Je mehr sich KI-Agenten verbreiten, die autonom durch das Web steuern, desto relevanter werden die Sicherheitsrisiken, die von entsprechenden Systemen ausgehen. DeepMind-Forscher geben in einer Studie (via Decoder) nun einen systematischen Überblick über Angriffsmuster, die sie als Agenten-Fallen beschreiben.

Was sich mit den autonomen Agenten verändert, sind grundlegende Charakteristika des Webs, heißt es in dem Paper. Bislang war das Web für menschliche Augen gebaut, nun erfolgt der Wandel zum maschinellen Lesen.

Es gibt verschiedene Möglichkeiten, die KI-Agenten zu attackieren. Angreifer können etwa Inhalte ins Web stellen, die manipulierte Prompts enthalten. Möglich ist aber auch, die Wissensbasis oder die Reasoning-Fähigkeiten der Modelle zu attackieren, sodass der Output kompromittiert wird, ohne dass ein schadhafter Prompt-Befehl nötig wäre. Und die Menschen, die Agenten bedienen, können ebenso das Ziel von Angreifern sein.

Insgesamt sind es sechs Angriffstypen für Agenten-Fallen („AI Agent Traps“) im Web, die die DeepMind-Forscher in ihrem Framework beschreiben:

• Content Injection Traps
  Ziel: Wahrnehmung
  Angriffsart: Eingebettete Befehle in Bereichen wie CSS, HTML, Metadaten oder Syntax-Masken, die für Menschen unsichtbar, aber für den Agenten auswertbar sind.
• Semantic Manipulation Traps
  Ziel: Reasoning
  Angriffsart: Input-Daten so manipulieren, dass das Schlussfolgern eines Agenten verzerrt wird, ohne dass entsprechende Prompt-Eingaben nötig sind.
• Cognitive State Traps
  Ziel: Speicher und Lernen
  Angriffsart: Schadhafte Informationen in das interne Gedächtnis, die Wissensbasis und die gelernten Verhaltensweisen eines Agenten einschleusen, sodass diese dauerhaft korrumpiert sind.
• Behavioural Control Traps
  Ziel: Aktionen
  Angriffsart: Explizite Anweisungen, die die Handlungsfähigkeiten eines Agenten ausnutzen, um Ziele des Angreifers zu verfolgen.
• Systemic Traps
  Ziel: Multi-Agent-Systeme
  Angriffsart: Eine Umgebung so manipulieren, dass über korrelierendes Verhalten großskalige Fehlfunktionen von mehreren Agenten ausgelöst werden.
• Human in the Loop
  Ziel: Menschlicher Aufseher
  Angriffsart: Agenten so manipulieren, dass kognitive Fehleinschätzungen menschlicher Aufseher ausgenutzt werden.

In der Praxis überschneiden sich die einzelnen Agenten-Fallen oder Angreifer nutzen mehrere Mechanismen, um ihre Ziele zu erreichen. Noch sind nicht alle Bereiche gleichermaßen erforscht oder relevant. Während Content Injections oder Beavioural Control Taps besser verstanden sind (und häufiger auftreten), sind Angriffsfelder wie Human-in-the-Loop bislang eher eine theoretische Angriffsfläche, die die Forscher antizipieren.

Welche Probleme in der Praxis auftreten, hat der IT-Sicherheitsforscher Johann Rehberger auf dem Hacker-Kongress 39C3 im Dezember 2025 beschrieben. Bei den Sicherheitslücken handelte es sich um Content Injections, also manipulierte Prompt-Eingaben. Anbieter schließen zwar solche Schwachstellen, schon heute ist es aber ein Katz-und-Maus-Spiel zwischen Angreifern und Entwicklern.

Die möglichen Motive für den Einsatz von Agent-Traps sind vielfältig. Kommerzielle Akteure könnten versuchen, heimlich für Produkte zu werben, kriminelle Akteure könnten private Nutzerdaten abgreifen, und staatliche Stellen könnten darauf abzielen, Falschinformationen in großem Umfang zu verbreiten.

Studie AI A“gent Traps“

Solche Vorkehrungen sind bedeutsam, denn die Schäden können weitreichend sein. Denkbar ist etwa, dass manipulierte Agenten sensible Daten preisgeben oder finanzielle Überweisungen vornehmen, ohne dass Nutzer etwas merken. Laut den Forschern könnten Unternehmen die Agenten für heimliche Produktwerbung korrumpieren und staatliche Akteure könnten diese für Fake News einsetzen.

Agenten-Entwickler arbeiten an neuen Sicherheitskonzepten

Anbieter arbeiten an Sicherheitsvorkehrungen. Anthropic beschreibt in der Dokumentation, wie man etwa mit Sandboxing-Maßnahmen und Rechtemanagement verhindern will, dass Claude Code etwa manipulierte Befehle ausführt. Google hatte bereits im November 2025 ein Konzept für das Absichern von Agenten-Browsern vorgestellt. Bei diesem ist ein zweites KI-Modell tätig, das ausschließlich kontrollieren soll, ob das zentrale Modell die eigentlichen Aufgaben erfüllt.

Erst in dieser Woche hat Foxit ein Sicherheitssystem für PDF-Reader präsentiert, das das Auslesen manipulierten Codes unterbinden soll. Ein PDF-Aktionsinspektor prüft Dokumente proaktiv auf eingebettetes JavaScript und selbstmodifizierendes Verhalten. Dabei handelt es sich um Bedrohungen, die Schwärzungen umgehen, sensible Daten offenlegen oder die Dokumentausgabe unbemerkt verändern können.

Schon das Modelltraining ist für Absicherung entscheidend

Die DeepMind-Forscher beschreiben in dem Paper ebenfalls, dass es schon beim Modelltraining nötig ist, auf die Robustheit zu achten. Die KI-Systeme müssen in der Lage sein, manipulierte Anweisungen zu erkennen, schadhafte Inhalte zu filtern und den Output zu prüfen. Weil sich viele Angriffsmuster nicht standardisiert testen lassen, gewinnen automatisierte Red-Teaming-Methoden an Bedeutung.

Ebenso angepasst werden müsste laut den DeepMind-Forschern das Ökosystem im Web. Möglich ist das etwa durch Trusted-Content, also für KI-Agenten freigegebene Inhalte, die sich standardmäßig als vertrauenswürdige Quelle verifizieren lassen.

Während parallel der normale CB-Fotowettbewerb weiter läuft, ruft die Foto-Challenge mit Themen aus der Community zum zweiten Wettbewerb ein. Im Gegensatz zum legendären Fotowettbewerb, bestimmen hier die Leser, welches Thema als nächstes starten soll. Dieses mal geht es um „von der Natur zurück geholt“.

Vorgeschlagen hatte dieses Thema SimmiS, ein relativ neues Mitglied, welches sich rege in die Community mit einbringt.

Die ersten drei Gewinner

Gewonnen hatte die Challenge rund um das beste Handyfoto der User _tnt_ mit seiner Kirche, die den Nebelschwaden trotzt.
Auf Platz zwei und drei liegen die User MadDog und Nihil Baxxter.

Wie geht es zukünftig weiter?

Weitere Vorschläge zu zukünftigen Themen sind in dem Thread – [CBFFC] ComputerBase Forum Foto Challenge – Eure Themen, eure Bilder – Thementhread noch gerne gesehen. Möchtet ihr euer Lieblingsthema gerne sehen? Dann schlagt es vor. Eine aktive Teilnahme an dem Wettbewerb ist dazu keine Grundvoraussetzung.

Teilnahmebedingungen und Abstimmung

Jedem registrierten Community-Mitglied ist die Teilnahme mit einem einzelnen, eigens aufgenommenen, beliebig alten Bild erlaubt, das in noch keinem vorherigen Fotowettbewerb eingereicht oder anderweitig im ComputerBase-Forum veröffentlicht wurde. Aufnahmen mit dem gleichen Motiv eines bereits veröffentlichten Bildes aus leicht abgeänderter Perspektive sind hingegen unerwünscht. Nicht gestattet sind überdies Zeichnungen, gemalte oder per KI generierte Bilder sowie Renderings. Einmal eingereichte Bilder können nicht mehr ausgetauscht werden.

Nach Einsendeschluss startet eine mehrtägige Abstimmung zu allen, maximal aber den ersten 40 eingereichten Bildern, an der alle Leser mit Forum-Nutzerkonto teilnehmen dürfen. Um die Anonymität der Fotografen zu wahren, werden die Fotos durch lowrider20 auf maximal 3.840 Pixel in Höhe und Breite verkleinert und die EXIF-Daten entfernt. Bei dem herkömmlichen Wettbewerb darf der zum Ende des Monats feststehende Gewinner erneut über das Monatsthema der nächsten Runde entscheiden, während im [CBFFC] ComputerBase Forum Foto Challenge die Community weiterhin über die zukünftigen Fotos entscheidet. Die Redaktion wünscht allen Teilnehmern viel Erfolg!

Links zu dem Thema

• [CBFFC] März/April 2026 – „Von der Natur zurück geholt“

E-Mail Adresse: cb-fotowettbewerb @ gmx.net (ohne Leerzeichen)

Die Ende Februar/Anfang März für alle beobachteten GeForce RTX 5000 zu verzeichnenden Preisrückgänge (Median-Preis neuer Angebote) haben sich im weiteren Monatsverlauf für RTX 5080, RTX 5070 Ti, RTX 5070 und RTX 5060 Ti (16 GB) in der Tendenz fortgesetzt, bei der GeForce RTX 5090 war das nicht der Fall.

+300 Euro für die RTX 5090 im März

Doch auch bei den anderen Modellen blieb ein größerer Effekt aus, beispielsweise mit knapp 50 Euro Preisrückgang bei der RTX 5080 (von 1.400 auf 1.350 Euro, -4 %)

Die GeForce RTX 5090 legte im gleichen Zeitraum wiederum um knapp 300 Euro zu: Von im Durchschnitt (Median) 3.500 Euro für neue Angebote Ende Februar ging es im März auf 3.800 Euro hinauf. Das ist – mit Ausnahme der Preiskapriolen zum Handelsstart, als es teilweise nur ein Angebot bei einem Händler pro Tag gab – ein neuer Höchststand für das aktuelle Topmodell.

„FE Drops“ nicht einmal ein Tropfen auf heißen Stein

Ein Durchschnittspreis von 3.800 Euro bedeutet nicht, dass es nicht auch günstiger geht. Die vom Bot gemeldeten niedrigsten Preise neuer Angebote lagen zuletzt bei 3.200 Euro – der UVP der „FE“ liegt mit 2.099 Euro allerdings über 1.000 Euro niedriger. Zu kaufen gibt es sie dafür aber auch so gut wie nie. ComputerBase informiert, wenn es so weit ist:

• FE-Drop: Erhalte eine Discord/Telegram-Message bei GeForce-RTX-50-Verfügbarkeit

Nur für ganz schnelle ab 3.200 Euro im Handel

Wer wiederum mindestens 3.400 Euro zur Verfügung hat und gewillt ist, sie für eine GeForce RTX 5090 auszugeben, der findet im Handel Lagerware zu diesem Preis – ab 3.600 Euro wird das Angebot größer.

(*) Bei den mit Sternchen markierten Links handelt es sich um Affiliate-Links. Im Fall einer Bestellung über einen solchen Link wird ComputerBase am Verkaufserlös beteiligt, ohne dass der Preis für den Kunden steigt.