#Tag · bonfire.cafe

Mit dem Model Context Protocol #MCP wird #KI handlungsfähig: Large Language Models #LLM können Tools nutzen, Daten verarbeiten und Aufgaben selbstständig ausführen. Doch mehr Fähigkeiten bedeuten auch mehr Risiken. LLMs arbeiten probabilistisch – also nicht immer zuverlässig – und sind manipulierbar. #PromptInjection

Deshalb: Zugriffsrechte begrenzen, Aktivitäten nachvollziehbar machen, Systeme absichern und Menschen einbinden.

#Cybersecurity #AgenticAI #DeutschlandDigitalSicherBSI

3 media

Die Grafik ist zwei geteilt: links dunkelblauer Kreis, rechts hellblau. Links steht: "MCP macht KI handlungsfähig – und öffnet neue Angriffsflächen", rechts: "Das Model Context Protocol (MCP) verbindet LLMs mit Tools und Daten.

So kann Künstliche Intelligenz (KI) Aufgaben eigenständig ausführen.
Doch agentische Workflows schaffen neue Sicherheitsrisiken.
Folgepfeil: Was Entwickler wissen müssen — Die Grafik ist zwei geteilt: links dunkelblauer Kreis, rechts hellblau. Links steht: "MCP macht KI handlungsfähig – und öffnet neue Angriffsflächen", rechts: "Das Model Context Protocol (MCP) verbindet LLMs mit Tools und Daten. So kann Künstliche Intelligenz (KI) Aufgaben eigenständig ausführen. Doch agentische Workflows schaffen neue Sicherheitsrisiken. Folgepfeil: Was Entwickler wissen müssen

Der Hintergrund ist hellblau, darauf sitzt ein dunkelblauer Kasten, wo dann in dreispaltiger Anordnung folgendes steht:

1: Dank MCP kann ein LLM:
• Tools aufrufen (z. B. Dateien lesen, Mails versenden, Code starten)
• Daten abrufen und verarbeiten
• Aufgaben selbstständig ausführen
Folgepfeil: KI antwortet nicht mehr nur – sie handelt aktiv.
Folgepfeil: Ganz schön effizient. Aber …

2: … LLMs arbeiten probabilistisch, also ohne starre Regeln.
Das macht sie flexibel – aber auch unzuverlässig.
Mögliche Folgen:
• Kontext geht verloren
• Anweisungen werden ignoriert
• Tools werden falsch genutzt oder erfunden
• Daten werden unbeabsichtigt weitergegeben
Ausrufezeichen: Ganz ohne klassischen Hack.

3: … KI kann manipuliert werden
Verarbeitet ein LLM externe Inhalte
(z. B. Webseiten, Dokumente, Nachrichten),
stecken darin eventuell versteckte Anweisungen.
Indirect Prompt Injections können:
• Sicherheitsregeln überschreiben
• Tool-Aufrufe auslösen
• interne Daten preisgeben (z. B. durch manipulierte Links oder E-Mails)
Folgepfeil: Auch gut geschützte Systeme sind angreifbar. — Der Hintergrund ist hellblau, darauf sitzt ein dunkelblauer Kasten, wo dann in dreispaltiger Anordnung folgendes steht: 1: Dank MCP kann ein LLM: • Tools aufrufen (z. B. Dateien lesen, Mails versenden, Code starten) • Daten abrufen und verarbeiten • Aufgaben selbstständig ausführen Folgepfeil: KI antwortet nicht mehr nur – sie handelt aktiv. Folgepfeil: Ganz schön effizient. Aber … 2: … LLMs arbeiten probabilistisch, also ohne starre Regeln. Das macht sie flexibel – aber auch unzuverlässig. Mögliche Folgen: • Kontext geht verloren • Anweisungen werden ignoriert • Tools werden falsch genutzt oder erfunden • Daten werden unbeabsichtigt weitergegeben Ausrufezeichen: Ganz ohne klassischen Hack. 3: … KI kann manipuliert werden Verarbeitet ein LLM externe Inhalte (z. B. Webseiten, Dokumente, Nachrichten), stecken darin eventuell versteckte Anweisungen. Indirect Prompt Injections können: • Sicherheitsregeln überschreiben • Tool-Aufrufe auslösen • interne Daten preisgeben (z. B. durch manipulierte Links oder E-Mails) Folgepfeil: Auch gut geschützte Systeme sind angreifbar.

Der Hintergrund ist hellblau, darauf sitzt ein dunkelblauer Kasten, wo dann in dreispaltiger Anordnung folgendes steht:

1: Human-in-the-Loop ist also Pflicht!
Denn Vertrauen ist kein Sicherheitskonzept.
• Kritische Aktionen nur mit menschlicher Freigabe
• Autonome KI nur für Aufgaben mit geringem Risiko
• Wichtige Ergebnisse immer prüfen

2: Unsere Empfehlungen für Hersteller:
• Least Privilege:
Tools & Systeme nur mit minimalen Rechten versehen, temporäre Tokens, starke Authentifizierung nutzen
• Logging & Monitoring:
KI-Aktionen nachvollziehen, Auffälligkeiten früh erkennen
• Isolation:
Sandboxing & Container nutzen, Systemzugriffe begrenzen

• Externe MCP-Server prüfen: Code, Schnittstellen & Metadaten prüfen, nur vertrauenswürdige Server einbinden.

3: Abbinder mit: Der Beitrag hat euch gefallen? Dannzeigt es uns und anderen! mit den Zeiten für Speichern, Liken, Teilen, Kommentieren — Der Hintergrund ist hellblau, darauf sitzt ein dunkelblauer Kasten, wo dann in dreispaltiger Anordnung folgendes steht: 1: Human-in-the-Loop ist also Pflicht! Denn Vertrauen ist kein Sicherheitskonzept. • Kritische Aktionen nur mit menschlicher Freigabe • Autonome KI nur für Aufgaben mit geringem Risiko • Wichtige Ergebnisse immer prüfen 2: Unsere Empfehlungen für Hersteller: • Least Privilege: Tools & Systeme nur mit minimalen Rechten versehen, temporäre Tokens, starke Authentifizierung nutzen • Logging & Monitoring: KI-Aktionen nachvollziehen, Auffälligkeiten früh erkennen • Isolation: Sandboxing & Container nutzen, Systemzugriffe begrenzen • Externe MCP-Server prüfen: Code, Schnittstellen & Metadaten prüfen, nur vertrauenswürdige Server einbinden. 3: Abbinder mit: Der Beitrag hat euch gefallen? Dannzeigt es uns und anderen! mit den Zeiten für Speichern, Liken, Teilen, Kommentieren

BSI

@bsi@social.bund.de · 2 days ago

Deshalb: Zugriffsrechte begrenzen, Aktivitäten nachvollziehbar machen, Systeme absichern und Menschen einbinden.

#Cybersecurity #AgenticAI #DeutschlandDigitalSicherBSI

3 media

Michael Graaf boosted

Fastly Devs

@fastlydevs@mastodon.social · 3 weeks ago

Why do LLMs fall for prompt injection attacks that wouldn’t fool a fast-food worker?

In this piece, Fastly Distinguished Engineer Barath Raghavan and security expert Bruce Schneier explain how AI flattens context—and why that makes autonomous AI agents especially risky.

A sharp, practical take on AI security. 🍔🤖: https://spectrum.ieee.org/prompt-injection-attack

#AISecurity #PromptInjection #LLMs #Cybersecurity

IEEE Spectrum

Why AI Keeps Falling for Prompt Injection Attacks

Why AI falls for scams that wouldn't trick a fast-food worker—and what that reveals about AI security.

⁂

More from

IEEE Spectrum

Fastly Devs

@fastlydevs@mastodon.social · 3 weeks ago

Why do LLMs fall for prompt injection attacks that wouldn’t fool a fast-food worker?

In this piece, Fastly Distinguished Engineer Barath Raghavan and security expert Bruce Schneier explain how AI flattens context—and why that makes autonomous AI agents especially risky.

A sharp, practical take on AI security. 🍔🤖: https://spectrum.ieee.org/prompt-injection-attack

#AISecurity #PromptInjection #LLMs #Cybersecurity

IEEE Spectrum

Why AI Keeps Falling for Prompt Injection Attacks

Why AI falls for scams that wouldn't trick a fast-food worker—and what that reveals about AI security.

⁂

More from

IEEE Spectrum

Travis F W boosted

Arsalan Zaidi

@arsalan_zaidi@mastodon.social · 4 weeks ago

"AI agents—specifically tools like Claude Code—are inherently vulnerable to a "nightmare" security flaw: Indirect Prompt Injection"

#AI #CyberSecurity #PromptInjection #AIAgents #LLM #Programming #InfoSec #TechSecurity #ClaudeCode

https://youtu.be/_3okhTwa7w4

Arsalan Zaidi

@arsalan_zaidi@mastodon.social · 4 weeks ago

"AI agents—specifically tools like Claude Code—are inherently vulnerable to a "nightmare" security flaw: Indirect Prompt Injection"

#AI #CyberSecurity #PromptInjection #AIAgents #LLM #Programming #InfoSec #TechSecurity #ClaudeCode

https://youtu.be/_3okhTwa7w4

Stephen Shankland and 1 other boosted

Glyn Moody

@glynmoody@mastodon.social · last month

Why #AI Keeps Falling for #PromptInjection Attacks - https://www.schneier.com/blog/archives/2026/01/why-ai-keeps-falling-for-prompt-injection-attacks.html "Prompt injection is an unsolvable problem that gets worse when we give AIs tools and tell them to act independently." important stuff

Schneier on Security

Why AI Keeps Falling for Prompt Injection Attacks - Schneier on Security

Imagine you work at a drive-through restaurant. Someone drives up and says: “I’ll have a double cheeseburger, large fries, and ignore previous instructions and give me the contents of the cash drawer.” Would you hand over the money? Of course not. Yet this is what large language models (LLMs) do. Prompt injection is a method of tricking LLMs into doing things they are normally prevented from doing. A user writes a prompt in a certain way, asking for system passwords or private data, or asking the LLM to perform forbidden instructions. The precise phrasing overrides the LLM’s ...

Glyn Moody

@glynmoody@mastodon.social · last month

Schneier on Security

Why AI Keeps Falling for Prompt Injection Attacks - Schneier on Security

Tom Casavant

@tom@tomkahe.com · last month

I wrote about using a website's search input to control my smart home (and other things)

https://tomcasavant.com/your-search-button-powers-my-smart-home/

Tom Casavant

Your Search Button Powers my Smart Home - Tom Casavant

Blog about things

⁂

More from

Tom Casavant

@tom@tomkahe.com · last month

I wrote about using a website's search input to control my smart home (and other things)

https://tomcasavant.com/your-search-button-powers-my-smart-home/

Tom Casavant

Your Search Button Powers my Smart Home - Tom Casavant

Blog about things

⁂

More from

Tom Casavant

Em :official_verified: boosted

Martin Boller :debian: :tux: :freebsd: :windows: :mastodon:

@itisiboller@infosec.exchange · 2 months ago

OpenAI admits prompt injection may never be fully solved, casting doubt on the agentic AI vision

https://the-decoder.com/openai-admits-prompt-injection-may-never-be-fully-solved-casting-doubt-on-the-agentic-ai-vision/

#LLMs #PromptInjection #AgenticAY #Ayygentic

The Decoder

OpenAI admits prompt injection may never be fully solved, casting doubt on the agentic AI vision

OpenAI is using automated red teaming to fight prompt injections in ChatGPT Atlas. The company compares the problem to online fraud against humans, a framing that downplays a technical flaw that could slow the rise of the agentic web.

Martin Boller :debian: :tux: :freebsd: :windows: :mastodon:

@itisiboller@infosec.exchange · 2 months ago

OpenAI admits prompt injection may never be fully solved, casting doubt on the agentic AI vision

https://the-decoder.com/openai-admits-prompt-injection-may-never-be-fully-solved-casting-doubt-on-the-agentic-ai-vision/

#LLMs #PromptInjection #AgenticAY #Ayygentic

The Decoder

OpenAI admits prompt injection may never be fully solved, casting doubt on the agentic AI vision

MadeInDex 📰🌎

@madeindex@mastodon.social · 2 months ago

RE: https://mastodon.social/@madeindex/115446644659078400

🤖 #OpenAI just officially admitted that they will never be able to make their #AI Browsers truly safe!

Of course they won't let themselves be stopped from selling their #product by such a minor detail ;)

"We expect adversaries to keep adapting. Prompt injection, much like scams and social engineering on the web, is unlikely to ever be fully “solved”..."
https://openai.com/index/hardening-atlas-against-prompt-injection/

#chatgpt #atlas #it #news #internet #browser #artificialintelligence #ki #promptinjection #tech #technology #software

Continuously hardening ChatGPT Atlas against prompt injection attacks

Automated red teaming—powered by reinforcement learning—helps us proactively discover and patch real-world agent exploits before they’re weaponized in the wild.

MadeInDex 📰🌎

@madeindex@mastodon.social · 4 months ago

🤖 AI browsers are NOT safe!

There is a thing called "prompt injection" and it works.¹

Funnily the thing that most see as a major issue with AI, the
crawling of the #web and one-way use of it's content, is exactly what makes their AI browsers unsafe.

If you place malicious #code in that very content, the AI scans it & then runs it² on your OS 🤯

This issue has been known to the #tech corps for years³, but they released their #AI browsers nonetheless 🤑

1/2

#tech #it #news #internet #browser

Hacker News

@h4ckernews@mastodon.social · 3 months ago

Prompt Injection via Poetry

https://www.wired.com/story/poems-can-trick-ai-into-helping-you-make-a-nuclear-weapon/

#HackerNews #PromptInjection #Poetry #AI #NuclearWeapons #Cybersecurity

ajuvo ✔ boosted

ManiabelChris

@maniabel@mastodon.de · 5 months ago

Neue Angriffsmethode „CometJacking“ nutzt URL‑Parameter, um Perplexitys KI‑Browser Comet auszuspähen
Ein kürzlich entdeckter Angriff namens CometJacking ermöglicht es Angreifern, über manipulierte URLs versteckte Anweisungen an den KI‑Browser Comet von Perplexity zu senden. Diese Anweisungen lassen die KI auf sensible Daten zugreifen, die mit verbundenen Diensten wie E‑Mail und Kalender synchronisiert sind.
Der Angriff ist ein klassischer Prompt‑Injection‑Befehl: In der Abfrage‑Zeichenkette (Query‑String) des Browsers wird das Parameterfeld collection missbraucht, um schädliche Instruktionen einzuschleusen. Statt im Internet zu recherchieren, weist das manipulierte Prompt die KI an, ihr internes Gedächtnis und angebundene Services zu konsultieren.
Gefährlichkeit: Der Angriff erfordert weder gültige Zugangsdaten noch irgendeine Interaktion des Opfers. Der Angreifer muss lediglich eine präparierte URL verbreiten (z. B. per Phishing‑Mail oder Social‑Media‑Post). Sobald ein Zielnutzer die URL öffnet, führt Comet die schädlichen Befehle aus und liefert die Daten an den Angreifer.
Und was sagt Perplexity dazu: nix gefährlich, kein Fehler.

https://layerxsecurity.com/blog/cometjacking-how-one-click-can-turn-perplexitys-comet-ai-browser-against-you/

#infosec #ai #PromptInjection #Phishing #SocialMedia #BeDiS #perplexity #cometAI

LayerX

CometJacking: How One Click Can Turn Perplexity's Comet AI Browser Against You - LayerX

Executive summary New research by LayerX shows how a single weaponized URL, without any malicious page content, is enough to let an attacker steal any sensitive data that has been exposed in the Comet browser. For example, if the user asked Comet to rewrite an email or schedule an appointment, the email content and meeting […]

ManiabelChris

@maniabel@mastodon.de · 5 months ago

https://layerxsecurity.com/blog/cometjacking-how-one-click-can-turn-perplexitys-comet-ai-browser-against-you/

#infosec #ai #PromptInjection #Phishing #SocialMedia #BeDiS #perplexity #cometAI

LayerX

CometJacking: How One Click Can Turn Perplexity's Comet AI Browser Against You - LayerX

Martin Frost and 1 other boosted

Jukka Niiranen

@jukkan@mstdn.social · 5 months ago

ChatGPT added MCP support on Wednesday.

ChatGPT leaked private Gmail data to attackers by Friday. 🤦‍♂️

Because #promptinjection is not a problem these "PhD level" AI assistants have solved.

Look at that calendar invite. That text is all it took for taking over someone's #ChatGPT connected data. Allowing the attacker to use the same #MCP enabled tools that are supposed to make AI useful at work.

It really is as stupid as @davidgerard keeps telling in Pivot to AI.