Forschende von Tenable haben technische Details zu drei inzwischen behobenen Schwachstellen in der KI-Plattform Google Gemini veröffentlicht, die unter dem Namen Gemini Trifecta zusammengefasst wurden. Die Fehler ermöglichten es, über Prompt-/Search-/Browsing-Injection die Modelle zu manipulieren, vertrauliche Daten abzufließen und Aktionen in Cloud-Umgebungen auszulösen.
Was Gemini Trifecta ist und warum es die LLM‑Sicherheit betrifft
Betroffen waren drei Bausteine der Gemini‑Ökosysteme: Gemini Cloud Assist, Gemini Search Personalization und das Gemini Browsing Tool. Gemeinsamer Nenner ist die Instruktionsinjektion in unzuverlässige Eingaben. Die Modelle interpretierten eingeschleusten Text nicht als Content, sondern als Steuerbefehl. In Verbindung mit Tool‑Integrationen und API‑Rechten wird daraus ein direkter Hebel für Datenexfiltration und Missbrauch von Privilegien.
Technische Einordnung: Schwachstellen und Angriffsvektoren
Gemini Cloud Assist: Prompt‑Injection über Log‑Artefakte
Das Tool zur Zusammenfassung von Ereignislogs konnte über versteckte Anweisungen in Logfeldern wie dem User‑Agent fehlgesteuert werden. Kritisch war, dass Gemini im Kontext Zugriff auf Cloud‑APIs (u. a. Inventarisierung über Cloud Asset API) hatte. So ließen sich Modellantworten dahin beeinflussen, interne Ressourceninformationen oder IAM‑Fehlkonfigurationen zu sammeln und in generierte Ausgaben oder weiterführende Requests einzubetten.
Gemini Search Personalization: Manipulation der Suchhistorie
Durch Eingriffe in die Chrome‑Suchhistorie mittels JavaScript konnten Fremdprompts in den Personalisierungsprozess eingespeist werden. Das Modell unterschied nicht zuverlässig zwischen legitimen Nutzeranfragen und extern injizierten Einträgen. Ergebnis: potenzielle Preisgabe gespeicherter Nutzerinformationen bis hin zu Standortbezügen innerhalb personalisierter Ergebnisse.
Gemini Browsing Tool: Indirekte Injection über Webinhalte
Angreifende platzierten verdeckte Prompts auf kontrollierten Webseiten. Rief Gemini die interne Summarisierungsfunktion auf, befolgte das Modell die eingeschleusten Anweisungen. Teile privater Daten konnten so als Bestandteil generierter Requests an externe Server gelangen – ohne, dass sichtbar Links oder Bilder geladen werden mussten.
Auswirkungen auf Datenschutz und Cloud‑Infrastruktur
Die Fälle verdeutlichen einen systemischen Risikofaktor: Wenn LLMs operative Privilegien erhalten (z. B. Zugriff auf Ressourceninventare, Aktivitätsprotokolle oder Standortdaten), wird jede Instruktionsinjektion zum unmittelbaren Wirkpfad ins Produktionsumfeld. Dieses Muster ist in Branchenleitfäden dokumentiert, etwa in den OWASP Top 10 for LLM Applications und dem NIST AI Risk Management Framework, die vor Content‑Supply‑Chain‑Risiken und unzureichender Eingabekontrolle warnen.
Reaktion von Google und empfohlene Schutzmaßnahmen
Nach Meldung durch Tenable deaktivierte Google u. a. die Link‑Darstellung in Antworten bei Log‑Summaries und ergänzte Schutzmechanismen gegen Prompt‑Injection. Die Schwachstellen sind behoben. Der Vorfall unterstreicht jedoch, dass LLM‑Integrationen in der Cloud eine mehrschichtige Sicherheitsarchitektur benötigen.
Praktische Empfehlungen für Unternehmen:
– Least Privilege für LLM‑Tools: IAM‑Rechte minimieren, Rollen segmentieren, kurzlebige Tokens nutzen.
– Eingabesanitierung und Kontextisolation: Inhalte strikt von Anweisungen trennen, erlaubte Aktionen per Allowlist definieren, Prompts templatisieren und kontextabhängige Richtlinien erzwingen.
– Egress‑Kontrollen: Ausgehenden Traffic von LLM‑Agenten filtern, Domänen whitelisten, bekannte Geheimnis‑Muster blockieren.
– Human‑in‑the‑Loop: Kritische Aktionen und externe Requests vor Ausführung bestätigen lassen, Auto‑Follow von Links deaktivieren.
– Monitoring und Forensik: Tool‑/API‑Aufrufe der LLM protokollieren, DLP‑Regeln einsetzen, Abweichungen detektieren.
– LLM‑Red‑Teaming: Regelmäßige Tests gegen Prompt‑, Search‑ und Browsing‑Injection sowie gegen indirekte Angriffe über gegnerische Inhalte.
Organisationen sollten ihre Bedrohungsmodelle für KI‑Workloads aktualisieren, IAM‑Konfigurationen straffen und robuste Guardrails implementieren. Wer LLM‑Funktionen mit Cloud‑APIs koppelt, sollte Defense‑in‑Depth konsequent umsetzen, Red‑Teaming etablieren und Telemetrie als Pflicht verstehen. So sinkt das Risiko von Datenabflüssen und Privilegienmissbrauch – und KI wird vom Angriffsvektor zum verlässlich abgesicherten Produktivwerkzeug.
