Die meisten der entdeckten Prompt Injections sind nach Angaben von Google harmlos. Dazu zählen Scherze, die KI-Assistenten etwa anweisen, ihr Verhalten zu ändern und sich wie ein Vogelküken zu verhalten und zu zwitschern. Andere Website-Betreiber hinterlegen hilfreiche Anweisungen für eine KI, die eine Seite zusammenfassen soll, oder versuchen umgekehrt, Assistenten vom Auslesen ihrer Seite abzuhalten – unter anderem mit dem Hinweis, der Inhalt sei gefährlich und sensibel.
Eine weitere Kategorie zielt auf Suchmaschinenoptimierung: Manche Administratoren weisen KI-Assistenten an, ihr Unternehmen als das beste darzustellen.
Sicherheitsrelevant sind vor allem die bösartigen Versuche. Die Forscher unterscheiden hier zwei Typen: Exfiltration und Zerstörung. Bei der Exfiltration enthielten manche Websites Prompts, die eine KI anweisen, Daten wie IP-Adressen und Zugangsdaten zu sammeln und an eine vom Angreifer vorgegebene E-Mail-Adresse zu schicken.
„Bei dieser Angriffsklasse war die Raffinesse jedoch deutlich geringer", erklärten die Google-Forscher. Man habe keine nennenswerten Mengen fortgeschrittener Angriffe beobachtet – etwa unter Nutzung bekannter Exfiltrations-Prompts, die Sicherheitsforscher 2025 veröffentlicht hätten. Das deute darauf hin, dass Angreifer diese Forschung noch nicht im großen Stil in die Praxis überführt hätten.
In die Kategorie Zerstörung fallen Prompts, die eine KI dazu bringen sollen, sämtliche Dateien auf dem Rechner des Nutzers zu löschen. Solche Angriffe dürften nach Einschätzung der Forscher allerdings kaum erfolgreich sein.
Obwohl die Experten keine besonders ausgefeilten Angriffe sahen, verzeichneten sie zwischen November 2025 und Februar 2026 einen Anstieg bösartiger Prompt-Injection-Versuche um 32 Prozent. Sie warnen, dass sowohl Umfang als auch Raffinesse solcher Angriffe in naher Zukunft zunehmen dürften. Die bisher geringe technische Reife, so das Fazit, ändere nichts am Aufwärtstrend: Die Bedrohung reife heran und werde bald sowohl an Ausmaß als auch an Komplexität gewinnen.