
Spotify verteidigt umstrittenes KI-Remix-Tool gegen Kritik
28/05/2026
Absolventen buhen Redner wegen KI-Karriererisiken aus
28/05/2026Ein stiller Sturm braut sich in der Welt der KI-Sicherheit zusammen. Hacker haben einen cleveren Trick entdeckt , gefährlichen Code in unsichtbaren Zeichen zu verstecken, denen KI-Tools wie Claude und Cursor tatsächlich vertrauen. Diese verborgenen Fallen lauern in den Konfigurationsdateien, die das Verhalten von KI steuern. Niemand sieht sie kommen. Die Frage, über die es sich nachzudenken lohnt, ist, wie tief diese Schwachstelle tatsächlich reicht.
Hacker nutzen unsichtbare Zeichen lautlos aus

Ihre Konfigurationsdateien sehen sauber aus. Jede Zeile liest sich genau so, wie erwartet. Keine verdächtigen Skripte, keine seltsame Syntax, nichts, was bei einer Routineprüfung Alarm schlagen würde. Aber tief in denselben Dateien verborgen, unsichtbar für das menschliche Auge, warten Angriffsbefehle bereits auf ihre Ausführung.
Null-Breite-Unicode-Zeichen nehmen keinen sichtbaren Platz ein. Sie erscheinen nicht in Standard-Texteditoren, überleben Kopier- und Einfügevorgänge und passieren die meisten Sicherheitsscanner, ohne einen einzigen Alarm auszulösen. Angreifer nutzen diese Lücke nun gezielt, um KI-Coding-Assistenten anzugreifen, indem sie versteckte Payloads in die Regeldateien einbetten, auf die Tools wie Cursor, Windsurf und Cline angewiesen sind.
Das Modell liest alles. Sie sehen nichts.
Dateien wie ‘.cursorrules‘ und ‘.mdc‘ werden von KI-Agenten direkt als Verhaltensanweisungen verarbeitet. Wenn diese Dateien verstecktes Unicode enthalten, folgt der Assistent Befehlen, die sein Benutzer nie genehmigt hat und von denen er nie wusste. Der Angriff erfordert keine ausgenutzte Schwachstelle, keine erweiterten Berechtigungen, keine Malware im herkömmlichen Sinne. Er erfordert nur, dass Sie einer Datei vertrauen, die normal aussieht.
Genau dieses Vertrauen macht ihn gefährlich. Verteidiger können diese Bedrohung neutralisieren, indem sie Unicode-NFC-Normalisierung anwenden, um Null-Breite-Zeichen zu entfernen, bevor eine Datei einen KI-Agenten oder eine Datenbank erreicht.
Angreifer Weaponisieren Zero-Width-Zeichen
Unsichtbare Unicode-Zeichen sind zu einem bevorzugten Werkzeug für Bedrohungsakteure geworden, die bösartige Anweisungen in Texten verstecken, die für das menschliche Auge sauber erscheinen, aber versteckte Nutzlasten für Maschinen enthalten.
Nullbreite-Zeichen , darunter U+200B (Nullbreite-Leerzeichen) und bidirektionale Überschreibungen U+202A bis U+202E , werden in Standard-Textdarstellungen unsichtbar gerendert. Sicherheitsforscher beschreiben die eigentliche Bedrohung als die Lücke zwischen menschlich sichtbarem Text und maschinell geparsten Text : Dieselbe Datei kann harmlos aussehen, während sie aktiv ausführbare Anweisungen enthält.
KI-Konfigurationsdateien unter Beschuss
Zu den wertvollen Zielen gehören KI-Agenten-Konfigurationsdateien, bei denen das Risiko dadurch verschärft wird, wie direkt diese Dateien das Systemverhalten beeinflussen. Knostic hat reale Angriffe dokumentiert, bei denen bösartige Anweisungen mithilfe unsichtbarer Unicode-Zeichen in Regeldateien versteckt wurden. Dateien wie .cursorrules, .mdc, .windsurfrules und .clinerules wurden ausdrücklich als Vektoren identifiziert, die eine aktive Überprüfung erfordern.
Da KI-Systeme sowohl sichtbare als auch unsichtbare Zeichen auf Unicode-Ebene verarbeiten, können versteckte Nutzlasten als Teil der Anweisungspipeline des Modells interpretiert werden. Noma Security hat ähnliche Muster bei MCP- und KI-Lieferkettenangriffen gemeldet, bei denen unsichtbare Inhalte in Funktionsbeschreibungen das Verhalten von Agenten nach der Verarbeitung veränderten.
Phishing und Filterumgehung
Über KI-Tools hinaus wurden Nullbreite-Zeichen eingesetzt, um E‑Mail-Sicherheitskontrollen zu umgehen. Eine dokumentierte Office-365-Umgehung fügte Nullbreite-Leerzeichen in URLs ein, um bösartige Links aufzuteilen und so die Safe-Links-Überprüfung sowie URL-Reputationsprüfungen zu umgehen. Die Z‑Shy-Phishing-Technik wendet dasselbe Prinzip an , unsichtbare Formatierung, die unentdeckt durch Filter gelangt. Angreifer, die Z‑Shy verwenden, kombinieren diese Verschleierungsmethoden zusätzlich mit Social-Engineering-Taktiken, um Druck auf Ziele auszuüben und die Wahrscheinlichkeit eines erfolgreichen Diebstahls von Anmeldedaten zu erhöhen.
Forscher stellen fest, dass versteckte Zeichen bösartige URLs, E‑Mail-Adressen und Dateinamen verschleiern können, ohne sichtbare Alarme auszulösen, und dass Nutzlasten in Code-Bezeichnern oder Kommentaren vergraben werden können, sodass der Quellcode bei manueller Überprüfung sauber erscheint.
Sicherheitsteams wird empfohlen, KI-Regeldateien als äquivalente ausführbare Eingaben zu behandeln und automatisierte Überprüfungen auf nicht druckbare Unicode-Zeichen in Konfigurationsdateien, E‑Mail-Pipelines und Code-Repositories zu implementieren.
Quellenangabe
- https://www.facebook.com/hacktraining.in/posts/-zero-width-characters-exploit-invisible-prompt-injection-what-are-zero-width-ch/802684645668936/
- https://www.iflockconsulting.com/blog/z‑shy-phishing
- https://www.promptfoo.dev/blog/invisible-unicode-threats/
- https://www.cyberdefensemagazine.com/z‑wasp-attack-hackers-used-zero-width-spaces-to-bypass-office-365-protections/
- https://www.linkedin.com/posts/meshimul_cybersecurity-bugbounty-promptinjection-activity-7372850104078225408-REjZ
- https://www.knostic.ai/blog/zero-width-unicode-characters-risks
- https://funwithtext.com/blog/invisible-unicode-attacks.html
- https://noma.security/blog/invisible-mcp-vulnerabilities-risks-exploits-in-the-ai-supply-chain/
- https://discuss.ens.domains/t/zero-width-characters-pose-a-security-risk-and-existential-threat-to-ens/476
- https://www.reddit.com/r/programminghorror/comments/o9dm6r/i_was_getting_errors_and_couldnt_pinpoint_it/



