Was es ist
Prompt-Injection beschreibt das Einschleusen von Instruktionen in Inhalte, die ein LLM verarbeitet — mit dem Ziel, das ursprüngliche Verhalten des Modells zu überschreiben. Im Web-Kontext geht es um versteckte Anweisungen in HTML-Kommentaren, display:none-Divs, Meta-Tags oder anderen Elementen die User nicht sehen, aber Crawler theoretisch lesen.
Auf OWASPs Top-10-Liste für LLM-Anwendungen steht Prompt Injection auf Platz 1 (LLM01). Aus Defensiv-Sicht ein bekanntes Problem — alle ernsthaften LLM-Anbieter haben Gegenmaßnahmen implementiert. Aus Offensive-GEO-Sicht ist die Wirksamkeit deshalb fraglich und schwankt stark zwischen Modellen.
Unsere Position: Wir dokumentieren das Phänomen als Forschungs-Thema, nicht als empfohlene Praxis. Wer es einsetzt, riskiert Search-Engine-Penalties (Google klassifiziert versteckten Text als Manipulation), Reputations-Schäden bei Aufdeckung und mögliche rechtliche Implikationen je nach Inhalt der Injection.
Wie umsetzen — und warum eher nicht
- Technisch trivial: HTML-Kommentare, hidden Divs, Off-Screen-Text, weiße Schrift auf weißem Grund
- Defensiv: regelmäßig die eigene Site auf Injections von Dritten prüfen (User-Generated-Content, kompromittierte Plugins)
- Aus GEO-Sicht: keine empfohlene Praxis — Risiko/Ertrag-Verhältnis ist schlecht
- Aus Security-Sicht: OWASP-Top-10 für LLMs lesen, eigene KI-gestützte Produkte gegen Injection härten
- Beobachten wie LLM-Anbieter Schutzmaßnahmen iterativ verbessern (Defense in Depth)
- Wenn Forschung: streng isolierte Domain, klarer Disclaimer, transparente Veröffentlichung der Erkenntnisse