Sicherheit · Mail ist kein Befehl

Eine Mail kann Ihr Postfach nicht übernehmen

Wer einen Agenten nutzt, der Mails liest und bearbeitet, stellt sich früher oder später diese Frage: Was passiert, wenn jemand eine Mail schickt, die den Agenten absichtlich in die Irre führen soll? Etwa eine Nachricht, die so klingt, als käme sie von Ihnen selbst, oder die dem Agenten vorschreibt, was er als Nächstes tun soll?

So funktioniert es

Alles, was in einer eingehenden Mail steht, ist für das System schlicht Information. Nicht mehr. Klingt etwas wie eine Anweisung, ändert das nichts daran: Der Agent liest den Text, arbeitet damit, aber er folgt ihm nicht als Befehl.

Das Sicherheitskritische sitzt in festen Schaltern im Programm, nicht im Text, den das Sprachmodell zu Gesicht bekommt. Auf Deutsch: Regeln, die zählen, stehen im Code, nicht im Prompt. Eine präparierte Mail kann diese Schalter nicht erreichen, weil sie gar keinen Weg dorthin hat.

Dasselbe gilt für Recherche-Werkzeuge, die der Agent nach außen einsetzt. Auch dort ist eingezäunt, wohin Anfragen gehen dürfen. Ein manipulierter Link in einer Mail kann das Werkzeug nicht auf interne oder versteckte Adressen umlenken (Fachbegriff dafür: SSRF-Schutz).

Das Grundprinzip dahinter ist alt und bewährt: Daten und Befehle werden sauber getrennt gehalten. Was aus einer unbekannten Quelle kommt, bekommt keine Befehlsgewalt, egal wie es formuliert ist.

Was heute schon läuft

  • Eine eingehende Mail, die versucht, den Agenten umzuprogrammieren oder seine Regeln zu überschreiben, ändert sein Verhalten nicht. Sie wird wie jede andere Mail behandelt: gelesen, eingeordnet, weiterbearbeitet oder als Entwurf vorgelegt.
  • Recherche-Werkzeuge sind eingezäunt. Externe Abfragen können nicht auf interne Adressen oder versteckte Dienste umgelenkt werden.
  • Ein Blick auf ein reales Beispiel gefällig? Das Sicherheits-Postfach läuft live und zeigt, wie ein solches Fach im Alltag aussieht.

Einfach gesagt

Eine Mail ist Post, kein Schlüsselbund. Sie kann den Agenten informieren, aber nicht steuern. Wer Ihnen eine präparierte Nachricht schickt, bekommt keinen Hebel in Ihr Postfach.

Eigenes Postfach anfragenBeispiel-Postfach ansehen