Promptware: Malware fuer KI-Systeme geht ueber Prompt Injection hinaus
Heise veroeffentlicht eine Bestandsaufnahme unter dem Titel "Promptware: Wie weit Malware fuer KI-Systeme schon ist". Die zentrale These: Attacken auf LLMs gehen mittlerweile weit ueber reine Prompt-Injections hinaus. Der Begriff "Promptware" beschreibt eine neue Klasse von Angriffen, die KI-Systeme gezielt als Angriffsvektor nutzen -- nicht nur als Ziel, sondern als Werkzeug fuer weitergehende Kompromittierungen.
Warum das relevant ist
Prompt Injection war bisher die prominenteste Schwachstelle von LLM-basierten Systemen. Promptware erweitert das Bedrohungsmodell: Angreifer nutzen die Faehigkeit von KI-Systemen, Anweisungen zu interpretieren und auszufuehren, um mehrstufige Angriffsketten aufzubauen. Das betrifft insbesondere Systeme mit Tool-Zugriff und Agenten-Architekturen.
Kontext: Die AI-Infrastruktur wird auf allen Ebenen angegriffen
Die Heise-Analyse passt in ein groesseres Bild. In den letzten Wochen wurden Supply-Chain-Angriffe auf LiteLLM und Axios bekannt, dazu der Claude-Code-Leak. Die AI-Infrastruktur -- von der Dependency-Ebene ueber die Model-Schicht bis zur Anwendung -- wird systematisch ins Visier genommen. Promptware ist dabei das Gegenstueck zu klassischen Supply-Chain-Attacken: Waehrend letztere die Abhaengigkeiten unterwandern, zielt Promptware auf die Modelle selbst.
Fuer Entwickler, die AI-Agents in Produktionssysteme integrieren, bedeutet das: Das Bedrohungsmodell muss ueber Input-Validierung hinausgehen. Wer Agenten mit Tool-Zugriff baut, muss davon ausgehen, dass der Agent selbst zum Angriffsvektor werden kann.