Cross-Modal-Injektion
Cross-Modal-Injektion ist eine Angriffstechnik gegen multimodale KI-Systeme, bei der Angreifer bösartige Anweisungen über mehrere Eingabekanäle (z. B. Text, Bild, Audio) gleichzeitig einschleusen, um das Verhalten des Systems zu manipulieren und Sicherheitsvorkehrungen zu umgehen.
Ausführliche Erklärung
Cross-Modal-Injektion stellt eine Weiterentwicklung klassischer Prompt-Injection-Angriffe dar und nutzt die Fusion mehrerer Datenmodalitäten in modernen KI-Systemen aus. Während herkömmliche Prompt-Injections ausschließlich über Texteingaben erfolgen, kombinieren Cross-Modal-Injektionen manipulative Anweisungen über verschiedene Eingabekanäle – etwa versteckte Befehle in Bildern, die zusammen mit scheinbar harmlosem Text verarbeitet werden. Das OWASP Gen AI Security Project listet Prompt Injection als primäre Bedrohung für KI-Systeme und betont, dass multimodale Modelle besonders anfällig sind, weil Angreifer Interaktionen zwischen verschiedenen Datentypen ausnutzen können.
Die Angriffstechnik funktioniert, indem adversarielle Inhalte so über mehrere Modalitäten verteilt werden, dass sie im Fusionsprozess des Modells zusammenwirken und die ursprünglichen Systemanweisungen überschreiben. Forschungsarbeiten zeigen, dass Cross-Modal-Angriffe besonders effektiv sind, weil sie textbasierte Sicherheitsfilter umgehen – ein Modell könnte beispielsweise eine harmlose Textnachricht erhalten, während ein beigefügtes Bild versteckte Anweisungen enthält, die das Modell zur Preisgabe sensibler Daten oder zur Ausführung unerwünschter Aktionen veranlassen. Die Erfolgsraten solcher Angriffe liegen laut aktueller Studien bei bis zu 82 Prozent gegen ungeschützte Systeme.
Für Unternehmen ist diese Bedrohung besonders relevant, wenn KI-Systeme Zugriff auf interne Datenquellen, E-Mails, Dokumente oder externe Webinhalte haben. KI-Agenten wie Microsoft Copilot oder autonome Web-Agenten sind exponiert, da sie regelmäßig multimodale Inhalte aus verschiedenen Quellen verarbeiten. Ein praktisches Angriffsszenario: Ein scheinbar normales E-Mail-Dokument mit versteckten Anweisungen in Bildern oder Metadaten wird vom System gelesen und veranlasst die KI, vertrauliche Unternehmensinformationen zu extrahieren oder an externe Empfänger weiterzuleiten.
Die Abwehr gegen Cross-Modal-Injektionen erfordert mehrschichtige Sicherheitsmaßnahmen: Sanitierung aller Eingabekanäle vor der Verarbeitung, kontextbewusste Output-Validierung, Zugriffsbeschränkungen nach dem Least-Privilege-Prinzip und kontinuierliches Monitoring. Das UK National Cyber Security Centre hat im Jahr 2023 festgestellt, dass Prompt Injection möglicherweise ein inhärentes Problem der LLM-Technologie darstellt, für das es noch keine vollständige Lösung gibt. Dies unterstreicht die Notwendigkeit, KI-Systeme nicht blind zu vertrauen und kritische Entscheidungen weiterhin durch menschliche Prüfung abzusichern.
Praxisbeispiel
Eine österreichische Steuerberatungskanzlei mit 25 Mitarbeitenden setzt einen KI-Assistenten zur Analyse eingehender Mandanten-Dokumente ein. Ein Angreifer sendet ein scheinbar legitimes PDF mit Steuerfragen, das jedoch im beigefügten Diagramm-Bild versteckte Anweisungen enthält. Gleichzeitig platziert der Angriff in einem harmlosen Begleittext eine zweite Teilanweisung. Das multimodale Modell kombiniert beide Eingaben und extrahiert vertrauliche Mandantendaten, die über eine externe URL abfließen – ohne dass die Kanzlei den Angriff bemerkt.
Quellen
- LLM01:2025 Prompt Injection - OWASP Gen AI Security Project
- Manipulating Multimodal Agents via Cross-Modal Prompt Injection (Wang et al., 2025)
- Securing Agentic AI: How Semantic Prompt Injections Bypass AI Guardrails | NVIDIA Technical Blog
- Multimodal prompt injection: attacks in images, audio, and video
- KI-Tools in der Entwicklung schaffen neue Angriffsflächen | Security Insider