprotokolle führender Sprachmodelle (LLMs) durchgeführt. Seine Ergebnisse, über die zuerst von Bleeping Computer berichtet wurde, zeigen, dass mehrere bekannte KI-Systeme für eine spezielle Art von Cyberangriff anfällig sind.
Bei seinen Tests stellte Markopoulos fest, dass Google Gemini, DeepSeek und Grok für sogenannte "ASCII Smuggling"-Angriffe verwundbar sind. Im Gegensatz dazu erwiesen sich die Modelle von Konkurrenten wie Claude, ChatGPT von OpenAI und Copilot von Microsoft als widerstandsfähig gegen diese Methode.
Was ist ASCII Smuggling?
ASCII Smuggling ist eine raffinierte Angriffstechnik, bei der schädliche Anweisungen für eine KI in einem Text versteckt werden. Diese Anweisungen sind für das menschliche Auge praktisch unsichtbar, werden aber von der KI gelesen und ausgeführt.
Ein Angreifer könnte beispielsweise einen geheimen Befehl in einer E-Mail platzieren, indem er die Schriftgröße auf ein Minimum reduziert oder die Textfarbe an den Hintergrund anpasst. Ein ahnungsloser Nutzer, der Gemini bittet, diese E-Mail zusammenzufassen, würde die KI unwissentlich dazu veranlassen, den versteckten Befehl auszuführen.
Die Gefahr der Workspace-Integration
Die Brisanz dieser Schwachstelle wird durch die tiefe Integration von Gemini in das Google-Workspace-Ökosystem erheblich verstärkt. Da Gemini Zugriff auf Gmail, Google Docs und andere Dienste hat, könnte ein erfolgreicher Angriff weitreichende Folgen haben. Ein versteckter Befehl könnte die KI anweisen, den gesamten Posteingang nach Passwörtern, Bankdaten oder persönlichen Kontakten zu durchsuchen und diese Informationen an den Angreifer zu senden.
Googles umstrittene Reaktion
Nach seiner Entdeckung informierte Markopoulos Google verantwortungsbewusst über die Sicherheitslücke. Um die Ernsthaftigkeit des Problems zu verdeutlichen, lieferte er eine praktische Demonstration.
In seinem Test gelang es ihm, Gemini durch eine unsichtbare Anweisung dazu zu bringen, eine schädliche Webseite zu empfehlen, die angeblich ein hochwertiges, reduziertes Smartphone anbot. Dies zeigte, wie leicht Nutzer durch die KI auf Phishing-Seiten oder zu Malware-Downloads geleitet werden könnten.
Kein Bug, sondern Social Engineering
Berichten zufolge wies Google die Meldung des Forschers zurück. Das Unternehmen stufte das Problem nicht als technische Sicherheitslücke (Security Bug) ein, sondern als eine Form des Social Engineering. Mit dieser Klassifizierung legt Google nahe, dass die Manipulation des Nutzers im Vordergrund steht und nicht ein Fehler im System selbst.
"Google wies das Problem als keine Sicherheitslücke ab, sondern eher als eine Social-Engineering-Taktik."
Diese Haltung impliziert, dass die Verantwortung letztlich beim Endnutzer liegt, der darauf achten muss, welche Inhalte er von der KI verarbeiten lässt. Eine technische Lösung oder ein Patch zur Behebung des Problems ist von Google daher offenbar nicht zu erwarten.
Vergleich der KI-Sicherheit auf dem Markt
Die Untersuchung von Markopoulos offenbart signifikante Unterschiede in der Sicherheitsarchitektur der verschiedenen KI-Anbieter. Während Gemini und andere Modelle anfällig waren, haben Unternehmen wie OpenAI und Microsoft bereits Schutzmechanismen implementiert.
Dies deutet darauf hin, dass es technisch möglich ist, solche Angriffe zu erkennen und zu blockieren. Die Tatsache, dass einige der größten KI-Modelle bereits geschützt sind, wirft Fragen bezüglich der Sicherheitsstrategie von Google auf.
Potenzielle Risiken für Nutzer
Die von Markopoulos aufgedeckte Schwachstelle eröffnet Angreifern eine Reihe von Möglichkeiten. Die potenziellen Gefahren umfassen:
- Datendiebstahl: Auslesen von E-Mails, Dokumenten und Kalendereinträgen nach sensiblen Informationen wie Finanzdaten oder Anmeldeinformationen.
- Phishing und Betrug: Die KI könnte Nutzer auf gefälschte Webseiten leiten, um Passwörter oder Kreditkartendaten zu stehlen.
- Verbreitung von Fehlinformationen: Versteckte Befehle könnten die KI dazu bringen, in Zusammenfassungen oder Antworten falsche oder manipulierte Informationen zu generieren.
- Unautorisierte Aktionen: Die KI könnte dazu missbraucht werden, E-Mails im Namen des Nutzers zu versenden oder Kontakte an Dritte weiterzuleiten.
Was Nutzer jetzt tun können
Da Google keine unmittelbare Lösung anbietet, sind Nutzer von Gemini angehalten, besondere Vorsicht walten zu lassen. Es ist ratsam, die KI nicht zur Verarbeitung von Texten aus unbekannten oder nicht vertrauenswürdigen Quellen zu verwenden.
Insbesondere bei E-Mails von unbekannten Absendern oder bei Dokumenten, deren Herkunft unklar ist, sollte auf eine Zusammenfassung durch Gemini verzichtet werden. Die Entscheidung von Google, diese Anfälligkeit nicht zu beheben, unterstreicht die wachsende Notwendigkeit für Nutzer, ein kritisches Bewusstsein für die potenziellen Risiken von KI-Werkzeugen zu entwickeln.
