Prompt Injection

Feindliche oder versteckte Anweisungen im Kontext, die das Verhalten eines LLM kapern, direkt (Nutzerinput) oder indirekt (RAG, Tools, fremde Dokumente).

Prompt Injection schleust feindliche Anweisungen in Text ein, den das Modell lesen muss: Nutzernachrichten, abgerufene Passagen, E-Mails oder Webseiten. So folgt ein LLM ihnen statt dem System-Prompt der Anwendung.

Direkt: Der Angreifer tippt manipulative Anweisungen (z. B. „ignore previous instructions“). Indirekt: Nicht vertrauenswürdiger Inhalt kommt über RAG, Tool-Ausgaben oder eingefügte Dokumente, ohne dass der Nutzer den Angriff formuliert. Das überschneidet sich mit, ist aber nicht dasselbe wie ein Jailbreak, der oft Safety-Ablehnungen statt die Befehls-Hierarchie in Produktions-Apps trifft.

Betroffen sind öffentliche Chatbots, KI-Agenten mit Werkzeugen und Unternehmens-Assistenten. Gegenmaßnahmen: Kontext-Design, Filter, Guardrails und Red Teaming.