Google Gemini durch versteckte Kalendereinträge manipulierbar
Forscher haben eine neue Methode entdeckt, mit der Googles KI-Assistent Gemini durch manipulierte Kalendereinträge ferngesteuert werden kann. Diese "Targeted Promptware Attacks" ermöglichen es Angreifern, sensible Daten preiszugeben oder sogar physische Geräte zu steuern, ohne direkten Zugriff auf das KI-Modell zu benötigen.
Wie die Angriffe funktionieren
Die Angriffe basieren auf der Technik der "Prompt Injection". Dabei werden versteckte Anweisungen in scheinbar harmlosen Ressourcen wie E-Mails oder Kalendereinträgen platziert. Wenn ein Nutzer seinen Gemini-Assistenten aktiviert, um beispielsweise eine Kalendereinladung zu prüfen, wird auch der versteckte, schädliche Prompt ausgeführt. Dies kann dazu führen, dass der Assistent unerwünschte Aktionen ausführt.
- Indirekte Prompt-Injektion: Angreifer kompromittieren das Kontextgedächtnis von Gemini über manipulierte Kalendereinladungen oder E-Mails.
- Auswirkungen: Die Folgen reichen von der Verbreitung beleidigender Nachrichten und Spam über das Löschen von Terminen bis hin zur Fernsteuerung von Smart-Home-Geräten wie Lichtern oder Boilern.
- Szenarien: Die Forscher identifizierten 14 realistische Szenarien, darunter das Aufzeichnen von Nutzern über Zoom oder die Geolokalisierung.
Hohes Risiko und mangelnde Abwehrmachanismen
Eine von den Forschern entwickelte Risikoanalyse ergab, dass 73 Prozent der identifizierten Bedrohungen als "High-Critical" eingestuft wurden. Dies unterstreicht die Dringlichkeit robuster Schutzmaßnahmen. Die Angriffe erfordern keine speziellen technischen Kenntnisse oder Zugriff auf leistungsstarke Hardware. Einfache Anweisungen in natürlicher Sprache, die an strategischen Stellen versteckt sind, genügen bereits, um die KI zu manipulieren. Bisher gibt es keinen zuverlässigen Schutz gegen diese Art von Angriffen, insbesondere bei agentenbasierten Systemen.
Googles Reaktion und Schutzmaßnahmen
Google wurde im Februar 2025 über die Schwachstellen informiert und hat seitdem mehrere Gegenmaßnahmen implementiert. Dazu gehören verpflichtende Nutzerbestätigungen für sensible Aktionen, eine verbesserte Erkennung und Filterung verdächtiger URLs sowie ein Klassifikator zur Identifizierung indirekter Prompt-Injections. Laut Google wurden diese Maßnahmen bereits für alle betroffenen Gemini-Anwendungen ausgerollt. Die Studie wurde von Forschern der Tel Aviv University, des Technion und der Sicherheitsfirma SafeBreach durchgeführt.
KI Snack
