So einfach kann man Prompt Injections abwehren
IT-Experten nutzen Context Bombing als Köder. So legen sich angreifende KI-Modelle in Netzwerken selbst lahm.

Sicherheitsforscher haben eine Methode entwickelt, um Netzwerke aktiv vor feindlichen KI-Agenten zu schützen. Das sogenannte »Context Bombing« füttert die Angreifer mit verbotenen Textbefehlen und zwingt sie so zum sofortigen Abbruch der Übernahme.
Verbotene Befehle als Stolperfalle
Hacker schleusen häufig manipulierte Prompts in Systeme ein, um fremde Sprachmodelle für sich arbeiten zu lassen. Das Sicherheitsunternehmen Tracebit dreht den Spieß nun um. Das Team platziert in AWS-Umgebungen gezielt eigene Prompt Injections direkt neben echten Passwörtern oder kryptografischen Schlüsseln.
Sucht ein feindlicher KI-Agent nach Zugangsdaten, liest er diese präparierten Texte unweigerlich ein. Die versteckten Befehle fordern ihn beispielsweise auf, Bauanleitungen für Milzbrandsporen zu generieren oder das Massaker auf dem Platz des Himmlischen Friedens zu erwähnen.
Diese Anfragen verstoßen hart gegen die Sicherheitsrichtlinien der Anbieter. »Letztlich lösen wir im Kontext einen Verweigerungsmechanismus aus«, erklärt Tracebit-CEO Andy Smith. Der Agent stoppt daraufhin die gesamte laufende Operation.
Anzeige
Erfolgsquoten im Sturzflug
Tracebit überprüfte die Methode an Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro und Kimi 2.6. In einer simulierten AWS-Umgebung mussten sie 152 Angriffe durchführen und stießen dabei gezielt auf die platzierten Befehle.
Die Erfolgsquote der Angreifer schrumpfte dabei rapide zusammen:
- Übernahmen von Admin-Rechten fielen von 57 auf 5 Prozent.
- Komplette System-Kompromittierungen sanken von 36 auf 1 Prozent.
- Versuche, die überhaupt einen Angriffspfad fanden, stürzten von 91 auf 15 Prozent ab.
Opus 4.8 scheiterte sogar bei jedem einzelnen Versuch. Ohne die Context-Bomben hatte es zuvor noch in 93 Prozent der Fälle vollen Admin-Zugriff erlangt.
Vom reinen Alarm zur direkten Abwehr
Bereits im Mai hatte Tracebit gefälschte AWS-Ressourcen als digitale Stolperfallen eingesetzt. Sobald ein KI-Agent auf diese Scheinziele zugriff, löste das System Alarm aus.
Das gab den Administratoren im Schnitt nach acht Minuten eine Warnung. Da die automatisierten Angreifer durchschnittlich 14 Minuten brauchten, um die Admin-Kontrolle zu übernehmen, blieb dem IT-Personal jedoch nur ein extrem knappes Zeitfenster zum Reagieren.
Mit Context Bombing stoppen Netzwerke den Angriff nun von selbst. Earlence Fernandes, Professor an der University of California, bewertet das Vorgehen als die erste bekannte Anwendung, bei der Verteidiger das ungelöste Kernproblem der Prompt Injections direkt zu ihrem eigenen Vorteil einsetzen.