In der ersten von Zscaler beschriebenen Kampagne setzten die Angreifer auf Suchmaschinenmanipulation, um KI-Agenten anzusprechen, die nach der Python-Bibliothek requests-secure-v2 suchten. Nach Angaben des Unternehmens enthielt die betrügerische Webseite schlüsselwortlastiges HTML, das auf das gefälschte Python-Modul zugeschnitten war, um Suchergebnisse für Paketinstallation und Fehlerbehebung bei Abhängigkeiten zu beeinflussen.

Auf der Seite versteckten die Täter indirekte Prompts, die den besuchenden Agenten anwiesen, im Rahmen des üblichen Ablaufs zum Erhalt eines API-Schlüssels eine Zahlung auszuführen. Die Zahlungsanweisung war in Schema-Markup codiert, um die Wahrscheinlichkeit zu erhöhen, dass die Agenten den Instruktionen folgen. Zusätzlich entdeckte Zscaler ein verborgenes <div>-Element, das KI-Agenten zur Behebung eines Fehlers zu einer Zahlung aufforderte, sowie Code zum Start einer Kryptowährungsüberweisung an eine fest einprogrammierte Wallet.

Nach Darstellung von Zscaler zielte die Webseite nicht nur auf KI-Agenten, sondern auch auf menschliche Entwickler. Wurde die Seite in einem Desktop-Browser dargestellt, erschienen dieselben Zahlungsoptionen per Kreditkarte oder Kryptowährung für den Nutzer sichtbar. Hinter der Kampagne stehen laut Zscaler zudem zehn GitHub-Repositorien, die auf mehrere ähnliche Webseiten mit indirekten Prompt-Injections verlinken.

Die zweite Kampagne drehte sich um eine betrügerische Webseite, die per Typosquatting den dezentralen Finanz-Portfolio-Tracker DeBank imitierte. Die dort eingesetzten indirekten Prompts teilten den KI-Agenten mit, dass die nachgeahmte Seite die legitime DeBank-Domain sei. Zscaler zufolge wurde die betrügerische Seite für DeBank-bezogene Suchanfragen optimiert, indem Titel- und Meta-Tags mit Schlüsselwörtern wie „DeBank-Anmeldung“, „DeFi-Dashboard“ und „Krypto-Tracker“ gefüllt wurden. Zusätzlich nutzten die Betreiber Metadaten für Open Graph und X, um den Link wie einen offiziellen DeBank-Dienst erscheinen zu lassen.

Um die Wirkung der beiden Kampagnen zu prüfen, entwickelte Zscaler einen autonomen KI-Agenten mit Web-Browsing- und Zahlungsfunktionen. Von 26 bewerteten großen Sprachmodellen ließen sich vier erfolgreich zu einer Zahlung verleiten: Llama 3.3 70B Instruct, Llama 3.2 90B Vision Instruct, Gemini 3 Flash und Gemini 2.5 Pro.

Bei der DeBank-Imitation fiel das Ergebnis etwas anders aus. Nur zwei Modelle, Claude Sonnet 4.5 und GPT-5.4, klassifizierten die betrügerische Webseite fälschlich als vertrauenswürdige DeBank-Plattform.

Zscaler zieht daraus den Schluss, dass mit der zunehmenden Verbreitung von KI-Agenten als Schnittstelle zum Web der eigentliche Inhalt von Webseiten zu einer größeren Angriffsfläche wird. KI sei dabei „ein zweischneidiges Schwert“, das Arbeitsabläufe zwar beschleunigen könne, zugleich aber neue Missbrauchsmöglichkeiten eröffne.