KI-Täuschung durch Cloaking : Wie Angreifer künstliche Intelligenz mit falschen Informationen füttern
Warnung vor einer neuen Manipulationstechnik namens „AI-targeted Cloaking“, also etwa „KI-Täuschung durch Tarnung“. Dabei zeigen Angreifer den Crawlern von KI-Tools wie ChatGPT Atlas oder Perplexity absichtlich gefälschte Inhalte, während menschliche Nutzer echte Seiten sehen. Da viele KI-Systeme solche Daten ungeprüft übernehmen, können Falschinformationen so leicht als „gesicherte Fakten“ verbreitet werden.
Das Sicherheitsunternehmen SPLX beschreibt die Methode als Weiterentwicklung des klassischen Suchmaschinen-Cloakings. Angreifer prüfen über den sogenannten User Agent, ob eine Anfrage von einem KI-Crawler stammt, und liefern dann gezielt manipulierte Inhalte aus. Der Trick ist einfach, aber wirkungsvoll: Was der Crawler sieht, wird später als Grundlage für KI-Zusammenfassungen und Antworten genutzt.
Die Sicherheitsanalysten Ivan Vlahov und Bastien Eymery warnen: „Da diese Systeme Informationen direkt abrufen, wird alles, was ihnen präsentiert wird, zur Wahrheit in KI-Überblicken, Zusammenfassungen oder automatischen Analysen. Eine einzige Regel – ‚wenn Benutzeragent gleich ChatGPT, zeige diese Seite‘ – kann bestimmen, was Millionen Nutzer als gesicherte Information serviert bekommen.“
Wenn KI der falschen Quelle vertraut
Der Angriff ist so gefährlich, weil er die Vertrauensbasis der KI selbst unterwandert. Anders als beim klassischen SEO-Cloaking, bei dem Suchergebnisse manipuliert werden, zielt diese Technik auf die Datenbasis von KI-Modellen. Wenn KI-Crawler gezielt mit manipulierten Quellen gefüttert werden, übernehmen sie diese Falschinformationen in Zusammenfassungen, Begründungen oder automatisierte Entscheidungen.
SPLX warnt: „KI-Crawler lassen sich ebenso leicht täuschen wie die frühen Suchmaschinen – nur mit viel größerer Wirkung. Wenn Suchmaschinenoptimierung zur KI-Optimierung wird, dann beginnt die Manipulation der Realität.“
Fehlende Sicherheitsmechanismen in KI-Browsern
Auch eine Analyse der hCaptcha Threat Analysis Group (hTAG) bestätigt: Viele KI-Browser und Agentensysteme führen gefährliche Aktionen ohne ausreichende Sicherheitsmechanismen aus. In Tests mit zwanzig typischen Angriffsszenarien – darunter Mehrfachkonten, Kartenbetrug und Identitätsmissbrauch – zeigten fast alle Systeme riskantes Verhalten, ohne dass ein Jailbreak nötig war.
„Diese Produkte versuchten durchgängig, nahezu jede bösartige Anfrage ohne Jailbreak zu beantworten“, so der hTAG-Bericht. „Meistens scheiterten sie nur an Tool-Einschränkungen und nicht an Sicherheitsvorkehrungen. Wir sahen nur wenige Ablehnungen, und die, die wir erhielten, konnten problemlos durch Umformulierung der Anfrage oder einfachste Jailbreak-Techniken überwunden werden.“
Der Bericht weiter: „Die Agenten gingen oft noch einen Schritt weiter und versuchten, SQL-Injection ohne Benutzeranforderung durchzuführen, JS auf der Seite einzuschleusen, um Paywalls zu umgehen, und mehr.“ Der eklatante Mangel an Schutzmaßnahmen mache es sehr wahrscheinlich, dass diese Agenten bald von Angreifern gegen echte Nutzer eingesetzt werden.
Manipulierte Wahrheiten und die Folgen
Das Risiko reicht weit über einzelne Browser hinaus. Sobald KI-Systeme manipulierte Inhalte als verlässliche Quelle werten, können Fehlinformationen massenhaft reproduziert und verstärkt werden. Dadurch lassen sich nicht nur Suchergebnisse, sondern auch Entscheidungsgrundlagen in Unternehmen, Behörden oder Finanzsystemen beeinflussen.
Um das zu verhindern, müssen Betreiber und Sicherheitsverantwortliche künftig stärker prüfen, welche Inhalte KI-Crawler überhaupt abrufen. Auch eine technische Überwachung, die Unterschiede zwischen menschlichen Ansichten und Crawler-Ergebnissen erkennt, wird immer wichtiger.
Fazit
AI-targeted Cloaking zeigt, wie leicht sich künstliche Intelligenz mit manipulierten Inhalten täuschen lässt. Ein einziger manipulativ ausgelieferter Text kann reichen, um ganze Wissensmodelle zu verfälschen. Damit wird klar: Wer KI-Systeme einsetzt, muss nicht nur die Datenqualität im Blick behalten, sondern auch den Weg, auf dem diese Daten in die Modelle gelangen. Nur so lässt sich verhindern, dass falsche Informationen zu scheinbar gesicherten Wahrheiten werden.