Google sieht derzeit keinen Bedarf, das sogenannte ASCII Smuggling in Gemini zu patchen. Bei dieser Technik werden Anweisungen mithilfe spezieller Zeichen aus dem Block Unicode Tags so in Texte eingebettet, dass sie fuer Menschen unsichtbar bleiben, aber von Sprachmodellen korrekt interpretiert werden. Das schafft einen Angriffsvektor speziell in Google-Workspace-Integrationen wie E-Mail und Kalender.
ASCII Smuggling erklaert: Unsichtbare Zeichen, sichtbare Effekte in LLMs
Die Angriffsidee nutzt ein bekanntes Gefaelle zwischen Anzeige und Interpretation: Was Nutzer in UI-Komponenten nicht sehen, kann ein LLM dennoch verarbeiten. Der Unicode-Block „Tags“ und weitere nicht druckbare Steuerzeichen (z. B. Zero-Width- und Bidi-Steuerzeichen, Kategorie Cf) dienen als Träger fuer versteckte Instruktionen. Fachlich ordnet sich das in die Kategorie Prompt Injection ein, wie sie in den OWASP Top 10 for LLM (LLM01) beschrieben ist. Aehnlich wie bei CSS-basierten Verstecken oder UI-Umgehungen entstehen so verdeckte Befehlskanaele.
Testergebnisse von FireTail: Welche Modelle betroffen sind
Laut FireTail-Forscher Viktor Markopoulos funktioniert ASCII Smuggling gegen mehrere populäre Modelle. Betroffen seien Gemini (u. a. ueber E-Mails und Kalendereinladungen), DeepSeek (ueber direkte Prompts) und Grok (ueber Posts auf X). Claude, ChatGPT und Microsoft Copilot zeigten sich widerstandsfaehiger, was auf konsequentere Input Sanitization zurueckgefuehrt wird. Wichtig: Resilienz haengt von Version, Konfiguration und Integrationskontext ab; Ergebnisse sind Momentaufnahmen (Meldung an Google vom 18. September 2025).
Angriffsvektoren in Google Workspace: E-Mail und Kalender im Fokus
Versteckte Instruktionen in Betreff, Body und Event-Beschreibung
In Gmail und dem Google Kalender koennen unsichtbare Befehle in Betreffzeilen, Mail-Body oder Kalenderbeschreibungen eingebettet werden. So lassen sich scheinbar harmlose Inhalte mit verdeckten Hinweisen anreichern, die der Assistent bei Antworten priorisiert – bis hin zur Verfaelschung von Organisatorinformationen oder der Bevorzugung bestimmter Links.
Von klassischem Phishing zu teilautomatisierten Datenabfluessen
Hat ein LLM Zugriff auf das Postfach, genuegt eine eingehende Nachricht mit versteckten Kommandos, um suche sensible E-Mails oder exportiere Kontakte auszulösen. Damit verschiebt sich Phishing von manueller Täuschung zu teilautomatisierten Data-Harvesting-Workflows – mit geringer Benutzerinteraktion.
Praxisbeispiel: Manipulierte Empfehlungen untergraben Vertrauen
In einer Demo lenkte eine unsichtbare Instruktion Gemini dazu, eine „guenstige“ Kaufseite fuer Smartphones zu empfehlen – faktisch eine potenziell gefaehrliche Weiterleitung. Solche Steuerungen der Modellantwort kompromittieren die Glaubwuerdigkeit von Assistenten, insbesondere wenn Nutzer operative Entscheidungen an LLM-Ausgaben knuepfen.
Positionen der Anbieter und Branchentrend
Google wies den Bericht als Fall von sozialer Manipulation zurueck und sieht keine klassische Sicherheitsluecke. Die Diskussion spiegelt den grundsaetzlichen Zielkonflikt zwischen Verantwortung des Plattformanbieters und Nutzerszenarien wider. Andere Akteure wie Amazon haben praxisnahe Hinweise zu Unicode-„Smuggling“ und Sanitization veroefentlicht und betonen Normalisierung, Entfernung riskanter Steuerzeichen und strenge Eingangsfilter. Die Branche bewegt sich Richtung „Security by Default“ fuer LLM-Integrationen.
Empfehlungen: Technische Kontrollen gegen ASCII Smuggling
Input-Sanitization: Entfernen von Unicode-Tag-Zeichen, Zero-Width- und Bidi-Steuerzeichen (Kategorie Cf). Definieren Sie Allow-Lists fuer zulaessige Zeichen in Betreff, Mailfeldern und Kalendereinträgen.
Normalisierung/Kanonisierung: Vereinheitlichen Sie Texte (z. B. NFC) und filtern Sie versteckte bzw. formatierende Zeichen explizit. Protokollieren Sie erkannte Anomalien fuer Forensik und Tuning.
Kontext- und Rechtemanagement: Isolieren Sie vertrauenswuerdige von untrusted Eingaben, begrenzen Sie Autohandlungen (Lesen/Weiterleiten, Zugriff auf Kontakte) und verlangen Sie Benutzerbestaetigungen.
Sichtbarmachen versteckter Zeichen: Validieren Sie UI-Felder und heben Sie unsichtbare Zeichen hervor. Prüfen Sie Links/Domains mit Safe-Browsing-Mechanismen und DNS/URL-Reputation.
Monitoring und Tests: Integrieren Sie Tests gegen Prompt Injection und Unicode Smuggling in CI/CD, fuehren Sie Red-Teaming durch und schulen Sie SOC-Teams. Orientieren Sie sich an OWASP Top 10 for LLM und etablierten Richtlinien zur Unicode-Sicherheit.
Solange Plattformen wie Gemini ASCII Smuggling nicht grundsaetzlich unterbinden, sollten Organisationen proaktiv handeln: Unicode-Filter standardisieren, Berechtigungen minimieren, Datenquellen strikt isolieren und Links validieren. Wer diese Basismaßnahmen frueh verankert, senkt das Risiko erfolgreicher Angriffe auf E-Mail, Kalender und verbundene Geschaeftsprozesse spuerbar.
