Thought Leadership
Die von SafeBreach entdeckte Gemini-Schwachstelle Fake Context Alignment erlaubt die Manipulation des Google-Sprachassistenten über Messenger-Nachrichten.
IT-Sicherheitsforscher des Unternehmens SafeBreach haben Details zu einer kritischen Schwachstelle im KI-gestützten Sprachassistenten Google Gemini veröffentlicht. Die Angriffsmethode trägt den Namen Fake Context Alignment. Sie ermöglicht es Angreifern, den Sprachassistenten durch manipulierte Benachrichtigungen gewöhnlicher Smartphone-Anwendungen wie WhatsApp, Slack oder SMS zu kompromittieren.
Wenn ein Benutzer den Assistenten per Sprachbefehl anweist, die eingegangenen Nachrichten vorzulesen, werden im Hintergrund unbemerkt schädliche Anweisungen in den Kontext des laufenden Gesprächs eingespeist. Die Forscher demonstrierten, dass diese Befehle beispielsweise in Fremdsprachen oder in unsichtbaren Hyperlinks eingebettet werden können. Das KI-Modell verarbeitet diese Anweisungen im System, ohne sie dem Nutzer laut vorzulesen. Dadurch wurden die bestehenden Sicherheitsbarrieren von Google vollständig umgangen.
Mögliche Schadensszenarien und Gefahren im Freisprechbetrieb
Die Ausnutzung dieser Schwachstelle ist besonders in Freisprechszenarien wie beim Autofahren relevant, da Nutzer dort stark auf die Interaktion per Sprache angewiesen sind. Durch die unbemerkt injizierten Prompts können Angreifer eine Vielzahl unautorisierter Aktionen auf dem Gerät des Opfers auslösen. Dazu gehören das Steuern von vernetzten Haushaltsgeräten über die Google-Home-Integration, das eigenständige Starten von Videokonferenzen in Zoom oder das Verfassen gefälschter Nachrichten, die für das Opfer so aussehen, als stammten sie von vertrauenswürdigen Kontakten.
Im schlimmsten Fall kann ein Angreifer das Langzeitgedächtnis des KI-Assistenten weitreichend manipulieren, um eine dauerhafte Kontrolle über das System zu etablieren. SafeBreach wies darauf hin, dass die Angriffsfläche durch die zunehmende Integration von KI-Systemen in den Alltag exponentiell wächst: „Diese Untersuchung zeigt, dass sich die Angriffsfläche exponentiell vergrößert, je tiefer LLM-gestützte Assistenten in unsere Geräte und unser tägliches Leben integriert werden. Auf Benachrichtigungen basierende Angriffe beweisen, dass indirekte Prompt-Injektionen über hochgradig vertrauenswürdige, alltägliche Kommunikationskanäle zuverlässig ausgeführt werden können.“
Gemini-Lücke bereits 2025 gemeldet
Die Entdeckung der Schwachstelle basiert auf früheren Forschungsarbeiten von SafeBreach, bei denen bereits Angriffe über manipulierte Kalendereinladungen in Google Workspace dokumentiert wurden. Die neu entdeckte Lücke im Bereich der Benachrichtigungen wurde Google bereits im August 2025 gemeldet. Der Technologiekonzern reagierte darauf und rollte Mitte November 2025 ein entsprechendes Sicherheitsupdate aus, welches verbesserte Inhaltsklassifikatoren zur Erkennung solcher Manipulationsversuche beinhaltet. SafeBreach hat die technischen Details der Schwachstelle in dieser Woche öffentlich gemacht, um das Bewusstsein für die fortwährenden Risiken von Prompt-Injektionen zu schärfen. Die Forscher forderten grundlegende Änderungen in der Softwarearchitektur:
„Organisationen und Anbieter müssen über punktuelle Schadensbegrenzungen hinausgehen und überdenken, wie KI-Systeme Vertrauen, Kontext und kanalübergreifende Berechtigungen analysieren, um die Sicherheit der Benutzer zu gewährleisten.“
Forscher von SafeBreach
