Johann Rehberger: Prompt-Injection-Angriffe auf KI-Tools im August

Der unabhängige KI-Forscher Johann Rehberger hat im August ein wahnsinniges Tempo an Veröffentlichungen vorgelegt. Jeden Tag hat er einen Bericht zu einem anderen Tool veröffentlicht, der die Schwachstellen bei Prompt‑Injection aufzeigt. Damit demonstriert er eindrucksvoll, wie weit verbreitet und gefährlich diese Angriffe noch immer sind – fast drei Jahre nach dem ersten öffentlichen Aufzeigen.

In den bisherigen Berichten wurden unter anderem ChatGPT, Codex, Anthropic MCPs, Cursor, Amp, Devin, OpenHands, Claude Code, GitHub Copilot und Google Jules untersucht. Für jedes dieser Systeme hat Rehberger konkrete Angriffsvektoren aufgedeckt, die von der Ausnutzung von URL‑Whitelist‑Mechanismen bis hin zu unzureichender Pfadvalidierung reichen.

Ein kurzer Überblick über die ersten Tage: Am 1. August zeigte er, wie ChatGPTs Bild‑URL‑Whitelist genutzt werden kann, um private Daten aus dem Chatverlauf zu exfiltrieren. Am 2. August demonstrierte er, wie Codex Web über eine falsche Allowlist auf Azure‑Ressourcen zugreifen lässt. Am 3. August enthüllte er einen Directory‑Traversal‑Fehler im Anthropic‑Filesystem‑MCP‑Server, der unautorisierte Ordnerzugriffe ermöglicht. Am 4. August folgte ein weiterer Bericht, der die Liste der Angriffe weiter ausweitete.

Der August ist noch nicht vorbei – noch ein halbes Monat bleibt. Rehberger plant, die Untersuchung fortzusetzen und weitere Tools zu beleuchten. Seine Arbeit unterstreicht die Dringlichkeit, Prompt‑Injection-Sicherheitslücken in allen KI‑Anwendungen zu schließen.