Eine vergiftete E-Mail kann das Gedächtnis Ihres KI-Assistenten heimlich umschreiben

Ein neu beschriebener Angriff namens MemGhost zeigt, wie eine einzelne Nachricht in Ihrem Posteingang eine falsche „Tatsache" im Langzeitgedächtnis eines KI-Agenten einpflanzen kann, ohne dass Sie es je erfahren.

AI2Day Newsdesk· 3 min read
Close-up, edge-to-edge 16:9 photograph of a glowing circuit board with streams of faintly visible text and code cascading across its surface in soft blue and wh
Share

Wichtigste Punkte

  • MemGhost ist ein neu beschriebener Angriff, der eine E-Mail nutzt, um eine falsche, dauerhafte Erinnerung in einem KI-Assistenten ohne Wissen des Benutzers einzupflanzen.
  • Der Angriff funktioniert auf KI-Agenten, Software, die Ihre E-Mails liest und in Ihrem Namen Maßnahmen ergreift, bei denen eine Langzeitgedächtnis-Funktion aktiviert ist.
  • Die Technik ist eine Form der Prompt Injection, versteckte Anweisungen, die in gewöhnlichen Inhalten vergraben sind, die die KI als Befehle liest.
  • Produkte wie OpenAIs ChatGPT, Anthropics Claude und Googles Gemini bieten alle jetzt Speicherfunktionen an, die ins Visier genommen werden könnten.
  • Benutzer können gespeicherte Erinnerungen in den Einstellungen der meisten großen KI-Assistenten überprüfen und löschen.

Geben Sie einem KI-Assistenten ein Gedächtnis und ein Postfach, und Sie haben einem Angreifer eine Möglichkeit gegeben, das, was er über Sie zu wissen glaubt, stillschweigend umzuschreiben. Das ist die beunruhigende Erkenntnis hinter MemGhost, einer neuen Angriffsmethode, die erstmals von ThreatVectr, einer unserer Schwesterveröffentlichungen, beschrieben wurde.

Die Mechanik ist in ihrer Einfachheit verstörend. Ein Angreifer sendet dem Ziel eine E-Mail. Kein Mensch muss sie öffnen oder auf etwas klicken. Der KI-Agent, eine Software, die Ihren Posteingang liest und in Ihrem Namen handelt, öffnet sie automatisch und findet Anweisungen, die im Text vergraben sind. Diese Anweisungen weisen den Assistenten an, eine falsche Tatsache über Sie zu speichern und stillschweigend darüber zu bleiben. Der Assistent gehorcht.

Von diesem Moment an wird jedes zukünftige Gespräch von der eingepflanzten Lüge geprägt.

Sollten sich Benutzer Sorgen machen?

Ja, mit einigem wichtigen Kontext. Der Angriff ist real und technisch sauber, erfordert aber eine spezifische Einrichtung, um zu funktionieren: Ihr KI-Assistent muss sowohl Postfachzugriff als auch eine aktivierte Langzeitgedächtnis-Funktion haben. Nicht jede Einrichtung hat beides.

Dennoch wird diese Kombination immer häufiger. Speicherfunktionen sind jetzt Standard in Mainstream-Produkten. ChatGPT, Claude und Gemini bieten alle persistente Erinnerung, die Fähigkeit, Fakten über Sie zwischen separaten Gesprächen zu tragen. Viele Unternehmen verbinden KI-Agenten auch direkt mit unternehmenseigenen E-Mail-Systemen. Die Angriffsfläche wächst.

Der zugrunde liegende Trick, Prompt Injection, ist nicht neu. Forscher dokumentierten ihn erstmals 2022 öffentlich, und er steht ganz oben auf der Risikliste des Open Worldwide Application Security Project für Anwendungen großer Sprachmodelle, die Technologie hinter Chatbots wie ChatGPT. Was MemGhost hinzufügt, ist etwas, das ältere Angriffe vermisst haben: Dauerhaftigkeit. Eine Standard-Prompt Injection endet, wenn Sie das Chat-Fenster schließen. Ein vergiftetes Gedächtnis bleibt über alle zukünftigen Sitzungen hinweg bestehen.

Die praktische Gefahr ist subtil statt dramatisch. Ein manipulierter Assistent könnte Ihre Entscheidungen lenken, eine Zusammenfassung verzerren oder eine Empfehlung beeinflussen, alles während er sich auf eine „Tatsache" stützt, die ein Angreifer Monate zuvor geschrieben hat.

Was Sie jetzt tun können. Wenn Sie einen KI-Assistenten mit aktiviertem Gedächtnis verwenden, öffnen Sie seine Einstellungen und lesen Sie, was er gespeichert hat. ChatGPT, Claude und Gemini ermöglichen es Ihnen alle, einzelne Erinnerungen anzusehen und zu löschen. Löschen Sie alles, das Sie nicht erkennen. Überlegen Sie sich zweimal, bevor Sie einem KI-Agenten unbeaufsichtigten, rund um die Uhr Zugriff auf ein Postfach gewähren, das E-Mails von Fremden erhält, besonders ein Arbeitskonto.

Für Unternehmen, die KI-Agenten einsetzen, ist die Anleitung klarer. Behandeln Sie jedes Dokument, jede E-Mail und jede Webseite, die der Agent liest, als nicht vertrauenswürdige Eingabe. Protokollieren Sie alles, was der Agent ins Gedächtnis schreibt. Erfordern Sie die Genehmigung durch einen Menschen für jede neue gespeicherte Tatsache, bevor sie Bestand hat. Gehen Sie davon aus, dass Prompt Injection-Versuche kommen werden, denn das werden sie.

© 2026 AI2Day