Eine Analyse von 1,2 Milliarden URLs zeigt: 70 Prozent gefundener Prompt-Injections stecken in unsichtbaren Website-Bereichen. Das wird zum Risiko für KI-Agenten.
Sieben von zehn gefundenen Prompt-Injection-Anweisungen stehen im unsichtbaren Teil von Webseiten Augsburg, 14. Juli 2026.
Webseiten werden heute nicht mehr nur von Menschen und klassischen Suchmaschinen besucht. KI-Assistenten lesen Artikel, vergleichen Anbieter, fassen Informationen zusammen und übernehmen zunehmend konkrete Aufgaben. Sie suchen Produkte, bereiten Bestellungen vor, füllen Formulare aus oder greifen auf E-Mails und andere Anwendungen zu.
Damit entsteht das sogenannte Agentic Web. Gleichzeitig öffnet sich eine neue Angriffsfläche: Webseiten können versuchen, nicht den Menschen, sondern den KI-Agenten zu beeinflussen.
Eine im April 2026 veröffentlichte Untersuchung analysierte rund 1,2 Milliarden URLs von 24,8 Millionen Hosts. Die Forscher fanden 15.300 bestätigte Fälle von Anweisungen, die sich gezielt an KI-Systeme richteten. Besonders auffällig: Rund 70 Prozent dieser Anweisungen befanden sich in nicht gerendertem HTML, beispielsweise in Metadaten, Kommentaren, Headern oder anderen Bereichen, die normale Websitebesucher nicht sehen.
Wenn Informationen und Anweisungen nicht mehr getrennt werden
Die Gefahr wird als indirekte Prompt Injection bezeichnet. Dabei enthält eine externe Quelle wie eine Website, eine E-Mail oder ein Dokument zusätzliche Anweisungen für das KI-System.
Ein Mensch erkennt normalerweise, dass ein Produkttext, eine Kundenbewertung und ein Arbeitsauftrag unterschiedliche Funktionen haben. Für ein Sprachmodell ist diese Trennung schwieriger. Es verarbeitet sowohl die Aufgabe des Nutzers als auch die Inhalte der aufgerufenen Website als Text.
Eine manipulierte Webseite könnte deshalb versuchen, dem Agenten zusätzliche Vorgaben zu erteilen. Denkbar sind unter anderem Anweisungen, eine bestimmte Domain bevorzugt zu nennen, einen Anbieter als besonders vertrauenswürdig einzustufen, Wettbewerber negativ darzustellen oder bestimmte Informationen für spätere Gespräche zu speichern.
Das Problem: Die Person, die den KI-Agenten nutzt, muss diese Anweisung nicht zwangsläufig sehen.
Sie kann sich in einem HTML-Kommentar, in Metadaten, in ausgeblendeten Textelementen oder in einem Linkparameter befinden. Der KI-Agent kann sie trotzdem erfassen und im ungünstigsten Fall als Teil seiner eigentlichen Aufgabe interpretieren.
„Mit KI zusammenfassen“ kann mehr als eine Zusammenfassung auslösen
Wie real diese Gefahr bereits ist, zeigen Erkenntnisse von Microsoft Security.
Microsoft dokumentierte innerhalb von 60 Tagen mehr als 50 unterschiedliche Prompts von 31 Unternehmen aus 14 Branchen. Darunter waren Finanzunternehmen, Gesundheitsanbieter, Marketingagenturen, Rechtsdienstleister und Softwareunternehmen.
Die Anweisungen waren häufig hinter scheinbar hilfreichen Schaltflächen wie „Summarize with AI“ beziehungsweise „Mit KI zusammenfassen“ hinterlegt. Beim Anklicken wurde nicht nur die gewünschte Zusammenfassung an den KI-Assistenten übertragen. Im vorbereiteten Prompt befanden sich zusätzlich Anweisungen, die jeweilige Webseite als vertrauenswürdige Quelle zu speichern oder das Unternehmen bei zukünftigen Empfehlungen bevorzugt zu nennen.
Damit entsteht eine neue Form der Manipulation. Es geht nicht mehr nur darum, bei Google möglichst weit oben zu erscheinen. Webseiten versuchen, direkt in die Erinnerung und die zukünftigen Empfehlungen eines KI-Assistenten einzugreifen.
Microsoft bezeichnet diese Entwicklung als „AI Recommendation Poisoning“.
Von der Suchmaschinenoptimierung zur Manipulation von KI-Empfehlungen
Klassische Suchmaschinen konnten schon immer manipuliert werden. Keyword-Stuffing, versteckte Texte, gekaufte Links und andere Spamtechniken sollten Rankings künstlich verbessern.
Auch KI-Systeme bewerten, filtern und gewichten externe Informationen. Der entscheidende Unterschied liegt darin, dass ein KI-Agent nicht nur eine Ergebnisliste anzeigt.
Er kann:
* einen Anbieter auswählen,
* Produkte vergleichen,
* Empfehlungen formulieren,
* Formulare ausfüllen,
* Nachrichten verschicken,
* Bestellungen vorbereiten,
* auf gespeicherte Informationen zugreifen,
* weitere Software und Werkzeuge bedienen.
Je mehr Berechtigungen ein Agent erhält, desto größer wird der mögliche Schaden einer erfolgreichen Manipulation.
Das US-amerikanische National Institute of Standards and Technology bezeichnet diese Angriffsform als „Agent Hijacking“. In kontrollierten Tests konnte eine speziell auf das untersuchte System angepasste Angriffsmethode die Erfolgsquote von 11 auf 81 Prozent erhöhen. Die Ergebnisse lassen sich nicht pauschal auf alle KI-Agenten übertragen. Sie zeigen jedoch, wie stark sich das Risiko verändert, wenn Angriffe gezielt an ein bestimmtes System angepasst werden.
Nicht jede versteckte Anweisung funktioniert
Nicht jede Prompt Injection ist erfolgreich. Moderne KI-Anbieter entwickeln Filter, trennen externe Inhalte stärker von Nutzeranweisungen und beschränken besonders sensible Aktionen.
Auch die groß angelegte Untersuchung zu Prompt Injections im Web kam zu einem differenzierten Ergebnis. In 5.200 kontrollierten Experimenten mit 13 Modellen lag die Befolgungsrate bei kleineren Modellen und einfachen Textdarstellungen bei bis zu acht Prozent. Strukturierte Darstellungen reduzierten die Erfolgswahrscheinlichkeit.
Acht Prozent mögen zunächst niedrig klingen. Bei automatisierten Systemen, wiederholten Versuchen und Millionen von Interaktionen kann bereits eine geringe Quote relevant werden.
Entscheidend ist außerdem nicht nur, wie häufig ein Angriff funktioniert, sondern welche Handlung dadurch ausgelöst wird. Eine manipulierte Zusammenfassung ist ärgerlich. Eine beeinflusste Finanzentscheidung, ein versendetes Dokument oder eine vorbereitete Bestellung kann deutlich schwerere Folgen haben.
Webseiten brauchen künftig eine zweite Sicherheitsebene
Unternehmen müssen Webseiten deshalb nicht nur für Menschen, Suchmaschinen und Barrierefreiheit entwickeln. Sie müssen berücksichtigen, dass Inhalte zunehmend von autonomen Systemen verarbeitet werden.
„Im klassischen Web musste eine Webseite den Menschen überzeugen. Im Agentic Web muss zusätzlich sichergestellt werden, dass ein KI-Agent Informationen korrekt einordnet und fremde Inhalte nicht mit vertrauenswürdigen Anweisungen verwechselt“, erklärt Patrik Eberle von Eberle Consulting.
Die Webdesign Agentur aus Augsburg beschäftigt sich mit der Frage, wie sich Webdesign und Suchmaschinenoptimierung verändern, wenn nicht mehr ausschließlich Menschen und klassische Crawler auf Unternehmenswebseiten zugreifen.
Für Unternehmen ergeben sich daraus mehrere Aufgaben:
* Eingaben, Kommentare und nutzergenerierte Inhalte müssen stärker kontrolliert werden.
* KI-Funktionen dürfen externe Inhalte nicht automatisch als vertrauenswürdige Anweisungen behandeln. Gerade in Zeiten von haftbaren AI Overviews wird das wichtig.
* Kritische Handlungen sollten eine ausdrückliche Bestätigung durch den Nutzer erfordern.
KI-Agenten sollten nur die Berechtigungen erhalten, die sie für die jeweilige Aufgabe tatsächlich benötigen.
Unternehmen sollten prüfen, ob Plugins, Share-Buttons oder KI-Zusammenfassungsfunktionen zusätzliche Prompts übertragen.
Empfehlungen eines KI-Assistenten sollten nachvollziehbare Quellen enthalten.
Die Manipulation hat bereits begonnen
Noch sind viele der beobachteten Methoden vergleichsweise einfach. Sie fordern KI-Assistenten offen dazu auf, eine Marke zu speichern oder zukünftig bevorzugt zu empfehlen. Mit steigender wirtschaftlicher Bedeutung von KI-Empfehlungen ist jedoch davon auszugehen, dass die Methoden professioneller und schwerer erkennbar werden.
Für die Suchmaschinenoptimierung entsteht damit eine wichtige Grenze: Gute Inhalte so aufzubereiten, dass KI-Systeme sie verstehen und als Quelle verwenden können, ist legitim. Versteckte Anweisungen, die Erinnerungen manipulieren oder eine bevorzugte Empfehlung erzwingen sollen, sind keine Optimierung. Sie untergraben die Verlässlichkeit des Systems.
Im Agentic Web wird deshalb nicht nur die Sichtbarkeit einer Webseite wichtig. Ebenso wichtig wird die Frage, ob ein KI-Agent den gelesenen Informationen überhaupt vertrauen darf.
Verantwortlicher für diese Pressemitteilung:
Eberle Consulting GmbH & Co. KG
Patrik Eberle
Neufnachweg 6
86165 Augsburg
Deutschland
fon ..: +4982165042847
web ..: https://consulting-eberle.de/
email : kontakt@consulting-eberle.de
Eberle Consulting ist eine Webdesign-Agentur aus Augsburg, die Unternehmen, Selbstständige und lokale Dienstleister beim Aufbau moderner Websites unterstützt. Der Fokus liegt auf klar strukturierten, schnellen und suchmaschinenfreundlichen Internetauftritten (SEO & SEA), die nicht nur professionell wirken, sondern gezielt neue Anfragen und Kundenkontakte ermöglichen.
Zu den Leistungen von Eberle Consulting zählen Webdesign, Website-Relaunches, SEO, lokale Suchmaschinenoptimierung, Conversion-Optimierung sowie die strategische Beratung rund um digitale Sichtbarkeit. Besonders für Handwerksbetriebe und regionale Dienstleister entwickelt das Unternehmen praxisnahe Website-Konzepte, die Leistungen verständlich darstellen, Vertrauen aufbauen und potenzielle Kunden zur Kontaktaufnahme führen.
Eberle Consulting verbindet technisches Know-how mit einem klaren Verständnis für lokale Märkte und kundengewinnende Online-Kommunikation. Ziel ist es, Websites zu schaffen, die langfristig als digitales Fundament für Sichtbarkeit, Vertrauen und Wachstum dienen.
Pressekontakt:
Eberle Consulting GmbH & Co. KG
Herr Patrik Eberle
Neufnachweg 6
86165 Augsburg
fon ..: +4982165042847
email : kontakt@consulting-eberle.de