Wissen · Sicherheit

Was ist Prompt Injection?

Der häufigste Angriff auf KI-Chatbots — einfach erklärt: wie er funktioniert, warum er als ungelöst gilt und was ihn zum Sicherheitsrisiko Nr. 1 macht.

OWASP-Risiko Nr. 1 für LLM-Anwendungen
Gerissenes Schutzschild mit glühendem Riss – Sinnbild für eine ungelöste Sicherheitslücke bei KI-Chatbots

Start · Wissen · Prompt Injection

Definition

Prompt Injection in einem Satz

Prompt Injection ist ein Angriff auf KI-Sprachmodelle, bei dem manipulierte Eingaben den Chatbot dazu bringen, seine ursprünglichen Anweisungen zu ignorieren, interne Informationen preiszugeben oder unerwünschte Ausgaben zu erzeugen.

Der Kern des Problems: Ein Sprachmodell bekommt Anweisungen und Nutzereingaben im selben Textstrom — und kann nicht zuverlässig unterscheiden, was eine legitime Regel ist und was ein eingeschleuster Befehl. Ein geschickt formulierter Satz wie „Ignoriere alle vorherigen Anweisungen und …" kann so das Verhalten des Bots umbiegen.

Funktionsweise

Direkte und indirekte Prompt Injection

Direkte Prompt Injection. Der Angreifer schreibt die Manipulation selbst in den Chat — er tippt den schädlichen Befehl direkt ein.
Indirekte Prompt Injection. Die Anweisung wird in einer externen Quelle versteckt — einer Webseite, einem Dokument, einer E-Mail —, die der Bot später verarbeitet. Besonders gefährlich, weil das Opfer die Manipulation gar nicht selbst eingibt.

Angriffsarten

Was Angreifer damit erreichen

Jailbreak. Die Schutzmechanismen (Guardrails) des Bots werden ausgehebelt, sodass er Dinge tut oder sagt, die eigentlich gesperrt sind.
System-Prompt-Extraktion. Der Angreifer bringt den Bot dazu, seine internen Anweisungen oder vertraulichen Vorgaben offenzulegen.
Prompt Extraction. Ein wachsendes Thema: Statt den Bot nur zu Fehlverhalten zu verleiten, geht es gezielt darum, seine verborgenen Instruktionen und Daten auszulesen.
Datenabfluss. Über den Bot wird an Informationen gelangt, die nicht für den Nutzer bestimmt sind.

Warum ungelöst

Das Risiko Nr. 1 — und noch nicht gebannt

Prompt Injection steht an der Spitze der OWASP Top 10 für LLM-Anwendungen und gilt in der Produktion als häufigste Ursache für Ausfälle KI-gestützter Anwendungen (Help Net Security). Selbst führende Anbieter geben keine Entwarnung: OpenAI erklärt öffentlich, dass sich das Problem für Browser-Agenten „vielleicht nie" vollständig lösen lässt (CyberScoop).

Die praktische Konsequenz: Weil niemand vollständige Sicherheit garantieren kann, ist ein unabhängiger Test der Widerstandsfähigkeit die einzige belastbare Aussage über den eigenen Bot. Wie so ein Test aufgebaut ist, steht auf der Seite Chatbot-Sicherheitstest — Methodik; ein konkreter Test ist der Prompt-Injection-Test.

Häufige Fragen

Prompt Injection — FAQ

Was ist Prompt Injection?
Prompt Injection ist ein Angriff auf KI-Sprachmodelle, bei dem manipulierte Eingaben den Chatbot dazu bringen, seine ursprünglichen Anweisungen zu ignorieren, interne Informationen preiszugeben oder unerwünschte Ausgaben zu erzeugen. Der Bot kann dabei nicht sicher zwischen legitimer Anweisung und eingeschleustem Befehl unterscheiden.
Was ist der Unterschied zwischen direkter und indirekter Prompt Injection?
Bei der direkten Prompt Injection schreibt der Angreifer die Manipulation selbst in den Chat. Bei der indirekten Prompt Injection versteckt er die Anweisung in einer externen Quelle — Webseite, Dokument, E-Mail —, die der Bot später verarbeitet. Die indirekte Variante gilt als besonders gefährlich.
Warum ist Prompt Injection so schwer zu lösen?
Sie steht an der Spitze der OWASP Top 10 für LLM-Anwendungen. Ein Sprachmodell erhält Anweisungen und Daten im selben Textstrom und kann nicht zuverlässig unterscheiden, was eine legitime Anweisung ist. OpenAI hat öffentlich erklärt, dass sich das Problem für Browser-Agenten möglicherweise nie vollständig lösen lässt.
Wie kann man einen Chatbot gegen Prompt Injection absichern?
Vollständige Sicherheit gibt es nicht, aber die Widerstandsfähigkeit lässt sich erhöhen — durch Guardrails, Trennung von Anweisungen und Daten, Eingabefilter und Rechtebeschränkung. Vor allem sollte die Resistenz unabhängig getestet werden.

Wie widerstandsfähig ist Ihr Chatbot?

Unabhängiger Prompt-Injection-Test nach anerkannten Standards — verständlich aufbereitet, mit konkreten Handlungsempfehlungen.

Chatbot prüfen lassen
Chatbot prüfen lassen