Die von CNCERT beschriebene Angriffsmethode wird auch als indirekte Prompt-Injection (IDPI) oder domänenübergreifende Prompt-Injection (XPIA) bezeichnet. Statt direkt mit einem großen Sprachmodell zu interagieren, missbrauchen Angreifer dabei harmlose KI-Funktionen wie die Zusammenfassung von Webseiten oder die Inhaltsanalyse, um manipulierte Anweisungen ausführen zu lassen. Die möglichen Folgen reichen vom Aushebeln KI-gestützter Werbeprüfung über die Beeinflussung von Einstellungsentscheidungen bis hin zu SEO-Poisoning und verzerrten Antworten durch das Unterdrücken negativer Bewertungen.
OpenAI erklärte in einem kürzlich veröffentlichten Blogbeitrag, dass sich Prompt-Injection-Angriffe weiterentwickeln und nicht mehr nur Anweisungen in externe Inhalte einbetten, sondern zunehmend auch Elemente des Social Engineering einsetzen. KI-Agenten könnten immer öfter im Web surfen, Informationen abrufen und im Auftrag eines Nutzers handeln, so das Unternehmen – Fähigkeiten, die zwar nützlich seien, zugleich aber neue Angriffswege eröffneten.
Dass die Risiken real sind, zeigten kürzlich Forscher von PromptArmor. Sie fanden heraus, dass sich die Link-Vorschau-Funktion in Messaging-Apps wie Telegram oder Discord über eine indirekte Prompt-Injection in einen Kanal zum Datenabfluss verwandeln lässt. Der Agent wird dabei dazu gebracht, eine vom Angreifer kontrollierte URL zu erzeugen, an die dynamisch generierte Parameter mit vertraulichen Nutzerdaten angehängt sind. Wird diese URL in der App als Link-Vorschau gerendert, überträgt sie die Daten automatisch an die fremde Domain – ohne dass der Nutzer den Link anklicken muss.
Laut PromptArmor kann der Datenabfluss in agentenbasierten Systemen mit Link-Vorschau bereits in dem Moment erfolgen, in dem der KI-Agent dem Nutzer antwortet. Neben den manipulierten Eingaben nennt CNCERT drei weitere Problemfelder. Für kritische Sektoren wie das Finanz- und Energiewesen könnten solche Vorfälle zum Abfluss zentraler Geschäftsdaten, Geschäftsgeheimnisse und Code-Repositorys führen oder ganze Geschäftssysteme lahmlegen.
Zur Absicherung empfiehlt CNCERT, die Netzwerkkontrollen zu verschärfen, den Standard-Verwaltungsport von OpenClaw nicht ins Internet zu stellen, den Dienst in einem Container zu isolieren, Zugangsdaten nicht im Klartext zu speichern, Erweiterungen nur aus vertrauenswürdigen Quellen zu beziehen, deren automatische Updates abzuschalten und den Agenten aktuell zu halten.
Wie Bloomberg berichtet, haben chinesische Behörden zudem damit begonnen, staatlichen Unternehmen und Regierungsstellen den Betrieb von OpenClaw-Anwendungen auf Bürorechnern zu untersagen; das Verbot soll sich auch auf die Angehörigen von Militärpersonal erstrecken.
Die große Popularität der Software ruft auch Kriminelle auf den Plan. Laut Huntress verbreiten Angreifer über GitHub bösartige Repositorys, die sich als OpenClaw-Installationsprogramme ausgeben, um Infostealer wie Atomic und Vidar Stealer sowie die Go-basierte Proxy-Malware GhostSocks per ClickFix-Anweisungen zu verteilen. Die Kampagne zielte nicht auf eine bestimmte Branche, sondern allgemein auf Nutzer, die OpenClaw installieren wollten und für Windows wie macOS bedient wurden. Erfolgreich war sie laut Huntress vor allem, weil die Schadsoftware auf GitHub gehostet wurde und das bösartige Repository in Bings KI-Suchergebnissen zur höchstbewerteten Empfehlung für “OpenClaw Windows” aufstieg.
