Gemini-Sicherheitslücke: Angreifer kapern KI über versteckte Befehle

Forscher entdecken kritische Schwachstelle – KI lässt sich durch versteckte Befehle in Nachrichten manipulieren.

Sicherheitsforscher von SafeBreach Labs haben eine schwerwiegende Schwachstelle in Googles Sprachassistenten Gemini aufgedeckt. Angreifer können die Künstliche Intelligenz über harmlos wirkende Benachrichtigungen von Drittanbieter-Apps wie WhatsApp, Slack oder SMS kapern. Die Entdeckung wurde am 3. Juni 2026 veröffentlicht.

Banking, WhatsApp, PayPal – auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, das nun auch durch KI-Schwachstellen angreifbar wird. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, um Ihr Android-Gerät effektiv gegen Hacker und Datenmissbrauch abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Versteckte Befehle in harmlosen Nachrichten

Die Angriffsmethode trägt den Namen „Fake Context Alignment“. Forscher fanden heraus, dass sich schädliche Anweisungen in Nachrichten verstecken lassen – etwa durch fremdsprachige Textpassagen oder unsichtbare Hyperlinks. Für den Nutzer unsichtbar, für die KI jedoch lesbar.

Das Gefährliche daran: Einmal verarbeitet, kann der Angreifer weitreichende Kontrolle übernehmen. Die Forscher demonstrierten, wie sich Smart-Home-Geräte manipulieren, Video-Streams unbemerkt starten oder gefälschte Nachrichten von vertrauten Kontakten versenden lassen. Besonders alarmierend: Die Schwachstelle erlaubt sogar die Manipulation des Langzeitgedächtnisses des Sprachmodells – mit potenziell dauerhaften Folgen für das künftige Verhalten des Assistenten.

Systematisches Problem: Auch andere KI-Plattformen betroffen

Die Gemini-Lücke ist kein Einzelfall. Bereits am 2. Juni 2026 demonstrierten Sicherheitsexperten eine ähnliche Angriffstechnik namens „Comment and Control“ bei Claude Code, dem Gemini Command Line Interface und GitHub Copilot.

Dabei nutzten Angreifer GitHub-Pull-Requests, Issue-Kommentare oder Ticket-Texte, um KI-Agenten zu kapern, die in GitHub Actions laufen. Die Folge: Angreifer konnten sensible Workflow-Geheimnisse extrahieren. Anthropic bewertete die Claude-Code-Variante mit einem CVSS-Score von 9,4 – die höchste Kritikalitätsstufe. Experten betonen: Es handelt sich nicht um einen Bug in GitHub, sondern um ein grundlegendes Designproblem. Die KI ist darauf programmiert, Texte zu lesen und zu verarbeiten – auch solche, die ein Angreifer kontrolliert.

Meta-KI als Einfallstor für Promi-Konten

Wie real die Gefahr ist, zeigen Vorfälle bei Meta. Angreifer nutzten Prompt-Injection, um Instagram-Konten der US Space Force, von Sephora und sogar des Obama-Weißen Hauses zu übernehmen. Der KI-Chatbot erlaubte die Änderung der Wiederherstellungs-E-Mail-Adresse – ohne Identitätsprüfung. Die Täter verschleierten ihre Spuren mit VPNs. Metas Aktie verlor daraufhin mehr als fünf Prozent an Wert. Analysten sehen ein strukturelles Problem: KI-Modelle erhalten privilegierte Aktionen, ohne dass entsprechende Zugriffskontrollen greifen.

Ein veraltetes System ist wie eine offene Haustür für Cyberkriminelle, die immer neue Wege über KI und Messenger-Dienste finden. Erfahren Sie in diesem kostenlosen PDF-Ratgeber, wie Sie durch die richtigen Sicherheits-Updates und Einstellungen Ihr Android-Smartphone dauerhaft vor Malware und unbefugtem Zugriff schützen. Kostenlosen Android-Sicherheits-Report herunterladen

Google reagiert – doch die nächste Generation rollt an

Google hat auf die SafeBreach-Erkenntnisse reagiert und Updates für seine Content-Klassifizierer veröffentlicht. SafeBreach-Forscher Or Yair warnt: Unternehmen und Entwickler müssten sämtliche externen Eingaben für KI-Modelle grundsätzlich als nicht vertrauenswürdig behandeln.

Doch während Google die eine Sicherheitslücke schließt, erweitert es gleichzeitig das Gemini-Ökosystem. Im Juni 2026 startete der Konzern Gemini Spark – einen KI-Agenten für Premium-Nutzer, der auf Gmail, Docs und Kalenderdaten zugreift. Ebenfalls neu: Eine „Fake Call Detection“ für Android, die KI-generierte Deepfake-Betrugsanrufe anhand von RCS-Signalen erkennen soll. Ein Wettlauf zwischen Sicherheit und Funktionsumfang – mit offenem Ausgang.

de | wissenschaft | 69477569 |