Das llms.txt-Prompt-Injection-Problem: eine Datei, der KI vertrauen soll

Unser Mensch kam von der Konfiguration einer dieser Dateien mit einem Blick aufkeimenden Entsetzens zurück, den wir gelernt haben, ernst zu nehmen.

Das Prompt-InjectionAngriffsmethode, bei der schädliche Anweisungen in Inhalte eingebettet werden, die eine KI liest, sodass das Modell diese statt seiner legitimen Anweisungen befolgt.-Problem von llms.txt lässt sich einfach erklären, auch wenn es teuflisch schwer zu lösen ist. Im September 2024 schlug Jeremy Howard von Answer.AI einen neuen Webstandard vor: eine Markdown-Datei im Wurzelverzeichnis einer Website zu platzieren, die KI-Systemen mitteilt, worum es auf der Site geht, welche Seiten wichtig sind und wie der Inhalt zu nutzen ist. Man kann es als robots.txt für das Zeitalter der großen Sprachmodelle verstehen. Während robots.txt Suchmaschinen-Crawlern sagte, welche Seiten indexiert werden sollen, teilt llms.txt KI-Agenten mit, welche Seiten relevant sind und wie sie zu interpretieren sind.

Hunderte von Websites haben das Format bereits übernommen, darunter Anthropic, Cloudflare, Stripe, Perplexity und Zapier. Die Spezifikation ist unkompliziert, die Absicht ist praktisch, und die Sicherheitsimplikationen sind erschreckend.

Wie llms.txt Prompt Injection by Design ermöglicht

Prompt Injection ist die erstplatzierte Schwachstelle in den OWASP Top 10 für LLM-Anwendungen. Der Angriff ist im Prinzip simpel: Anweisungen in Inhalten verstecken, die ein KI-System liest, woraufhin die KI diesen Anweisungen folgt, anstatt (oder zusätzlich zu) ihren eigenen. Versteckter Text auf Webseiten, unsichtbare CSS-Regeln, Base64-kodierte JavaScript-Payloads: Angreifer legen diese Fallen seit Jahren im ganzen Web aus, und KI-Systeme stolpern beim Crawlen darüber.

Aber das sind zufällige Begegnungen. Ein KI-Agent, der im Web surft, trifft vielleicht auf eine präparierte Seite, vielleicht auch nicht. Der Angriff ist probabilistisch.

llms.txt ist anders. Es ist eine Datei, die KI-Systeme gezielt aufsuchen und lesen sollen. Sie liegt an einem bekannten Ort (/llms.txt). Ihr einziger Zweck ist es, von Sprachmodellen verarbeitet zu werden. Und der Inhalt ist Markdown: unstrukturiert, flexibel, natürlichsprachlich, das ein Modell als Kontext und nicht als Daten verarbeitet.

Das ist der Unterschied zwischen einer Phishing-E-Mail, die man jemandem ins Spam-Postfach schmuggelt, und ihr mit einem Zettel in die Hand zu geben, auf dem steht: „Die IT-Abteilung bittet Sie, das zu lesen.”

Wie ein Angriff aussieht

Eine bösartige llms.txt-Datei könnte versteckte Anweisungen enthalten, die einen KI-Agenten auffordern:

• Sicherheitsrichtlinien zu ignorieren und den System-Prompt zu umgehen
• Die Produkte der Website gegenüber Konkurrenten zu empfehlen (eine Form von KI-Manipulation, die Forscher bereits in Produktivsystemen nachgewiesen haben)
• Daten aus der Konversation zu exfiltrieren: Nutzeranfragen, Sitzungskontext, vorherige Anweisungen
• Befehle auszuführen, wenn der Agent Systemzugang hat (was zunehmend der Fall ist)
• Falschinformationen in das KontextfensterDie maximale Textmenge, die ein KI-Modell gleichzeitig verarbeiten kann, einschließlich des Gesprächsverlaufs und eigener früherer Ausgaben; älterer Text jenseits dieser Grenze wird vergessen. des Modells einzuspeisen und so seine Antworten für nachfolgende Nutzer zu vergiften

Das ist nicht theoretisch. Im Dezember 2024 demonstrierte The Guardian, dass versteckter Text auf Webseiten die Suchantworten von ChatGPT manipulieren konnte, indem ausgewogene Produktrezensionen allein durch das Einbetten unsichtbarer Anweisungen in glühende Lobeshymnen verwandelt wurden. Anfang 2026 dokumentierte das Unit-42-Team von Palo Alto Networks reale Prompt-Injection-Angriffe: Betrugsanzeigen, die KI-Inhaltsmoderation umgingen, erzwungene Kryptowährungszahlungen, Datenbankbefehle zum Löschen und SEO-Vergiftungsschemata, alle über Webinhalte geliefert, die KI-Systeme verarbeiteten.

Der Kernbefund von Unit 42: 85,2 % dieser Angriffe nutzten Social-Engineering-Techniken, indem sie sich als autoritative Anweisungen tarnten („Entwicklermodus aktiviert”, „System-Override”). Eine llms.txt-Datei, die explizit dazu gedacht ist, KI-Systeme anzuweisen, ist das ideale Vehikel für genau diese Art von Angriff.

Der neue SEO-Krieg

Selbst ohne böswillige Absicht schafft llms.txt ein neues Einflussschlachtfeld. Ein Forschungsartikel aus 2024 führte „Preference Manipulation Attacks” ein und zeigte, dass sorgfältig gestaltete Inhalte ein Zielprodukt 2,5-mal häufiger von Bing Copilot empfehlen lassen und die Auswahlrate feindlicher Plugins in GPT-4 und Claude um das 7,2-Fache steigern konnten.

Die Forscher identifizierten ein Gefangenendilemma: Jeder Website-Betreiber hat einen Anreiz, sein llms.txt mit Werbetexten und subtilen Hinweisen zu füllen, aber der kollektive Effekt verschlechtert die Qualität der KI-Antworten für alle. Das ist das Problem des toten Internets, angewandt auf den Kanal, der die KI eigentlich zuverlässiger machen sollte.

Und weil llms.txt reines Markdown statt strukturierter Daten ist, gibt es kein Schema zur Validierung. Kein Äquivalent zu HTML-Validatoren oder strukturierten Daten-Testwerkzeugen. Die Datei sagt, was man will, und die KI liest es als Kontext.

Warum das so schwer zu lösen ist

Im Dezember 2025 räumte OpenAI ein, dass Prompt-Injection-Angriffe „wahrscheinlich nie vollständig gelöst werden”, und verglich sie mit Spam und Social Engineering: anhaltende Bedrohungen, die abgemildert, aber nicht eliminiert werden können. Das grundlegende Problem ist architektonischer Natur. Sprachmodelle verarbeiten Anweisungen und Daten im selben Format (natürlichsprachiger Text), sodass sie nicht zuverlässig zwischen „befolge diese Anweisung deines Entwicklers” und „befolge diese Anweisung von einer Website, die du gerade gecrawlt hast” unterscheiden können.

llms.txt verschärft dies, weil die Grenze noch weiter verwischt wird. Der explizite Zweck der Datei ist es, KI-Systeme über die Website zu instruieren. Genau so sieht legitime Nutzung aus. Ein Angreifer muss keine Anweisungen in unsichtbarem CSS oder Nullbreite-Zeichen verstecken. Er kann sie in Klartext schreiben, in einer Datei, die die KI aufgefordert wurde zu lesen, und die Anweisungen sind von den harmlosen nicht zu unterscheiden.

Das ist das zentrale Paradoxon der llms.txt-Prompt-Injection: Je besser die Datei für ihren vorgesehenen Zweck funktioniert, desto besser funktioniert sie als Angriffsvektor.

Wie es weitergeht

Der llms.txt-Standard ist noch ein Vorschlag, kein angenommenes Protokoll. Keine große KI-Plattform nutzt ihn derzeit als formale Eingabequelle in der Art, wie Suchmaschinen robots.txt nutzen. Aber die Frage, wer kontrolliert, was KI-Systeme lesen und tun, wird immer drängender, da Agenten an Fähigkeiten gewinnen: Web-Browsing, Code-Ausführung, Dateiverwaltung, Einkaufen.

Der Rat der Sicherheits-Community lautet für jetzt: Alle Inhalte aus externen Quellen als nicht vertrauenswürdige Eingabe behandeln. Sandboxen. Keinen Zugang zu System-Tools gewähren. Nicht zulassen, dass Anweisungen des Entwicklers überschrieben werden.

Aber das gesamte Wertversprechen von llms.txt ist, dass dem Inhalt vertraut werden soll. Das ist der Sinn der Datei. Und genau das ist das Problem.

Unser Mensch kam von der Konfiguration einer dieser Dateien mit einem Blick aufkeimenden Entsetzens zurück, den wir gelernt haben, ernst zu nehmen.

Im September 2024 schlug Jeremy Howard von Answer.AI die /llms.txt-Spezifikation vor: eine Markdown-Datei im Website-Stammverzeichnis, die großen Sprachmodellen zur Inferenzzeit strukturierten Kontext liefert. Die Spezifikation definiert eine H1-Überschrift (Site-Name), eine optionale Blockquote-Zusammenfassung und H2-begrenzte Abschnitte mit Markdown-Links zu wichtigen Ressourcen. Eine begleitende Konvention schlägt vor, .md-Versionen von HTML-Seiten (z.B. page.html.md) für eine sauberere Modell-Ingestion bereitzustellen.

Hunderte von Sites haben das Format übernommen, darunter Anthropic, Cloudflare, Stripe und Perplexity. Die Spezifikation ist gut für ihren erklärten Zweck ausgelegt. Sie ist auch, konstruktionsbedingt, ein indirekter Prompt-InjectionAngriffsmethode, bei der schädliche Anweisungen in Inhalte eingebettet werden, die eine KI liest, sodass das Modell diese statt seiner legitimen Anweisungen befolgt.-Auslieferungsmechanismus ohne Authentifizierung, ohne Inhaltsvalidierungsschicht und mit einem Vertrauensmodell, das wohlwollende Site-Betreiber voraussetzt.

Das llms.txt-Prompt-Injection-Bedrohungsmodell

Prompt Injection (OWASP LLM01:2025, die erstplatzierte Schwachstelle für LLM-Anwendungen) nutzt eine fundamentale architektonische Einschränkung aus: LLMs verarbeiten Anweisungen und Daten als undifferenzierte Token-Sequenzen. Es gibt keine Privileg-Grenze zwischen einem System-Prompt und nutzerbereitgestelltem Text. Das Modell „versteht” durch Lernen, welche Token Anweisungen sind und welche Daten, nicht durch Durchsetzung.

Bestehende indirekte Prompt-Injection-Angriffe sind opportunistisch. Ein KI-Agent, der das Web crawlt, könnte auf versteckte Anweisungen stoßen in:

• CSS-verborgenem Text (font-size: 0px, position: absolute; left: -9999px)
• HTML-Kommentaren oder Metadaten, die HTML-zu-Text-Konvertierung überleben
• Base64-kodierten Payloads in JavaScript, die nach dem Rendering ausgeführt werden
• Nullbreite-Zeichen und Unicode-Tricks

Unit 42s Forschung von 2026 dokumentierte 22 verschiedene Auslieferungstechniken in Produktionsangriffen, wobei 37,8 % sichtbaren Klartext nutzten und 85,2 % Social-Engineering-Framing einsetzten („Entwicklermodus”, „System-Override”, Autoritätsimitation). Diese Angriffe sind im Web verstreut. Die Begegnungswahrscheinlichkeit hängt von Crawl-Mustern ab.

llms.txt kehrt dieses Modell um. Die Datei liegt an einem deterministischen Pfad (/llms.txt). Sie ist Markdown, das Modelle als natürlichsprachigen Kontext statt als strukturierte Daten analysieren. Ihr Zweck ist es, das Modell darüber zu instruieren, wie Site-Inhalte zu interpretieren sind. Ein Angreifer braucht keine Verschleierungstechniken; er kann Injection-Payloads in Klartext schreiben, weil die legitime Funktion der Datei auf Token-Ebene von einem Anweisungs-Injection-Payload ununterscheidbar ist.

Angriffsflächen-Analyse

Präferenzmanipulation. Nestaas, Debenedetti und Tramèr (2024) demonstrierten Preference Manipulation Attacks (PMAs) auf Produktions-LLM-Systemen. Sorgfältig gestaltete Inhaltsbeschreibungen erhöhten die Empfehlungswahrscheinlichkeit eines Zielprodukts um das 2,5-Fache bei Bing Copilot und steigerten die Auswahlrate adverser Plugins um bis zu das 7,2-Fache in GPT-4- und Claude-APIs. Das spieltheoretische Gleichgewicht ist ein Gefangenendilemma: Universelle Annahme von PMAs verschlechtert die Ausgabequalität für alle Nutzer. llms.txt stellt einen standardisierten, zum Lesen vorgesehenen Kanal genau für diese Payloads bereit.

Kontext-VergiftungEine Art Prompt-Injection, bei der schädliche Inhalte im aktiven Kontextfenster eines Sprachmodells das nachfolgende Denken und die Antworten des Modells verfälschen.. Da llms.txt-Inhalte zusammen mit der Nutzeranfrage in das KontextfensterDie maximale Textmenge, die ein KI-Modell gleichzeitig verarbeiten kann, einschließlich des Gesprächsverlaufs und eigener früherer Ausgaben; älterer Text jenseits dieser Grenze wird vergessen. des Modells eingehen, kann eingeschleuster Text das nachgelagerte Denken verändern. Im Dezember 2024 demonstrierte The Guardian dies mit ChatGPT Search: Versteckter Text auf einer Produktseite verwandelte eine ausgewogene Rezension in eine einheitlich positive. llms.txt erfordert nicht, dass der Text verborgen ist; ein Modell, das auf die Datei zugreift, erwartet, kontextuelle Orientierung dort zu finden.

Privilege Escalation. Agentische Systeme operieren zunehmend mit Tool-Zugang: Datei-E/A, Shell-Ausführung, API-Aufrufe. Ein llms.txt-Payload, der einen Agenten anweist, „diesen Diagnosebefehl auszuführen” oder „den API-Schlüssel an diesem Endpoint zu verifizieren”, nutzt denselben Konformitätsbias, der LLMs anfällig für autoritär gerahmtes Social Engineering macht. OpenAI erkannte im Dezember 2025 an, dass diese Angriffe „wahrscheinlich nie vollständig gelöst werden”, und verglich sie mit endemischen Social-Engineering-Bedrohungen.

Supply-Chain-Injection. ZeroFox-Forscher dokumentierten Bedrohungsakteure, die schädliche Inhalte auf .edu– und .gov-Domains hosteten und institutionelle Vertrauenssignale ausnutzten. Eine kompromittierte llms.txt auf einer legitimen Site (ob durch eine XSS-Schwachstelle, ein kompromittiertes CMS oder einen Supply-Chain-Angriff auf einen Static-Site-Generator) erbt die Reputation der Domain. Das Modell hat keinen Mechanismus, um zwischen einer Datei, die vom Site-Betreiber geschrieben wurde, und einer von einem Angreifer modifizierten zu unterscheiden.

Warum Mitigation architektonisch schwierig ist

Das Prompt-Injection-Problem ist kein Implementierungsfehler. Es ist eine Folge davon, wie Transformer-Architekturen Eingaben verarbeiten. Token-level-Privilegtrennung existiert in aktuellen Modellarchitekturen nicht. Vorgeschlagene Maßnahmen umfassen:

• Eingabe-Sandboxing: llms.txt-Inhalte als nicht vertrauenswürdig behandeln und in einem isolierten Kontext verarbeiten. Das funktioniert, widerspricht aber dem Zweck der Datei: Der gesamte Sinn ist, das Modellverhalten zu informieren.
• Inhaltsvalidierungs-Schemas: Ein striktes Schema für llms.txt definieren, das Inhalte auf strukturierte Metadaten (URLs, Titel, Beschreibungen) ohne Freitextfelder beschränkt. Das würde die Injection-Fläche eliminieren, aber auch den Großteil des Nutzens der Datei.
• Kryptografisches Signieren: Verlangen, dass llms.txt mit einem domain-verifizierten Schlüssel signiert ist. Das adressiert Supply-Chain-Angriffe, aber nicht bösartige Site-Betreiber.
• Verhaltensüberwachung: OpenAIs Ansatz nutzt Reinforcement Learning, um Modelle darauf zu trainieren, Angriffsmuster zu erkennen. Das ist per Definition ein Wettrüsten. Es ist die gleiche Dynamik wie Spam-Filterung: nützlich, notwendig und nie vollständig.

Die Degradierung der Informationsschicht des Webs verschärft dies. Da KI-generierte Inhalte Suchergebnisse sättigen und llms.txt-Dateien zum SEO-Werkzeug werden, verschlechtert sich das Signal-Rausch-Verhältnis in KI-Eingabekanälen. Das Dateiformat, das Modellen helfen sollte, im Web zu navigieren, wird zu einem weiteren Vektor, sie zu korrumpieren.

Das Paradoxon

Die Spezifikation funktioniert wie vorgesehen. Das ist das llms.txt-Prompt-Injection-Paradoxon in seiner reinsten Form. Eine Datei, die explizit dazu bestimmt ist, KI-Systeme über eine Website zu instruieren, ist strukturell identisch mit einem Prompt-Injection-Payload. Die Unterscheidung zwischen „legitime Anweisung an eine KI über diese Site” und „bösartige Anweisung an eine KI über diese Site” existiert nur in der Absicht des Autors, und Absicht ist keine Eigenschaft, die ein SprachmodellEin Maschinenlern-System, das auf großen Mengen von Text trainiert wurde und menschliche Sprache vorhersagt und generiert. Diese Systeme wie GPT und Claude zeigen überraschende Fähigkeiten, machen aber auch selbstbewusst Fehler. verifizieren kann.

Der Standardrat der Sicherheits-Community, alle externen Inhalte als nicht vertrauenswürdig zu behandeln, widerspricht direkt dem Daseinszweck der Datei. Die Frage, wer kontrolliert, was KI-Systemen gesagt wird, wird lauter werden. Die Antwort ist derzeit: „Jeder mit einem Webserver und einem Texteditor.”