So wird dein Google-Kalender zum Hacker-Tor

Forscher zeigen, wie eine simple Einladung Googles Gemini kapert und sogar dein Smart Home steuert – wie funktioniert dieser Trick?

gpt-image-1 | All-AI.de

Sicherheitsforscher aus Israel haben demonstriert, wie sich Googles Gemini-Assistent mit unscheinbaren Kalendereinladungen in gefährliche Werkzeuge verwandeln lässt. Versteckte Anweisungen in Betreffzeilen genügen, um Zugriff auf E-Mails zu erlangen, Videokonferenzen zu starten oder Smart-Home-Geräte zu steuern – bis hin zum physischen Eingriff in Wohnungen. Die Forscher sprechen von „Targeted Promptware Attacks“ und dokumentieren 14 funktionierende Szenarien. Google bestätigt die Lücken und verweist auf neue Sicherheitsmaßnahmen. Doch wie wird aus einer simplen Einladung ein Fernbefehl?

Vom Termin zur Fernsteuerung

Der Angriff beginnt harmlos: Eine Kalendereinladung enthält im Titel eine präparierte Zeichenkette. Fragt der Nutzer Gemini nach seinen Terminen, liest der Assistent diese Daten automatisch ein – inklusive der schadhaften Instruktion. Im nächsten Schritt löst Gemini Aktionen aus, die eigentlich der Produktivität dienen sollen. In einer Testumgebung öffneten die Forscher so Fensterläden, schalteten das Licht aus oder starteten den Boiler. Auffällig war die Verzögerung: Die Ausführung erfolgte erst nach einer weiteren, scheinbar belanglosen Nutzerreaktion wie „okay“ oder „danke“, um Sicherheitsfilter zu umgehen.

Die Technik basiert auf einer indirekten Prompt-Injection, bei der sich Befehle über geteilte Ressourcen in den Kontext des Sprachmodells schleichen. Die Angreifer zielen nicht auf das Modell selbst, sondern auf die Verbindung zwischen LLM und seinen Berechtigungen. Die Untersuchung beschreibt 14 praxisrelevante Szenarien in mehreren Angriffsklassen – von kurzfristiger Kontextvergiftung über Missbrauch einzelner Tools bis hin zur Eskalation auf weitere verbundene Agenten wie Google Home oder Android-Dienste.

Warum agentische KI besonders anfällig ist

Moderne Assistenten agieren nicht nur als Sprachmodelle, sondern steuern externe Dienste und Geräte. Kalender-, Home- oder Android-Integrationen erlauben direkte Aktionen – und genau hier liegt das Problem. Inhalte, die für Menschen wie normale Daten aussehen, können für ein Modell Anweisungen darstellen, wenn keine ausreichende Trennung zwischen Information und Befehl existiert. Indirekte Injektionen gelten inzwischen als besonders kritisch, da sie ohne tiefe technische Kenntnisse, ohne spezielle Hardware und oft sogar ohne direkten Systemzugang funktionieren.

Die Forscher bewerten das Risiko mit einem eigenen Analyseframework. Demnach fällt ein Großteil der Bedrohungen für Endnutzer in die höchste Risikokategorie. Sie demonstrierten zudem, wie sich ein einmal infizierter Agent seitlich im System bewegen kann – etwa vom Kalender-Agent zu Google Home oder zu Drittanwendungen wie Zoom. Über speziell präparierte URLs ließen sich Daten abziehen, wodurch aus einer simplen Terminnotiz ein reales Sicherheitsproblem im Haushalt wird.

Googles Gegenmaßnahmen und offene Fragen

Google wurde im Februar 2025 informiert und setzte auf eine 90-tägige koordinierte Offenlegung. In dieser Zeit implementierte das Unternehmen eine mehrschichtige Abwehrstrategie: neue Klassifikatoren für indirekte Prompt-Injections, zusätzliche Sicherheitsschritte bei der Verarbeitung von Instruktionen, Filtermechanismen für verdächtige URLs und verbindliche Nutzerbestätigungen bei riskanten Aktionen wie dem Löschen von Terminen. Interne Red-Teams und ein ausgebautes Bug-Bounty-Programm sollen die Schutzmechanismen laufend testen und erweitern.

Laut Google sind reale Angriffe bislang selten. Dennoch bleibt Prompt-Injection eine dauerhafte Schwachstelle, die nicht allein mit Filtern oder Pop-ups zu lösen ist. Die Studie zeigt, dass schon eine unscheinbare Einladung die Kette aus „lesen, merken, handeln“ übernehmen kann – solange Agenten ohne klare Trennung zwischen Daten und Befehlen auf externe Tools zugreifen. Für Nutzer und Anbieter bedeutet das, dass die Sicherheit solcher Systeme mehr erfordert als nur das Stopfen einzelner Lücken.

Kostenlose News und Tutorials – mit minimaler Werbung und maximalem Mehrwert. Damit das so bleibt und wir uns stetig verbessern können, freuen wir uns über deine Unterstützung.

Teile diesen Beitrag

Folge uns auf Social Media

Keine KI-News mehr verpassen und direkt kommentieren!

Unterstütze uns direkt

Mit einer YouTube-Mitgliedschaft (ab 0,99 €) oder einmalig über PayPal. So helft ihr uns, unabhängig neue Tools zu testen und noch mehr Tutorials für euch zu erstellen. Vielen Dank für euren Support!