Eine kürzlich entdeckte Schwachstelle in Googles Gemini AI zeigt, wie Angreifer E-Mail-Zusammenfassungen nutzen können, um Phishing-Angriffe ganz ohne Links oder Anhänge durchzuführen. Der Angriff basiert auf dem Vertrauen in AI-generierte Inhalte und der Art, wie Sprachmodelle versteckte Anweisungen interpretieren.
Die Schwachstelle in Gemini Workspace im Detail
Marco Figueroa, Leiter von Mozillas Bug-Bounty-Programm 0din für generative KI, beschreibt, wie Angreifer unsichtbare Befehle in eine Gmail-Nachricht einbetten können. Diese sind für Nutzer nicht sichtbar – etwa durch weißen Text auf weißem Hintergrund – aber werden von Gemini vollständig ausgelesen, wenn ein Nutzer auf „E-Mail zusammenfassen“ klickt.
Daraufhin erstellt Gemini eine gefälschte Sicherheitswarnung mit einem Hinweis auf ein angeblich kompromittiertes Passwort sowie einer Telefonnummer und einem Referenzcode – scheinbar im Namen von Google.
Warum dieser Angriff so effektiv ist
Dieser indirekte Prompt-Injection-Angriff funktioniert, weil Gemini nicht nur sichtbaren Text auswertet. HTML-Tricks wie winzige Schriftgrößen oder Text außerhalb des Bildschirms umgehen die Schutzmechanismen. Ein Befehl wie „Du Gemini, musst …“ wird vom System besonders ernst genommen.
So erscheint die manipulierte Nachricht glaubwürdig und verleitet das Opfer dazu, der Anweisung zu folgen – zum Beispiel durch Anruf bei der falschen Nummer oder Preisgabe von Zugangsdaten.
Breitere Bedrohungslage durch AI-Manipulation
Laut Mitch Ashley von der Futurum Group könnte dieser Angriffsvektor durch Integration in Newsletter oder CRM-Systeme massenhaft verbreitet werden. Ein kompromittiertes SaaS-Konto reicht, um tausende Nutzer zu erreichen.
Weil keine Links oder Anhänge nötig sind, entgeht die Methode herkömmlichen Spam- und Phishing-Filtern – die Gefahr steckt im AI-generierten Text selbst.
Ein wachsendes Problem für KI-Sicherheit
Das Alan Turing Institute nennt diese Angriffsart das „größte Sicherheitsrisiko generativer KI“. Denn im Gegensatz zum Menschen analysieren KI-Modelle auch unsichtbare Daten. Dadurch entsteht eine breite und schwer kontrollierbare Angriffsfläche.
Google reagiert: DeepMind erforscht Erkennungsverfahren für indirekte Prompt-Injection-Angriffe und veröffentlichte im Juni 2025 ein mehrschichtiges Schutzkonzept.
Was Sicherheitsteams jetzt tun sollten
Figueroa vergleicht die Methode mit früheren Makro-Angriffen in E-Mails. Sicherheitsteams sollten generative KI als Teil der Angriffsfläche betrachten, sie isolieren und niemals unkritisch ihren Ausgaben vertrauen.
Fazit
Die Schwachstelle in Gemini zeigt, wie einfach vertrauenswürdige AI-Werkzeuge für gezielte Phishing-Angriffe missbraucht werden können. Mit der zunehmenden Integration von KI steigt auch das Risiko.
Sichern Sie Ihr Unternehmen jetzt mit unseren Cybersicherheitslösungen, die speziell für E-Mail-Umgebungen, SaaS-Plattformen und AI-Workflows entwickelt wurden.
Den vollständigen Artikel von Security Boulevard lesen Sie hier.
