In seinem Global Threat Report aus dem Jahr 2026 berichtete CrowdStrike über Prompt-Injection-Angriffe bei mehr als 90 Organisationen im Jahr 2025. Die injizierten Prompts generierten Befehle, die Anmeldeinformationen und Kryptowährung stahlen, was einen bedeutenden Wandel darstellt, da diese Prompts jetzt funktionieren als Malware.
Der Bericht dokumentiert einen Anstieg der KI-gestützten gegnerischen Operationen um 89 % im Jahresvergleich. Darüber hinaus handelte es sich bei 82 % der Einbrüche um keinen traditionellen Schadcode, da Unternehmen dazu übergingen, Agenten, Copiloten und Browserautomatisierungen zu verwenden, die auf E-Mails, Code, Zahlungen und Dateifreigaben zugreifen.
Prompt Injection konnte seinen Spitzenplatz als LLM01 in den OWASP Top 10 für große Sprachmodellanwendungen in zwei aufeinanderfolgenden Ausgaben behaupten. OWASP betonte, dass Sprachmodelle nicht in der Lage seien, Entwickleranweisungen zuverlässig von nicht vertrauenswürdigem Text zu unterscheiden, was einst eine Forschungskuriosität in eine betriebliche Schwachstelle verwandelte.
Eine direkte Eingabeaufforderungsinjektion erfolgt, wenn ein Benutzer Anweisungen eingibt, um eine Systemeingabeaufforderung zu überschreiben, während eine indirekte Eingabeaufforderungsinjektion erfolgt, wenn ein Angreifer Anweisungen in Inhalte einbettet, die das Modell später liest, z. B. E-Mails oder Dokumente. Der Benutzer sieht die Nutzlast nicht und der Agent führt die bösartigen Befehle ohne Interaktion aus.
Zwei bemerkenswerte Vorfälle geben Aufschluss über die Schwere dieser Schwachstellen. Im August 2024 gab PromptArmor bekannt, dass ein Slack-KI-Angreifer Daten aus privaten Kanälen exfiltrieren könnte, indem er Anweisungen in öffentliche Kanäle oder hochgeladene Dateien einfügt. Im folgenden Jahr berichtete Aim Security über EchoLeak (CVE-2025-32711), wo eine manipulierte E-Mail Microsoft 365 Copilot anwies, interne Dateien abzurufen und an einen vom Angreifer kontrollierten Server zu senden, wodurch ein CVSS-Score von 9,3 erreicht wurde. Beide Schwachstellen wurden behoben, die Art der Angriffe bleibt jedoch ungelöst.
Der Oberflächenbereich der Schwachstelle hat sich erweitert und umfasst nun einen breiteren Agentenstapel, bei dem Agenten, die verschiedene Aufgaben ausführen, ihren Kontext als maßgeblich behandeln. Diese Entwicklung bedeutet, dass das Langzeitgedächtnis des Agenten wiederholt bösartige Anweisungen speichern und ausführen kann.
OpenAI räumte im Dezember 2025 ein, dass Prompt-Injection wahrscheinlich nicht vollständig gelöst werden kann, und verglich es oft mit Social Engineering. Die Claude Opus 4.6-Systemkarte von Anthropic zeigte eine Erfolgsquote von 17,8 % für einen einzigen sofortigen Injektionsversuch und stieg bei 200 Versuchen ohne vorhandene Sicherheitsmaßnahmen auf 78,6 %. Google meldete eine Erfolgsquote von 53,6 % für die sofortige Injektion seiner Gemini-Bereitstellung.
Im Dezember 2025 empfahl Gartner CISOs, alle KI-Browser zu blockieren, und verwies auf indirekte Prompt-Injection und andere Risiken, die mit unzureichenden Kontrollen verbunden sind. Cyberhaven berichtete, dass 27,7 % der Unternehmen mindestens einen Benutzer hatten, auf dem das blockierte KI-Tool Atlas installiert war, eine Warnung, die vom britischen National Cyber Security Centre und dem deutschen BSI bestätigt wurde.
Die Einschränkungen bestehender Abwehrmaßnahmen gegen Prompt-Injection ergeben sich aus den gemeinsam genutzten Textkanälen in Sprachmodellen. Eingabevalidierung, Ausgabefilterung und andere Erkennungsmethoden erschweren sich aufgrund der inhärenten Unfähigkeit, autorisierte Befehle von nicht vertrauenswürdigen Inhalten innerhalb des Modells zu trennen.
Ein separates Ergebnis ergab, dass 65,3 % der Unternehmen über keine speziellen Abwehrmaßnahmen gegen eine sofortige Injektion verfügen und sich stattdessen auf vom Anbieter bereitgestellte Maßnahmen und Richtlinienschulungen verlassen. Zu wirksamen Kontrollen sollten die Einschränkung der Befugnisse jedes Agenten, die Anforderung einer menschlichen Genehmigung für kritische Aktionen, die Kennzeichnung von Abrufquellen auf der Grundlage von Sensibilität und die Implementierung von Prüfpraktiken gehören.
Wenn Unternehmen den Einsatz von KI in Betracht ziehen, werden Sicherheitsteams aufgefordert, Anbieter nach Erkennungsfähigkeiten, Erfolgsquoten bei sofortigen Injektionen, Einhaltung der OWASP-Empfehlungen und der Fähigkeit, genaue Agentenaktionen zu protokollieren, zu befragen. Angesichts der Schwachstellen ist es für Unternehmen von entscheidender Bedeutung, davon auszugehen, dass Modelle gelegentlich eingeschleusten Anweisungen folgen, was robuste externe Kontrollen erfordert.
