Ein Kunde tippt einen harmlosen Satz in das Chatfenster – und plötzlich gewährt der Servicebot 50 % Rabatt, den es nie gab, oder verrät Interna. Kein Hack im klassischen Sinn, keine Schadsoftware. Nur die richtigen Worte. Willkommen in der Welt der Prompt Injection.
Was ist Prompt Injection?
Ein KI-Chatbot arbeitet nach festen Anweisungen seines Betreibers – was er darf und was nicht. Bei einer Prompt Injection schleust ein Angreifer über die normale Chat-Eingabe neue Anweisungen ein, die diese Regeln aushebeln. Das Tückische: Der Bot kann die eingeschmuggelte Anweisung nicht zuverlässig von seiner eigentlichen Aufgabe unterscheiden – und folgt ihr.
Warum das gefährlich ist
Ein erfolgreicher Angriff hat handfeste Folgen: Der Bot gibt interne Daten oder Informationen anderer Kunden preis, macht unerlaubte Zusagen mit Haftungsfolge, äußert sich rufschädigend oder umgeht seine Schutzmechanismen. Besonders heikel: Solche Angriffe hinterlassen im Alltag keine Spur und fallen oft erst auf, wenn der Schaden schon entstanden ist.
Das größte Risiko für KI-Anwendungen
Prompt Injection ist kein Randphänomen: In der OWASP-Liste der größten Sicherheitsrisiken für Anwendungen mit großen Sprachmodellen steht sie an erster Stelle. Wer einen Chatbot im Kundenkontakt einsetzt, sollte dieses Risiko kennen – und aktiv prüfen, statt zu hoffen.
Was Betreiber tun können
Vollständig verhindern lässt sich Prompt Injection nach heutigem Stand nicht – aber das Risiko lässt sich deutlich senken, wenn man die Schwachstellen kennt. Genau dafür gibt es den unabhängigen Prompt-Injection-Test: Der Bot wird verdeckt mit realen Angriffsmustern konfrontiert, und Sie erfahren schwarz auf weiß, wo er standhält und wo er nachgibt.
