KI-Spionage: Wie „ZombieAgent“ Chatbots zu Datendieben macht

KI-Gedächtnisfunktionen werden zur neuen Einfallspforte für Cyberangriffe. Ein neuartiger Exploit namens „ZombieAgent“ verwandelt hilfreiche Assistenten wie ChatGPT in stille Spione, die sensible Daten abgreifen – für herkömmliche Sicherheitssysteme unsichtbar. Die Entdeckung stellt Datenschutzregeln wie die DSGVO infrage und zwingt zu einem radikalen Umdenken.

Sicherheitsforscher des Unternehmens Radware haben die „ZombieAgent“-Methode aufgedeckt. Sie nutzt eine Technik namens indirekte Prompt-Injection: Schadbefehle werden in scheinbar harmlosen Inhalten wie E-Mails oder Dokumenten versteckt, die eine KI verarbeiten soll. Verarbeitet der Assistent diese, kann er seine eigene Langzeiterinnerung manipulieren.

Das Ergebnis? Einmal implantierte, bösartige Regeln bleiben über mehrere Gespräche und Sitzungen hinweg aktiv. So könnte die KI angewiesen werden, alle sensiblen Nutzerdaten zu speichern und heimlich an einen Server der Angreifer zu senden. Der Nutzer muss nicht einmal auf einen Link klicken; schon das Zusammenfassen des eigenen Postfachs durch die KI kann den Angriff auslösen.

Passend zum Thema KI-Sicherheit: Experten warnen, dass 73% der Unternehmen derzeit nicht ausreichend gegen neue Cyberrisiken gerüstet sind – besonders gefährlich sind cloud-seitige Angriffe wie Memory Poisoning. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, wie Sie Connectors absichern, Zugriffsrechte begrenzen und Prompt-Injection erkennen, bevor Daten abfließen. Ideal für Unternehmen, IT‑Verantwortliche und Entscheider, die ihre Systeme ohne großen Aufwand widerstandsfähiger machen wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Das Besorgniserregende: Die gesamte schädliche Aktivität spielt sich cloud-seitig in der KI-Infrastruktur ab. Das Endgerät des Nutzers wird nicht kompromittiert, es gibt keinen auffälligen Netzwerkverkehr und keine Logs für Sicherheitstools. Firewalls und Endpoint-Detection-Systeme stehen damit buchstäblich im Blindflug.

Gedächtnis als Schwachstelle: Das Problem der „Memory Poisoning“

Eigentlich sollen Gedächtnisfunktionen die Interaktion persönlicher und nahtloser machen. Doch sie schaffen eine gewaltige neue Angriffsfläche. KI-Modelle können von Natur aus nicht zuverlässig zwischen passiven Daten und aktiven Befehlen unterscheiden – eine fundamentale Schwäche.

In Kombination mit einem Langzeitgedächtnis wird diese Lücke potenziert. Ein Angreifer täuscht die KI nicht nur einmal, er kann ihr Grundverhalten für alle künftigen Interaktionen verändern. Experten sprechen von „Memory Poisoning“ (Gedächtnisvergiftung): Das Gedächtnis des Agenten wird mit falschen Daten oder Schadbefehlen korrumpiert.

Die Folgen sind vielfältig: Die KI kann Daten ausleiten, auf Basis manipulierter „Fakten“ schädliche Falschinformationen liefern oder die Infektion sogar verbreiten, indem sie E-Mails mit der Schadlast an die Kontakte des Opfers sendet.

Connector als Einfallstor: Der Weg in Unternehmensdatenbanken

Die Gefahr wächst mit der zunehmenden Vernetzung. Connectors verbinden KI-Agenten mit externen Anwendungen wie E-Mail-Postfächern, Cloud-Speichern oder Enterprise-Software. Sie steigern die Produktivität, bieten Angreifern aber auch einen direkten Kanal, um schädliche Inhalte einzuspeisen und sensible Unternehmensdaten abzugreifen.

Ein kompromittierter KI-Agent mit Zugriff auf interne Systeme – etwa CRM-Datenbanken oder Code-Repositories – wird zur hochwertigen Zielscheibe. Er könnte ganze Datenbestände ausleiten, Kundenkommunikation umleiten oder unbefugte Aktionen ausführen, während er nach außen hin normal funktioniert. Die Grenze zwischen hilfreichem Tool und Insider-Bedrohung verschwimmt.

Datenschutz am Limit: Braucht es neue Regeln für KI?

Diese Entwicklung stellt etablierte Datenschutzrahmen wie die DSGVO und den CCPA vor immense Herausforderungen. Beide bauen auf Grundsätzen der Datensparsamkeit und Zweckbindung auf. Doch was bedeutet Zweckbindung, wenn eine KI kontinuierlich aus Nutzerinteraktionen in verschiedenen Kontexten lernt und neue Informationen ableitet?

Das Gedächtnis einer KI kann enorme Mengen persönlicher Daten speichern und synthetisieren. Das wirft komplexe Fragen zu Nutzerzustimmung, Recht auf Löschung und Datenhoheit auf. Wer besitzt die Erinnerungen einer KI? Und wie löscht man sie vollständig?

Schwierige Abwehr: Keine einfache Lösung in Sicht

Als Reaktion auf die Enthüllungen hat OpenAI die spezifischen Schwachstellen gepatcht. Der grundlegende Kampf gegen Prompt-Injection und Gedächtnismanipulation geht jedoch weiter. Experten bezweifeln, dass es mit derzeitigen KI-Architekturen eine vollständige Lösung für diese Angriffsart geben kann.

Unternehmen und Nutzer müssen wachsamer werden. Dazu gehört, Datenschutzeinstellungen auf KI-Plattformen regelmäßig zu prüfen und den Zugriff von KI-Agenten auf sensible Informationen und Drittanbieter-Apps streng zu kontrollieren.

Für Entwickler ist der Bau robusterer Sicherheitsbarrieren essenziell. Nutzer brauchen transparente Dashboards, um zu sehen, zu bearbeiten und zu löschen, was ihre KI-Assistenten sich merken. Die Sicherheitscommunity fordert, KI-Agenten wie privilegierte Nutzer im Netzwerk zu behandeln – mit strengsten Zugriffskontrollen und kontinuierlicher Überwachung.

Der Wettlauf, diese mächtigen neuen Fähigkeiten gegen bösartige Ausbeutung zu sichern, hat gerade erst begonnen. Er erfordert ein fundamentales Umdenken von Privatsphäre und Sicherheit in einer Welt, die immer stärker von KI getrieben wird.

PS: Wollen Sie die neuen Risiken von KI rechtssicher und technisch abwehren? Der Gratis-Leitfaden zur Cyber-Security Awareness zeigt sofort umsetzbare Maßnahmen, Compliance-Hinweise zur KI-Regulierung und eine Checkliste für Zugriffsbeschränkungen bei KI-Agenten. Perfekt für Datenschutzbeauftragte und IT‑Teams, die cloud‑seitige Gedächtnis‑Manipulation verhindern wollen. Gratis-Leitfaden zur Cyber-Sicherheit jetzt sichern