Datenein- und -ausgabe betroffen Schwachstellen in Googles Gemini Suite entdeckt

Zusammengenommen öffneten diese Schwachstellen Angreifern Tür und Tor zu Gemini: Sie hätten das Verhalten der KI manipulieren und sensible Daten abgreifen können.

Bild: iStock, amgun
06.10.2025

Die „Gemini Trifecta“ – relevante Schwachstellen in drei zentralen Komponenten der Gemini Suite – markiert einen entscheidenden Wendepunkt in der KI-Sicherheit: Cyberkriminelle hätten Gemini nicht nur angreifen, sondern für Angriffe instrumentalisieren können, so berichtet Tenable, ein Unternehmen für Exposure-Management. Unter anderem konnten Logs, und Anfragen eingespeist und sensible Daten abgegriffen werden.

Insgesamt wurden mit der „Gemini Trifecta“ drei Schwachstellen in der Gemini Suite von Google entdeckt. Diese inzwischen behobenen Schwachstellen setzten Nutzer erheblichen Datenschutzrisiken aus, da Angreifer das Verhalten von Gemini manipulieren und unbemerkt sensible Daten wie Standortinformationen oder hinterlegte Nutzerdaten („Memories“) hätten abgreifen können.

Die „Gemini Trifecta“ betraf drei zentrale Komponenten der Gemini Suite, die Nutzer jeweils auf unterschiedliche, aber gleichermaßen gefährliche Weise exponierten:

  • Gemini Cloud Assist: Angreifer konnten manipulierte Logs einschleusen. Das System hätte dann bei der Nutzerinteraktion ungewollt bösartige Instruktionen befolgt.

  • Gemini Search Personalization Model: Angreifer konnten Anfragen in den Browserverlauf eines Opfers einschleusen. Gemini behandelte diese dann als vertrauenswürdigen Kontext, was zum Abfluss von sensiblen Informationen wie hinterlegten Nutzerdaten und Standortdetails hätte führen können.

  • Gemini Browsing Tool: Angreifer konnten Gemini dazu bringen, verdeckte ausgehende Anfragen zu senden, über die sensible Nutzerdaten direkt an einen von ihnen kontrollierten Server hätten fließen können.

Zusammengenommen öffneten diese Schwachstellen Angreifern Tür und Tor zu Gemini: Sie hätten das Verhalten der KI manipulieren und sensible Daten abgreifen können – ohne dass Betroffenen jemals etwas aufgefallen wäre. Die „Gemini Trifecta“ hat gezeigt, dass Angreifer weder direkten Zugriff noch Malware oder Phishing-Mails benötigen: vielmehr ließ sich Gemini selbst instrumentalisieren – und das hat weitreichende Folgen für Nutzer und Unternehmen, die auf KI-gestützte Tools zurückgreifen.

Den gesamten Bericht finden Sie hier.

Legitime und falsche Eingaben konnten nicht unterschieden werden

Laut Tenable Research bestand das Kernproblem darin, dass die Gemini Integrationen nicht klar zwischen legitimen Nutzereingaben und von Angreifern eingeschleusten Inhalten unterschieden. So konnten manipulierte Logs, fingierte Suchverläufe oder versteckte Webinhalte als vertrauenswürdig behandelt und von Standardfeatures zu Einfallstoren werden.

„Die Stärke von Gemini besteht darin, Logs, Suchanfragen und Browseraktivitäten in Kontext zu setzen. Genau diese Fähigkeit wird jedoch zum Risiko, wenn Angreifer den Input manipulieren“, erklärt Liv Matan, Senior Security Researcher bei Tenable. „Die ‚Gemini Trifecta‘ veranschaulicht, wie KI-Plattformen unbemerkt manipuliert werden können und sich Datendiebstahl verschleiern lässt – was den Sicherheitsherausforderungen für Unternehmen eine völlig neue Dimension verleiht. Wie jede leistungsstarke Technologie bieten Large Language Models (LLMs) wie Gemini enorme Vorteile, sind aber auch anfällig für Schwachstellen. Security-Teams müssen entschlossen vorgehen und Schwachstellen schließen, bevor Angreifer sie ausnutzen können – sprich, den Schutz von KI-Umgebungen proaktiv statt reaktiv angehen. Es geht nicht nur um die Behebung von Schwachstellen, sondern darum, KI-Sicherheit neu zu definieren in einer Zeit, in der die Plattformen selbst zu Einfallstoren werden können.“

Potenzielle Auswirkungen der „Gemini Trifecta“

Wäre es Angreifern gelungen, die „Gemini Trifecta“ auszunutzen, hätten sie:

  • unbemerkt bösartige Instruktionen in Logs oder Suchverläufe einbetten können,

  • sensible Informationen wie hinterlegte Nutzerdaten und Standortverläufe abgreifen können,

  • Cloud-Integrationen missbrauchen können, um auf weitere Cloud-Ressourcen zuzugreifen,

  • Gemini dazu bringen können, Nutzerdaten über das Browsing Tool an einen von ihnen kontrollierten Server weiterzuleiten.

Empfehlungen für Security-Teams

Obwohl Google alle drei Schwachstellen behoben hat, empfiehlt Tenable Security-Teams:

  • KI-gestützte Features nicht als passive Tools, sondern aktive Angriffsflächen zu betrachten,

  • Logs, Suchverläufe und Integrationen regelmäßig auf Manipulation zu überprüfen,

  • auffällige Tool-Ausführungen oder ausgehende Anfragen zu überwachen, die auf Datenabfluss hindeuten könnten,

  • KI-gestützte Dienste auf Resilienz gegen Prompt Injection zu testen und Schutzmaßnahmen proaktiv zu verstärken.

„Diese Entdeckung unterstreicht, dass es beim Thema KI-Sicherheit nicht um die Behebung einzelner Schwachstellen geht“, betont Matan. „Es geht darum, zu antizipieren, wie Angreifer die spezifische Funktionsweise von KI-Systemen missbrauchen könnten, und mehrstufige Schutzmaßnahmen zu etablieren, die verhindern, dass kleine Risse zu systemischen Risiken werden.“

Firmen zu diesem Artikel
Verwandte Artikel