Vordenker
Die kommende Welle von Multimodal-Angriffen: Wenn AI-Tools zu einer neuen Exploit-Oberfläche werden
Da große Sprachmodelle (LLMs) zu Multimodal-Systemen evolvieren, die Text, Bilder, Sprache und Code verarbeiten können, werden sie auch zu mächtigen Orchestrierern externer Tools und Konnektoren. Mit dieser Evolution kommt eine erweiterte Angriffsfläche, der sich Organisationen bewusst sein müssen.
Ein prominentes Beispiel dafür ist Social Engineering, dem Agenten zum Opfer fallen können, weil sie trainiert wurden, wie Menschen zu handeln, und noch weniger Skepsis haben. Ein Agent ist beispielsweise unwahrscheinlich in der Lage, den Unterschied zwischen einer gefälschten E-Mail und einer von einem legitimen Händler zu erkennen.
Die Konvergenz von Multimodalität und Tool-Zugriff verwandelt AI von einem Assistenten in ein Medium für Angriffe. Angreifer können jetzt einfache Textprompts verwenden, um Tool-Missbrauch auszulösen, nicht autorisierte Aktionen auszuführen oder sensible Daten über legale Kanäle zu exfiltrieren. Da diese Fähigkeiten für Zugänglichkeit und nicht für Verteidigung konzipiert sind, können sogar Angreifer mit geringen Fähigkeiten AI-Systeme nutzen, um komplexe Operationen ohne das Schreiben einer einzigen Codezeile durchzuführen.
Wie multimodale AI zu einer Exploit-Kette wird
LLMs werden zunehmend zu Orchestrierern externer Systeme, mit Integrationsmöglichkeiten, die heute alles umfassen, von APIs bis hin zu E-Mail, Cloud-Speicher und Code-Execution-Tools. Diese Konnektoren sind oft für Zugänglichkeit und nicht für Verteidigung konzipiert.
Der Nachteil davon ist, dass es zu einer Welle neuer Exploits führen kann.
Eine davon ist prompt-getriebener Tool-Missbrauch. Zum Beispiel könnte ein Angreifer ein Bild mit Prompt-Injektionsanweisungen in einer E-Mail verwenden. Ein Optical Character Recognition (OCR)-Tool ist erforderlich, um den Text aus einem Bild zu extrahieren. Der Agent wird angewiesen, auf die E-Mail zu antworten und eine Google-Karte zur Heimatadresse des Zielobjekts anzuhängen, wodurch die Anonymität des Opfers aufgehoben wird.
Ein weiterer Mechanismus ist die Umgehung von Schutzbarrieren zwischen verschiedenen Modulen. Dies bezieht sich auf Schutzbarrieren, die zwischen den Eingabe- und Ausgabepunkten von Tools sitzen. Beispielsweise könnte die Analyse der Ausgabe eines OCR-Extractors nicht stark genug sein, um Prompt-Injektionen aus seiner Ausgabe zu verhindern.
Es gibt auch strukturelle Schwächen, die ausgenutzt werden können. Ein solches Problem sind die lockeren, übermäßig permissiven Bindungen zwischen dem Modell und den externen Tools, die es aufrufen kann – was bedeutet, dass ein einfacher natürlicher Sprachprompt reale Aktionen wie das Ausführen von Code, den Zugriff auf Dateien oder die Interaktion mit E-Mail auslösen kann. Darüber hinaus fehlt es vielen dieser Systeme an strengen Zugriffskontrollen, so dass die AI möglicherweise die Fähigkeit hat, Daten zu schreiben, zu löschen oder zu modifizieren, weit über das hinaus, was ein Mensch jemals autorisieren würde. Das Problem wird noch ernster, wenn man sich die Konnektoren und MCP-Style-Erweiterungen ansieht, die oft fast keine Schutzbarrieren haben; sobald sie angehängt sind, erweitern sie den Zugriff der AI auf persönliche Speicher, Posteingänge und Cloud-Plattformen mit sehr wenig Aufsicht. Zusammen erzeugen diese strukturellen Schwächen eine Umgebung, in der klassische Sicherheitsprobleme – Exfiltration, Sandbox-Escapes und sogar Memory-Poisoning – durch nichts weiter als einen clever konstruierten Prompt ausgelöst werden können.
Aufkommende Bedrohungen: Was kommt als Nächstes?
In diesem neuen Normal werden AI-gestützte E-Mail- und Social-Engineering-Angriffe unmittelbar bevorstehen. Phishing-Volumen wird aufgrund der Verwendung von LLMs durch den Angreifer zunehmen; der Engpass ist das Umgehen normaler Spam-Filter von E-Mail-Anbietern wie Google. Inbox-verbundene AI-Agenten erhöhen die Wahrscheinlichkeit, dass Phishing-Angriffe erfolgreich sind. Es wird wahrscheinlich zu einer Zunahme von E-Mail-basierten Bedrohungen kommen, wenn Benutzer Agenten mit Gmail oder Outlook verbinden.
Angreifer können die AI anweisen, ganze Spam- oder Spear-Phishing-Kampagnen durchzuführen. In diesem Szenario wird AI-zu-AI-Phishing plausibel.
Multimodale Systeme bieten zunehmend Code-Execution-Fähigkeiten. Escape-Wege ermöglichen es Angreifern, die zugrunde liegende Infrastruktur zu durchbrechen. Und Sandbox-Escapes stellen das größte Reputations-Desaster für Hersteller dar.
Langzeit-Speicher-Poisoning und verzögerte Auslöser stellen weitere Bedrohungen dar. Persistenter Speicher ermöglicht es, versteckte Payloads zu aktivieren, wenn zukünftige Prompts gegeben werden. Cross-Modale Auslöser (z.B. Bilder oder Textsnippets) könnten Zeitbomben-Verhaltensweisen auslösen.
Warum multimodale Angriffe so zugänglich und so gefährlich sind
AI hat die Angriffsfähigkeiten demokratisiert. Benutzer benötigen keine Codier- oder Malware-Entwicklungsfähigkeiten; natürliche Sprache wird zur Schnittstelle für die Erstellung von Malware oder die Exfiltration von Daten. Das bedeutet, dass sogar nicht-technische Personen Malware erzeugen oder Kampagnen über Prompts durchführen können.
AI ermöglicht auch die Beschleunigung und Skalierung schädlicher Operationen. Multimodale Agenten können Arbeiten automatisieren, die früher Expertenbemühungen erforderten. Code, E-Mails, Forschung und Aufklärung können sofort produziert werden.
Benutzer-Übervertrauen und ungewollte Exposition tragen zum Schadenspotenzial von AI bei. Benutzer verstehen oft nicht, auf welche Ressourcen die AI zugreifen kann, und Standard-Einstellungen aktivieren AI-Integrationen zunehmend automatisch. Viele Menschen sind sich nicht bewusst, dass sie der AI übermäßigen Zugriff auf E-Mail oder Dokumente gewährt haben.
Prinzipien und Kontrollen für multimodale Sicherheit
Organisationen müssen Sicherheitsmaßnahmen gegen multimodale Angriffe ergreifen. Sicherheitsteams müssen den Zugriff auf Tools standardmäßig einschränken. Opt-in-Kontrollen sollten auto-aktivierte Integrationen ersetzen. Sie sollten auch den Grundsatz des geringsten Privilegs auf alle AI-verbundenen Systeme anwenden und Schreib-/Löschzugriff entfernen. Dies sollte Cross-Origin-Regeln und Domain-Whitelisting (Infrastruktur-Whitelisting und nicht LLM-Ebene-Whitelisting) umfassen.
Ein weiterer wichtiger Schritt ist, explizite Schutzbarrieren für die Tool-Invocation zu erstellen. Natürliche Sprach-Auslöser sollten durch strukturierte, typisierte Befehlsvalidierung ersetzt werden. Schutzbarrieren sollten sowohl Eingabe- als auch Ausgabe-Engpässe sein.
Weitere wichtige Prinzipien und Kontrollen umfassen:
- Starke Genehmigungsworkflows für sensible Operationen durchsetzen.
- Vermeiden Sie es, Benutzerdaten im persistenten Modell-Speicher zu speichern. Wenden Sie automatisierte Speicher-Sanitisierung und Herkunftsprüfungen an.
- Code-Execution-Umgebungen härten und isolieren.
- Überwachen Sie verdächtiges Verhalten und Fluchtversuche.
- Benutzerbildung und Transparenz stärken.
- Fügen Sie weitere Benutzerbestätigungen hinzu, wenn der Agent riskante Aufgaben ausführt.
- Stellen Sie sicher, dass klar ist, wenn AI-Tools auf E-Mails, Dateien oder Cloud-Ressourcen zugreifen.
- Warnen Sie Benutzer vor hochriskanten Konnektoren.
Erfolg gegen multimodale Angriffe
AI-Technologien haben sich schnell in Agenten von Geschäftsoperationen verwandelt, was eine Situation geschaffen hat, in der die natürliche Sprache selbst zu einer Art Exploit wird. Die Konvergenz von Multimodalität und Tool-Zugriff öffnet die Angriffsfläche und verwandelt AI von einem Assistenten in ein Medium für Angriffe. Multimodale Angriffe nutzen die lockere Integration zwischen LLMs und den externen Systemen, die sie steuern, wie APIs, Dateispeicher und Automatisierungsplattformen, aus.
Da Bedrohungen evolvieren, müssen Organisationen Strategien anwenden, die explizit multimodale Angriffspfade berücksichtigen. Die Stärkung der Verteidigung mithilfe der oben genannten Best Practices ist unerlässlich, um zu verhindern, dass AI-Tools unbeabsichtigt als Links in einer Exploit-Kette dienen.
