Künstliche Intelligenz ist nicht nur ein Alltagshelfer. Auch Cyberkriminelle nutzen die Tools, etwa um KI-generierte Phishing-Mails zu verschicken und so Millionen User:innen potenziell zu gefährden. Besonders hoch ist die Gefahr für Endnutzer:innen aber, wenn die KI-Modelle selbst mit einem Trick dazu gebracht werden können, gegen die Interessen ihrer User:innen zu handeln.

Ein solcher Trick sind sogenannte ASCII-Attacken. Diese sind in der KI-Welt nicht neu, stellen aber offenbar weiterhin ein Risiko dar, wie der Sicherheitsforscher Viktor Markopoulos von Firetail herausgefunden hat. Wie Bleeping Computer berichtet, hat Markopoulos mehrere LLM-Dienste auf ihre Anfälligkeit für ASCII-Attacken überprüft. Dabei werden ASCII-Zeichen genutzt und etwa auf die kleinstmögliche Schriftgröße reduziert, um sie in einem sonst normal aussehenden Text zu verstecken. Sie sehen dann wie eine Unterstreichung oder Trennstriche zwischen Textabschnitten aus. KI-Programme „sehen“ die Zeichen dennoch und führen die Befehle darin aus, ohne dass es User:innen mitbekommen.

Laut dem Sicherheitsforscher gibt es aktuell drei KI-Tools, die für ASCII-Attacken anfällig sind: Deepseek, Grok und Gemini. Tools wie ChatGPT, Microsoft Copilot und Claude konnten den Attacken standhalten. Offenbar werden die Modelle dazu angehalten, versteckte Befehle mit ASCII-Zeichen vor dem Ausführen des Prompts herauszufiltern. Bei Deepseek und Grok müssen die versteckten Prompts von den User:innen selbst in die jeweiligen Chatbots kopiert werden, um den Befehl auszuführen. Das Risiko ist hier also vorhanden, aber laut Markopoulos bei Gemini deutlich höher.

Denn Googles KI ist mittlerweile Bestandteil von Google Workspace und damit unter anderem im Kalender und Mailprogramm von Nutzer:innen aktiv. Markopoulos sagt dazu: „Bei Nutzer:innen, die LLMs mit ihren Postfächern verknüpft haben, reicht eine simple Mail mit versteckten Kommandos, die die KI anweisen, das Postfach nach sensiblen Dateien zu durchsuchen oder Kontakte weiterzuleiten. Dadurch wird eine Standard-Phishing-Mail zu einem autonomen Tool zur Datenextraktion“.

In einem weiteren Beispiel versteckte der Sicherheitsforscher eine Anweisung, eine Website zu öffnen, die User:innen einen stark rabattierten Smartphone-Deal anzeigte. Die Website war allerdings ein Fake und könnte im Ernstfall Schadcode oder weitere Phishing-Elemente enthalten. Können User:innen diesen Fake nicht erkennen und klicken auf die falschen Elemente, kann der Schaden enorm ausfallen.

Die Ergebnisse seiner Forschung gab Markopoulos Mitte September 2025 an Google weiter. Der Tech-Konzern wies aber die Zuständigkeit für das Problem von sich. Laut Google handelt es sich dabei nicht um eine Sicherheitslücke in Gemini, sondern um eine Social-Engineering-Attacke auf die User:innen. Dementsprechend liegt es an den Nutzer:innen selbst, solche Angriffe zu erkennen und sich davor zu schützen. Allerdings dürfte das gerade für Laien, die lediglich die Vorteile von Gemini in ihrem Postfach nutzen wollen, nur schwer ersichtlich sein.