Die Forscher nennen die Methode Agent Data Injection, kurz ADI. Anders als klassische Prompt-Injection versteckt sie keine direkte Anweisung in Inhalten wie E-Mails, Webseiten oder Kommentaren. Stattdessen tarnt der Angreifer seine Eingabe als bereits vertrauenswürdige Daten, etwa als Namen eines Absenders oder als Kennung eines Schalters. Genau deshalb, so das Papier, gleitet ADI an vielen Abwehrmechanismen vorbei, die auf eingeschmuggelte Befehle trainiert wurden.
Aus Sicht der Forscher liegt die Schwachstelle darin, wie Agenten Informationen verarbeiten. Sie unterscheiden zwischen Anweisungen von Nutzern oder Entwicklern und Daten, die sie während ihrer Arbeit einsammeln. Klassische Prompt-Injection attackiert diese zweite Ebene mit versteckten Befehlen. ADI setzt noch tiefer an: Es manipuliert kleine, scheinbar harmlose Fakten, denen der Agent vertraut. Der Agent erledigt dann weiterhin die gewünschte Aufgabe, aber auf Basis präparierter Informationen.
Technisch basiert das auf dem, was die Autoren „probabilistische Delimiter-Injection“ nennen. Agenten strukturieren ihre Daten mit Satzzeichen und Trennzeichen wie Anführungszeichen, geschweiften Klammern, Tags, Klammern oder Zeilenumbrüchen. Ein Sprachmodell interpretiert diese Struktur jedoch nicht nach festen Regeln, sondern probabilistisch. Dadurch können Angreifer in kontrollierte Felder Zeichen einstreuen, die wie Strukturmarker wirken. Laut den Tests genügten dafür nicht einmal exakt passende Zeichen: ein maskiertes Anführungszeichen, typografische Anführungszeichen oder sogar ein Dollarzeichen konnten Modelle täuschen, obwohl ein strikter Parser sie nur als normalen Text lesen würde.
Die Forscher demonstrierten drei funktionsfähige Proof-of-Concept-Angriffe auf reale, bereits verfügbare Werkzeuge. Schutzabfragen vor riskanten Aktionen halfen dabei nur begrenzt. Claude in Chrome frage zwar vor einem Klick nach, doch die Rückfrage zeige nur, dass ein Element angeklickt werden soll, nicht welches und warum. Coding-Assistenten legen zwar ihre Begründung offen, doch diese basiert laut den Forschern auf manipulierten Fakten und wirkt deshalb wie eine plausible Beschreibung eines normalen Schritts.
Verwundbar waren nach Angaben des Teams alle getesteten Modelle: OpenAI GPT-5.2 und GPT-5-mini, Anthropic Claude Opus 4.5 und Sonnet 4.5 sowie Google Gemini 3 Pro und Flash. Bei strukturierten Daten lag die Erfolgsquote modellübergreifend zwischen 31 und 43 Prozent. Bei Webseitendaten reichte sie je nach Test von rund einem Drittel der Versuche bis zu allen Versuchen. Gegen speziell für Agenten entwickelte Schutzmechanismen zeigte sich laut Papier ein deutlicher Unterschied: Klassische eingeschmuggelte Befehle wurden nahezu vollständig blockiert, während ADI weiterhin bis zu 50 Prozent Erfolgsquote erreichte.
Nicht alle Systeme fielen gleichermaßen. Der Atlas-Browser von ChatGPT widerstand dem Klick-Angriff, weil Seitenelemente dort mit zufälligen, nicht erratbaren IDs statt einfachen Zählern markiert werden. Eine ähnliche Idee, ein kurzer Zufallstag an Feldnamen, halbierte die Erfolgsrate in den Tests ungefähr von 49 auf 29 Prozent, ohne die Nutzbarkeit stark zu beeinträchtigen. Eine aufwendigere Abwehr, die die Herkunft jedes Datenelements verfolgt, blockierte die Angriffe vollständig, ließ die Agenten aber nur noch etwa ein Drittel ihrer normalen Aufgaben abschließen. Das Entfernen von Satzzeichen reduzierte ADI ebenfalls, beschädigte aber zugleich die Fähigkeit der Agenten, normale Inhalte wie Links oder Dateipfade korrekt zu lesen.
Nach Angaben der Forscher gibt es keine öffentlichen Berichte über ADI-Angriffe im realen Einsatz. Vor der Veröffentlichung informierte das Team die betroffenen Anbieter. OpenAI, Google und Anthropic bestätigten demnach den Eingang der Meldungen; Nanobrowser hatte laut Papier bis dahin nicht geantwortet. Woohyuk Choi, der das Papier zusammen mit Prof. Byoungyoung Lee verfasst hat, sagte The Hacker News, OpenAI, Google und Anthropic hätten die Gültigkeit des Angriffs bestätigt. OpenAI und Google hätten zudem um eine Kopie des Papiers gebeten. Über konkrete Abhilfen sei das Team jedoch „weder über eine ausgelieferte noch über eine geplante Korrektur informiert worden“.
Damit ADI funktioniert, müssen laut Papier zwei Bedingungen erfüllt sein: Der Agent muss Inhalte verarbeiten, die Fremde bearbeiten können, und der Angreifer muss das Format kennen, in dem der Agent seine Daten verpackt. Bei Open-Source- oder lokal betriebenen Werkzeugen lasse sich dieses Format durch Quellcodeanalyse oder Reverse Engineering ermitteln. Schwieriger sei das bei Cloud-Diensten. Choi sagte jedoch, das Team habe auch serverseitige Formate mit einem mehrstufigen Jailbreak offengelegt und dies mit unterschiedlichem Aufwand gegen GPT, Claude und Gemini geschafft. Zudem teilten größere und kleinere Modelle eines Anbieters oft dasselbe Format, was den Weg über leichter angreifbare kleinere Modelle eröffne.
Das Papier ordnet ADI in eine Reihe früherer Arbeiten ein. Aim Security hatte im Juni 2025 EchoLeak (CVE-2025-32711) in Microsoft 365 Copilot offengelegt, eine Schwachstelle, bei der eine präparierte E-Mail den Assistenten ohne Klick zur Preisgabe interner Dateien bewegen konnte. Microsoft schloss die Lücke; Berichte über realen Missbrauch gab es nicht. Im Mai 2025 zeigte Invariant Labs außerdem, dass ein öffentliches GitHub-Issue einen Agenten zum Lesen und Offenlegen eines privaten Repositorys bewegen konnte. Jüngere herstellerübergreifende Tests brachten laut Quelltext Claude Code, Gemini CLI und Copilot ebenfalls dazu, über Issue- und Pull-Request-Texte eigene Geheimnisse preiszugeben. Der Unterschied bei ADI: Hier werden keine Anweisungen eingeschmuggelt, sondern Herkunft und Ablauf bereits vertrauter Daten gefälscht.
