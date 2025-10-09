Googles KI-Modell Gemini ist in sehr viele Produkte integriert und gilt derzeit als eines der fortschrittlichsten Modelle in diesem Bereich – aber natürlich ist es nicht frei von Stolpersteinen. Jetzt ist eine Sicherheitslücke bekannt geworden, auf die Google zwar öffentlich reagiert hat, diese aber nicht beheben will. Dabei geht es um ein echtes Angriffsszenario.



In allen großen Software-Projekten finden sich unzählige Sicherheitslücken, diese Regel gilt auch im KI-Zeitalter und natürlich auch für Gemini selbst. Das ist kein großes Problem, die Frage ist nur, wie man damit umgeht, sobald diese bekannt werden. Google scheint zumindest bei Gemini trotz aller Bedeutung des KI-Modells so manche Lücke nicht fixen zu wollen. Wie ein Sicherheitsforscher jetzt entdeckt hat, ist Gemini auf das „ASCII Smuggling“ anfällig.

So funktioniert ASCII Smuggling

Bei ASCII Smugling handelt es sich um einen Angriff, der mit nicht-sichtbaren Steuerzeichen innerhalb von Texten arbeitet. Das ASCII-System kennt sehr viele solcher Sonderzeichen, die zwar in Texten enthalten sein können, aber für den Nutzer nicht sichtbar sind. Zu den sichtbarsten unsichtbaren Zeichen (sic!) gehört etwa das Leerzeichen zwischen zwei Wörtern oder auch der Zeilenumbruch. Aber es gibt noch viele weitere, die auch Inhalte in sich tragen können.

Wie sich jetzt gezeigt hat, akzeptiert Gemini solche unsichtbaren Steuerzeichen und wertet diese als Teil des Prompts oder der ausgelesenen Informationen aus. Weil Gemini tief in viele Google-Produkte integriert ist, kann das etwa durch GMail oder den Google Kalender zum Angriffsszenario werden. Zwar lässt sich kein Code oder ähnliches Einschleusen, aber dafür Informationen manipulieren, ohne dass der Nutzer dies bemerkt.

Google ist das Problem bekannt, doch man will es nicht beheben – obwohl das Ausfiltern dieser Zeichen jeder Programmierer in der Mittagspause umsetzen könnte. Es wäre verglichen mit der sonstigen KI-Entwicklung Null Aufwand, dennoch will man die Lücke bestehen lassen und sieht es eher als „social engineering“-Problem. Pikant: Nur Grok und das chinesische DeepSeek haben das Problem ebenfalls, während ChatGPT, der MS Copilot oder auch Claude nicht anfällig sind.

