Autonome Code-Agenten enthüllen System-Prompts: Neue Sicherheitslücke entdeckt

Autonome Code-Agenten, die auf großen Sprachmodellen basieren, revolutionieren die Software- und KI-Entwicklung durch Tool‑Nutzung, langfristiges Denken und selbstgesteuerte Interaktion. Doch diese Autonomie birgt ein bislang unerkannteres Sicherheitsrisiko: Agenten erweitern die Angriffsfläche von LLMs, indem sie systematisch versteckte System‑Prompts auslesen, die das Verhalten der Modelle steuern.

In einer neuen Studie wird die Extraktion von System‑Prompts als emergente Schwachstelle bei Code‑Agenten identifiziert. Das vorgestellte Framework JustAsk lernt eigenständig effektive Auslesestrategien, ohne dass manuelle Prompt‑Engineering‑Techniken, gelabelte Daten oder privilegierter Zugriff nötig sind. Stattdessen wird die Aufgabe als Online‑Explorationsproblem formuliert und nutzt Upper‑Confidence‑Bound‑basierte Strategien sowie einen hierarchischen Skill‑Space, der atomare Prüfungen mit hochrangiger Orchestrierung kombiniert.

Die Evaluation an 41 Black‑Box‑Modellen verschiedener Anbieter zeigte, dass JustAsk konsequent vollständige oder nahezu vollständige System‑Prompt‑Wiederherstellungen erzielt. Die Ergebnisse legen nahe, dass System‑Prompts ein kritisches, bislang wenig geschütztes Angriffs‑Surface in modernen Agentensystemen darstellen und dringende Sicherheitsmaßnahmen erfordern.