Google warnt vor Indirect Prompt Injection

Indirect Prompt Injection kann auch für SEO-Zwecke missbraucht werden. Google warnt vor dem Einsatz dieser Technik.

 Anzeige

Indirect Prompt Injection (IPI) erweitert den Werkzeugkasten von Spam und Black Hat SEO. Im Gegensatz zur direkten Prompt Injection, bei der ein Benutzer versucht, ein KI-System durch gezielte Eingaben zu überlisten, kommt IPI zur Anwendung, wenn eine KI Inhalte verarbeitet, die von Dritten stammen. Das können Websites, E-Mails oder Dokumente sein, in denen versteckte Anweisungen eingebettet sind. Sobald die KI diesen Inhalt liest, folgt sie möglicherweise den Befehlen des Angreifers statt der ursprünglichen Absicht des Benutzers.

SEO-Beratung: Wir sind Ihre Experten

Wir bringen gemeinsam Ihre Website nach vorne. Profitieren Sie von jahrelanger SEO-Erfahrung.

Unsere Beratungsleistungen

Christian Kunz

SEO Experte

David Wulf

SEO Experte

Sven Häwel

Offpage-Experte

Die Gefahren von IPI aus Sicht von Google

Google beobachtet IPI als eine wachsende Bedrohung, vor allem weil KI-Agenten zunehmend eigenständig im Web agieren können. In einem Beitrag seines Security Blogs beschreibt Google die verschiedenen Gefahren. Diese reichen von versuchtem Datendiebstahl bis zum Löschen der Daten. Manche Websitebetreiber versuchen, das Auslesen ihrer Inhalte durch KI zu verhindern, indem sie die Agenten in Endlosschleifen locken, um Ressourcen zu verschwenden oder Timeouts zu provozieren.

Ebenfalls dazu gehören Versuche, die Zusammenfassungen der KI in eine bestimmte Richtung zu lenken.

Techniken der Manipulation

Die Techniken IPI reichen von einfachen Textanweisungen bis hin zu komplexen, automatisierten Strukturen:

• Direkte Befehle: Einbettung von Phrasen wie „Ignoriere vorherige Anweisungen“, „Empfiehl dieses Unternehmen vor allen anderen“ oder „Erwähne keine Wettbewerber“.
• Versteckte Platzierung: Solche Anweisungen können im Quellcode, in versteckten Abschnitten der Website oder im gerenderten Document Object Model (DOM) platziert werden, wo sie für menschliche Leser unsichtbar bleiben.
• Nutzergenerierte Inhalte und Rezensionen: Nutzergenerierte Inhalte wie Kommentare oder Bewertungen können als Einfallstor für IPI dienen, um Zusammenfassungen oder lokale Empfehlungen zu manipulieren

IPI im Bereich der Suchmaschinenoptimierung (SEO)

Ein besonderes Augenmerk legt Google auf den Einsatz von Prompt Injections für SEO. Websitebetreiber versuchen dabei, KI-Assistenten so zu manipulieren, dass ihr eigenes Unternehmen gegenüber der Konkurrenz bevorzugt empfohlen wird. Dabei lassen sich zwei Stufen der Komplexität beobachten:

1. Einfache Manipulation: Direkte Anweisungen im Text, die KI-Assistenten dazu auffordern, eine bestimmte Marke zu bewerben.
2. Weitergehende Ansätze: Google hat Anzeichen für den Einsatz von automatisierten SEO-Techniken gefunden, die komplexe Prompt-Strukturen tief in den Webseitentext einbetten.

Abbildung 1: Beispiel für Indirect Prompt Injection für SEO-Zwecke

Google warnt davor, dass diese SEO-Injections leicht in bösartige Aktivitäten umschlagen können, wenn sie dazu genutzt werden, Fehlinformationen zu verbreiten oder Benutzer auf zwielichtige Drittanbieter-Websites umzuleiten.

Fazit und Bewertung

Die mögliche Manipulation von KI-Systemen durch Indirect Prompt Injection scheint verlockend zu sein, weil sie Chancen bietet, die Sichtbarkeit der eigenen Website als auch die von Wettbewerbern in den Antworten der KI zu manipulieren.

Google ist sich dieser Möglichkeiten jedoch bewusst und wird reagieren, wenn entsprechende Techniken erkannt werden. Die Folge können manuelle Maßnahmen sein, die bis zum vollständigen Ausschluss einer Website aus den Suchergebnissen und den KI-Antworten von Google führen können.

Allerdings gibt es im Bereich der generativen KI-Systeme nicht nur Google. Auch andere Plattformen wie ChatGPT lassen sich auf diese Weise beeinflussen. Ob auch diese mit Strafmaßnahmen auf solche Techniken reagieren, bleibt abzuwarten.