ÐаÑеÑина ÐвÑеÑов
Prompt Injection abwehren mit mehrstufigem Schutz
Prompt Injection lässt sich nicht vollständig verhindern. Ein mehrstufiger Schutz aus Eingabefilterung, strikter Datentrennung, begrenzten Rechten und Monitoring senkt das Risiko.
Prompt Injection nutzt eine Grundeigenschaft von Sprachmodellen (Large Language Models, LLM) und lässt sich nicht restlos beseitigen. Wirksamer Schutz beruht auf gestaffelten Kontrollen an Eingabe, Modell, Ausgabe und Berechtigungen. Mehrere Schichten zusammen senken Erfolgswahrscheinlichkeit und Schadenshöhe.
Der erste Teil dieser Reihe beschreibt Mechanik und Angriffsarten, der zweite Teil behandelt die Abwehr. Eine einzelne Maßnahme genügt nicht, da kein Verfahren alle Angriffe zuverlässig erkennt. Die OWASP Top 10 für LLM-Anwendungen empfehlen ein Bündel aus Eingabeprüfung, strenger Rollentrennung und Leitplanken . Das NIST führt direkte und indirekte Injection in seiner Taxonomie der gegnerischen KI und benennt passende Gegenmaßnahmen. Modellanbieter beschreiben einen mehrschichtigen Schutz aus Training, Überwachung und Produktkontrollen. Das Zusammenspiel mehrerer Schichten ergibt eine belastbare Abwehr.
Mehrere Schichten ersetzen die fehlende Trennung
Ein Sprachmodell unterscheidet Anweisung und Inhalt nicht von sich aus. Daher verteilt sich der Schutz auf mehrere Stufen, die unabhängig voneinander wirken. Fällt eine Stufe aus, fängt die nächste den Angriff ab. Sicherheitsverantwortliche sollten von einem Restrisiko ausgehen und ihre Architektur darauf auslegen, den Schaden im Ernstfall zu begrenzen. Der Ansatz folgt dem Prinzip der Verteidigung in der Tiefe, das aus der klassischen IT-Sicherheit stammt. KI übernimmt dabei die erste Linie, der Mensch prüft nachgelagert die folgenreichen Schritte.
Die Eingabe muss geprüft werden, bevor das Modell sie verarbeitet
Die erste Schicht setzt an der Nutzereingabe an. Filter vergleichen den Text mit bekannten Angriffsmustern und blockieren verdächtige Anfragen. Eine Blockliste sperrt einschlägige Formulierungen und Zeichenfolgen, eine Positivliste lässt nur erlaubte Muster zu. Reguläre Ausdrücke erkennen komplexe Strukturen, Längen- und Formatgrenzen unterbinden überladene Eingaben. Sonderzeichen werden maskiert, damit sie das Verhalten des Modells nicht verändern.
Solche Filter haben Grenzen. Neue Formulierungen umgehen die Muster, und zu strenge Regeln blockieren harmlose Anfragen. Eine vorgeschaltete Moderation prüft Eingaben zusätzlich auf unsichere Inhalte, bevor sie das Modell erreichen. Sicherheitsteams sollten die Mustererkennung kontinuierlich aktualisieren, denn Angreifer passen ihre Eingaben fortlaufend an.
Strikte Trennung hält Anweisung und Daten auseinander
Ein zentraler Hebel liegt im Aufbau des Prompts. Entwickler grenzen Systemanweisung und Nutzereingabe deutlich voneinander ab, damit das Modell beide Teile unterschiedlich behandelt. Eindeutige Trennzeichen oder XML-Tags markieren, welcher Abschnitt Inhalt ist und welcher Anweisung. Eine ergänzende Vorgabe weist das Modell an, Anweisungen innerhalb des markierten Datenbereichs zu ignorieren.
Die Sandwich-Methode rahmt die Nutzereingabe mit zwei Systemanweisungen ein und wiederholt die eigentliche Aufgabe nach den Daten. Auf Modellebene zielt die Instruction Hierarchy in dieselbe Richtung. Sie trainiert das Modell darauf, vertrauenswürdige Anweisungen über nicht vertrauenswürdige zu stellen. Den Systemprompt selbst sollten Betreiber vertraulich halten, denn ein offengelegter Wortlaut liefert Angreifern eine Vorlage für treffsichere Eingaben.
Mehrstufiger Schutz staffelt die Prüfung
Über die einfache Trennung hinaus staffeln Betreiber mehrere Prüfschichten hintereinander. Das Prompt Layering schaltet mehrere Systemanweisungen als Integritätsprüfungen vor die eigentliche Verarbeitung. Jede Schicht filtert eingeschleuste Anweisungen heraus, bevor die nächste übernimmt. Die Prompt-Segmentierung isoliert einzelne Bestandteile in getrennten Kontexten und hält zentrale Befehle in unveränderlichen Bereichen, auf die Nutzereingaben keinen Zugriff haben.
Statische Vorlagen erleichtern Angreifern die Arbeit, da ihr Aufbau vorhersehbar ist. Dynamisch erzeugte Vorlagen variieren nach Sitzung und Rolle und erschweren verallgemeinerte Angriffe. Kryptografische Signaturen oder Hashwerte sichern die Integrität der erzeugten Anweisung. Vor der Verarbeitung prüft das System die Signatur und erkennt jede Manipulation am vorgesehenen Befehl. Die gestaffelte Prüfung bildet den Kern eines belastbaren Schutzkonzepts.
Modell-Härtung und ein vorgeschaltetes Prüfmodell
Auch das Modell selbst lässt sich widerstandsfähiger machen. Adversariales Training konfrontiert das Modell schon in der Lernphase mit schädlichen Eingaben, damit es solche Muster später erkennt. Ein Fine-Tuning mit kuratierten Datensätzen schärft die Unterscheidung zwischen harmlosen und schädlichen Prompts. Betreiber sollten Modelle mit starkem Sicherheits-Alignment und nativen Leitplanken bevorzugen und ihre Modelle regelmäßig mit neuen Datensätzen nachziehen.
Ein vorgeschaltetes Prüfmodell bewertet jede Eingabe vor der Weitergabe. Das Verfahren nach dem Prinzip LLM as a Judge erkennt verdächtige Anfragen und hält sie zurück. Mehrere Agenten teilen sich die Analyse, prüfen unterschiedliche Aspekte und stimmen ihr Ergebnis ab. Auf der Ausgabeseite filtert dasselbe Prinzip schädliche Antworten, bevor sie den Nutzer erreichen.
Ausgabefilter und Datenschutz verhindern Abfluss
Die Ausgabe verdient dieselbe Prüfung wie die Eingabe. Inhaltsfilter und Klassifikationsmodelle erkennen unerwünschte oder schädliche Antworten und halten sie zurück. Ein Schutz vor Datenabfluss (Data Loss Prevention, DLP) erkennt personenbezogene Daten, Zugangsdaten und geistiges Eigentum in Ein- und Ausgaben und maskiert oder verschlüsselt sie vor der Weitergabe. Selbst bei einer erfolgreichen Injection verlässt so kein sensibler Inhalt das System.
Geringste Rechte und Sandboxing begrenzen den Schaden
Ein Großteil des Schadens lässt sich über die Architektur eindämmen. Modelle und angebundene Schnittstellen erhalten nur die Rechte, die ihre Aufgabe verlangt. Greift eine Injection auf Daten oder Funktionen, für die das Modell keine Berechtigung hat, scheitert der Angriff. Eine rollenbasierte Zugriffskontrolle und eine starke Authentifizierung regeln, wer das System nutzt und welche Daten es erreicht.
Führt eine Anwendung über Plug-ins Code oder Tools aus, kapselt ein Sandboxing diese Ausführung ab und verhindert schädliche Änderungen am System. Bei autonomen Agenten begrenzen Betreiber die verfügbaren Aktionen und prüfen jede folgenreiche Operation. Identitätsbewusste Zugriffsrichtlinien halten eine Ausnutzung auf Anwendungsebene davon ab, in einen umfassenderen Angriff zu eskalieren.
Mensch und Betrieb sichern den Dauerbetrieb
Bei folgenreichen Aktionen bleibt der Mensch in der Schleife. Ein Human-in-the-Loop-Ansatz verlangt vor einem Kauf, einem Versand oder einer Datenfreigabe die Bestätigung durch einen Nutzer. Betreiber sollten Agenten enge und konkrete Aufgaben stellen statt weiter Mandate, denn ein offener Auftrag, zum Beispiel eine pauschale Bearbeitung des Postfachs, erleichtert versteckten Anweisungen den Zugriff.
Ein kontinuierliches Monitoring zeichnet Eingaben und Antworten vollständig auf und macht Angriffe nachvollziehbar. Anomalieerkennung meldet ungewöhnliche Muster im Verhalten des Modells. Regelmäßige Penetrationstests und Red-Teaming-Übungen decken Schwachstellen auf, bevor Angreifer sie finden. Eine KI-Governance mit eigenem Incident-Response-Plan und geschulten Mitarbeitern vervollständigt den Schutz. So bleibt die Abwehr auch dann wirksam, wenn Angreifer ihre Methoden weiterentwickeln.
Fazit
Prompt Injection bleibt ein offenes Sicherheitsproblem, das sich mit gestaffelten Kontrollen abmildern lässt. Eingabeprüfung, strikte Datentrennung, ein gehärtetes Modell mit vorgeschalteter Prüfung, knappe Rechte und ein wachsamer Betrieb greifen zusammen und halten KI-Anwendungen verlässlich unter Kontrolle.