Ein interner KI-Chatbot der Unternehmensberatung McKinsey konnte von Sicherheitsforschern in kurzer Zeit kompromittiert werden. Mithilfe einer sogenannten Prompt-Injection gelang es, sensible Informationen aus dem System zu extrahieren. Der Vorfall zeigt, wie anfällig generative KI-Anwendungen sein können, wenn Sicherheitsmechanismen fehlen oder unzureichend umgesetzt sind. Experten sehen darin ein Warnsignal für Unternehmen, die KI-Tools in ihre Geschäftsprozesse integrieren.
Sicherheitsforscher haben nach eigenen Angaben eine KI-Plattform der Unternehmensberatung McKinsey erfolgreich angegriffen und interne Daten ausgelesen. Der Angriff erfolgte über eine sogenannte Prompt-Injection – eine Methode, bei der ein Large Language Model durch gezielte Eingaben dazu gebracht wird, eigentlich geschützte Informationen preiszugeben.
Angriff auf KI-Chatbot von McKinsey
Wie The Register berichtet, gelang es den Forschern, den KI-Chatbot innerhalb kurzer Zeit zu manipulieren und auf interne Daten zuzugreifen. Dazu gehörten unter anderem Inhalte aus Dokumenten und möglicherweise vertrauliche Projektinformationen.
Der Vorfall zeigt nach Einschätzung von Experten, dass viele KI-Anwendungen in Unternehmen noch nicht ausreichend gegen solche Angriffe geschützt sind.
Prompt-Injection als Einfallstor
Technisch basierte der Angriff auf einer klassischen Schwachstelle vieler generativer KI-Systeme: der Prompt-Injection. Dabei werden dem Modell speziell formulierte Eingaben gegeben, die interne Sicherheitsregeln umgehen.
Laut einer Analyse von Codewall.ai, deren Team den Angriff dokumentiert hat, konnten die Forscher den Chatbot dazu bringen, interne Systemanweisungen offenzulegen und Zugriff auf Datenquellen zu erhalten, die eigentlich nicht sichtbar sein sollten.
Die Angreifer nutzten dabei mehrere Schritte:
- Analyse der System-Prompts
- Umgehung interner Sicherheitsanweisungen
- Extraktion von Informationen aus verbundenen Datenquellen
Der Angriff erfolgte demnach ohne klassische Sicherheitslücken im Sinne eines Software-Bugs. Stattdessen nutzten die Forscher ausschließlich Interaktionen mit dem Sprachmodell selbst.
Risiko für Unternehmen mit KI-Tools
Der Vorfall verdeutlicht ein strukturelles Risiko beim Einsatz generativer KI in Unternehmen. Viele Organisationen integrieren Large Language Models in interne Wissenssysteme oder Dokumentenplattformen, ohne die Modelle ausreichend gegen Manipulationen abzusichern.
Nach Einschätzung von Beobachtern ist dies besonders problematisch, wenn KI-Tools Zugriff auf interne Datenbanken oder Dokumentenmanagementsysteme haben.
Auch das Fachportal All-AI verweist darauf, dass der Angriff nicht auf eine einzelne Plattform beschränkt sei. Vielmehr betreffe die Schwachstelle grundsätzlich viele KI-Systeme, die über Retrieval-Mechanismen auf Unternehmensdaten zugreifen.
In solchen Fällen kann ein manipuliertes Prompt das Modell dazu bringen, vertrauliche Inhalte wiederzugeben oder Sicherheitsregeln zu ignorieren.
Warnsignal für KI-Sicherheit
Sicherheitsexperten sehen den Vorfall als Beispiel dafür, dass KI-Anwendungen nicht nur aus funktionaler Sicht, sondern auch unter Sicherheitsaspekten entwickelt werden müssen.
Zu den empfohlenen Schutzmaßnahmen gehören unter anderem:
- strikte Zugriffskontrollen auf Datenquellen
- Filtermechanismen gegen Prompt-Injection
- getrennte Systeme für vertrauliche Daten
- Monitoring von KI-Interaktionen
Der Fall des kompromittierten McKinsey-Chatbots zeigt exemplarisch, vor welchen neuen Sicherheitsherausforderungen Unternehmen beim Einsatz generativer KI stehen. Anders als bei klassischen IT-Angriffen müssen Angreifer keine Software-Schwachstellen ausnutzen – oft reicht eine geschickt formulierte Eingabe, um Schutzmechanismen eines Sprachmodells zu umgehen.
Für Unternehmen bedeutet das: KI-Anwendungen dürfen nicht nur als Produktivitätswerkzeug betrachtet werden, sondern müssen wie jede andere geschäftskritische Plattform abgesichert werden. Dazu gehören klare Zugriffskontrollen auf Datenquellen, Schutzmechanismen gegen Prompt-Injection und eine kontinuierliche Überwachung der Interaktionen mit den Modellen.
Der Angriff auf die McKinsey-Plattform ist daher weniger ein Einzelfall als ein Warnsignal. Je stärker generative KI in Unternehmensprozesse integriert wird, desto wichtiger wird ein ganzheitlicher Ansatz für KI-Sicherheit, Governance und Datenkontrolle. Ohne diese Schutzmaßnahmen können KI-Systeme selbst zu einer neuen Angriffsfläche für sensible Unternehmensinformationen werden.