„Man in the Prompt“-Angriffe: Wenn der Hacker sich im KI-Tool versteckt
Bei „Man in the Prompt“-Angriffen nutzen Cyberkriminelle Browsererweiterungen von KI-Tools wie ChatGPT oder Gemini, um Daten zu stehlen oder versteckte Eingabeaufforderungen einzuschleusen.
Neustadt an der Weinstraße, 06.08.2025 (PresseBox) - Cyberkriminelle haben eine neue Art des Angriffs entwickelt, um an die Daten ihrer Opfer zu gelangen. Bei sogenannten „Man in the Prompt“-Angriffen missbrauchen die Hacker gängige Browsererweiterungen, um Eingabeaufforderungen in KI-Tools wie ChatGPT, Google Gemini und andere einzuschleusen. Diese kritische Erkenntnis stammt aus einem aktuellen Bedrohungsbericht des Cybersicherheitsforschungsunternehmens LayerX.
Dem Bericht zufolge nutzen die Angreifer dabei die gängige Funktionsweise der KI-Tools innerhalb des Browsers. Die Eingabefelder der Prompts sind Teil der Struktur der Webseite (bekannt als Document Object Model, DOM). Das bedeutet, dass praktisch jede Browsererweiterung mit grundlegendem Skripting-Zugriff auf das DOM lesen oder ändern kann, was die Benutzer in die KI-Eingabeaufforderungen eingeben, auch ohne dass spezielle Berechtigungen erforderlich sind.
Ein böswilliger Angreifer kann so kompromittierte Erweiterungen verwenden, um die sogenannten Prompts, also die Benutzeranfragen an die KI, zu manipulieren, versteckte Anweisungen einzuschleusen, sensible Daten aus den KI-Antworten oder der gesamten Sitzung zu extrahieren oder das KI-Modell sogar dazu verleiten, vertrauliche Informationen preiszugeben oder unbeabsichtigte Aktionen auszuführen. Im Wesentlichen wird der Browser damit zu einem Kanal, der es der Erweiterung ermöglicht, als „Man in the Middle“ für KI-Interaktionen zu fungieren.
Die Risiken eines solchen Angriffs sind signifikant, da browserbasierte KI-Tools häufig sensible Informationen verarbeiten, besonders wenn die Nutzer vertrauliche Unternehmensdaten in diese Schnittstellen einfügen und die interne KI-Anwendung auf proprietären Datensätzen trainiert wird und die Angreifer durch die Browsererweiterung Daten extrahieren. Die Tatsache, dass viele Unternehmen die Installation der kostenlosen KI-Tools erlauben, macht diese Art des Angriffs für Kriminelle zusätzlich attraktiv, denn sie bietet einen unauffälligen Weg, um Unternehmensdaten und -wissen zu stehlen.
Für herkömmliche Sicherheitsvorkehrungen stellt der „Man in the Prompt“-Angriff zudem eine echte Herausforderung dar, denn Sicherheitstools wie „Data Loss Prevention (DLP)“-Systeme für Endpunkte oder Secure Web Gateways haben keinen Einblick auf DOM-Ebene. Auch das Blockieren von KI-Tools allein über die URL schützt nicht vor internen KI-Implementierungen. Das bedeutet, dass Unternehmen ihre Sicherheitskonzepte anpassen müssen, damit auch das Verhalten innerhalb des Browsers erfasst wird. Zu den wichtigsten Empfehlungen von LayerX gehören die Überwachung von DOM-Interaktionen innerhalb von KI-Tools, um verdächtige Aktivitäten zu erkennen, das Blocken riskanter Erweiterungen auf der Grundlage ihres Verhaltens und nicht nur ihrer aufgeführten Berechtigungen sowie die aktive Verhinderung von Manipulationen und Datenexfiltrationen in Echtzeit auf Browser-Ebene.
