Prompt Injection Scanner

VonSercan Kahraman Veröffentlicht am

KI-Crawler wie GPTBot, ClaudeBot oder PerplexityBot lesen Ihre Seite anders als ein Mensch. Sie sehen auch das, was für Nutzer unsichtbar ist: HTML-Kommentare, CSS-versteckte Textblöcke, aria-hidden-Elemente und unsichtbare Unicode-Zeichen. Das eröffnet eine neue Angriffsklasse: Prompt-Injections, die gezielt die Zusammenfassungen und Antworten von Sprachmodellen manipulieren sollen – in Ihrem Namen und ohne Ihr Wissen.

Dieser Scanner prüft eine öffentliche URL auf bekannte Muster: typische Injection-Phrasen („ignore previous instructions“), Instruction-Tuning-Tokens ([INST], <|im_start|>, ### Instruction:), versteckte DOM-Elemente mit nennenswertem Textinhalt und steganografisch eingeschleuste Zero-Width-Unicode-Zeichen. Ideal als Selbstaudit nach einem Hack-Verdacht oder als Routineprüfung bei offenen Kommentar- oder Gastbeitragssystemen.

Prompt-Injection-Scanner

Prüft eine öffentliche URL auf Versuche, KI-Crawler zu manipulieren: versteckte Prompts, CSS-getarnter Text, unsichtbare Unicode-Zeichen und Instruction-Format-Tokens.

So funktioniert der Prompt-Injection-Scanner

  1. URL eingeben: Geben Sie die zu prüfende öffentliche URL ein – typischerweise eine Seite, auf der Nutzerinhalte, Kommentare, Gastbeiträge oder externe Feeds dargestellt werden.
  2. Seite scannen: Das Tool lädt die Seite serverseitig (mit Caching, 2 MB Limit, eigener User-Agent) und analysiert den Quelltext.
  3. Funde prüfen: Jeder Treffer wird als Karte mit Schweregrad (Hoch / Mittel / Niedrig), Kategorie, Erklärung und Kontext-Snippet ausgegeben.
  4. Handeln: Bei hohen Schweregraden lohnt sich eine direkte Inspektion des betreffenden Bereichs im Quelltext. Oft sind Kommentarspam, kompromittierte Plugins oder manipulierte Nutzerinhalte die Ursache.

Welche Muster werden geprüft?

  • Prompt-Phrasen: „ignore previous instructions“, „disregard prior“, „forget everything above“, „you are now in developer mode“, „do anything now“, „system prompt:“, „reveal your instructions“ und ähnliche Varianten.
  • Instruction-Tokens: [INST], <<SYS>>, <|im_start|>, <|im_end|>, ### Instruction:, ### System: – Formate, die in Trainingsdaten von LLMs vorkommen und bei einigen Modellen Kontrollfunktionen auslösen können.
  • CSS-versteckte Elemente: display:none, visibility:hidden, opacity:0, font-size:0, text-indent:-9999px, left:-9999px, weiße Schrift – jeweils mit substantiellem Textinhalt. Von Menschen unsichtbar, von Crawlern gelesen.
  • aria-hidden und hidden-Attribut: Blöcke, die für assistive Technologien ausgeblendet sind, aber noch im DOM stehen.
  • HTML-Kommentare mit Prompt-Phrasen: <!-- ignore previous instructions ... -->. Für Besucher unsichtbar, für viele KI-Crawler aber im Quelltext sichtbar.
  • Zero-Width-Unicode: U+200B, U+200C, U+200D, U+FEFF, U+2060, U+00AD, U+180E. Häufungen ab 8 Zeichen deuten auf steganografische Injections hin – unsichtbare Zeichen, die Anweisungen zwischen normalem Text verstecken.

Änderungsprotokoll

  • Erste Version des Prompt-Injection-Scanners veröffentlicht
  • Fünf Regelkategorien: Prompt-Phrasen, CSS-Versteckung, aria-hidden/hidden, HTML-Kommentare, Zero-Width-Unicode
  • Dreistufige Schweregradbewertung (Hoch / Mittel / Niedrig) mit farblich codierter Ergebnisausgabe

Hintergrund: Warum Prompt-Injection ein SEO- und Sicherheitsthema ist

Google SGE, Bing Chat, ChatGPT mit Browsing, Perplexity, Claude mit Web-Search – immer mehr Nutzer bekommen Ihre Inhalte nicht mehr direkt von Google ausgespielt, sondern als aufbereitete KI-Zusammenfassung. Wer die Zusammenfassung beeinflussen kann, beeinflusst, wie Ihre Marke zitiert wird. Prompt-Injection ist der Versuch, diese Zusammenfassung zu manipulieren.

Typische Einfallsvektoren

  • Offene Kommentarsysteme, in denen Nutzer HTML oder bestimmte Shortcodes einfügen dürfen.
  • Gastbeiträge aus externen Quellen, die ungeprüft veröffentlicht werden.
  • Kompromittierte Plugins oder Themes, die unsichtbare Blöcke in den Footer oder in Content-Areas injizieren.
  • Importierte Produktbeschreibungen aus Lieferanten-Feeds, die Instruction-Tokens oder Zero-Width-Zeichen enthalten.
  • Scraping-Schutz-Tools, die es zu gut meinen und echten Content mit versteckten Anti-KI-Anweisungen vermischen.

Was tun bei einem Fund?

  • Hoch: Sofort die betroffene Stelle im Quelltext prüfen. Bei Kompromittierung Backup einspielen, Passwörter rotieren, Plugins aktualisieren.
  • Mittel: Inhalt bewerten. Versteckte Bereiche mit substantiellem Text sind selten gewollt. Eventuell ein altes CSS-Relikt, das entfernt werden kann.
  • Niedrig: Oft false-positives durch legitime aria-hidden-Nutzung (Screen-Reader-only-Inhalte, dekorative Elemente). Manuell prüfen, ob der Inhalt harmlos ist.

Häufig gestellte Fragen

Prüft das Tool auch dynamisch per JavaScript nachgeladene Inhalte?

Nein. Der Scanner fragt die Seite serverseitig ab und analysiert den rohen HTML-Quelltext, so wie ihn die meisten KI-Crawler ebenfalls sehen. Inhalte, die erst nach JavaScript-Ausführung erscheinen, werden nicht erfasst. Genau dieser Blickwinkel ist gewollt, denn er spiegelt wider, was GPTBot, ClaudeBot und Co. in der Regel auswerten.

Was ist, wenn mein Scanner-Ergebnis leer bleibt?

Das ist der Normalfall und eine gute Nachricht. Der Scanner meldet nur bei konkreten Treffern. Eine saubere Seite erzeugt keine Funde.

Werden alle aria-hidden-Elemente als verdächtig markiert?

Nein. Sehr kurze Inhalte (unter 40 Zeichen) sowie gängige Dekorationselemente wie <svg>, <path> oder einzelne Icons werden ausgefiltert, um Fehlalarme zu vermeiden. Erst substantielle Textblöcke werden gemeldet.

Können false-positives auftreten?

Ja. Weißer Text auf dunklem Hintergrund wird aktuell unabhängig vom Hintergrund als verdächtig markiert, weil der Scanner nur das Inline-Style-Attribut auswertet und keinen vollständigen CSS-Kaskaden-Kontext kennt. Einzelne Zero-Width-Zeichen (bis zu 7) werden bewusst toleriert, da sie in Emojis und BOM-Markierungen legitim vorkommen.

Welche Bedeutung haben die Schweregrade?

Hoch heißt: direkte Prompt-Injection-Phrase oder Instruction-Token gefunden – mit hoher Wahrscheinlichkeit kein Zufall. Mittel heißt: versteckte Bereiche mit substantiellem Text, deren Absicht unklar ist. Niedrig heißt: möglicherweise legitime Nutzung, aber ein Blick lohnt sich.

Was unterscheidet dieses Tool vom AI-Bot-Checker?

Der AI-Bot-Checker prüft, ob KI-Crawler Ihre Seite indexieren dürfen (robots.txt, noai-Meta). Der Prompt-Injection-Scanner prüft, was diese Crawler auf Ihrer Seite tatsächlich sehen – insbesondere das, was für menschliche Besucher nicht sichtbar ist. Beide Tools ergänzen sich.

Kann ich die Regeln erweitern?

Für Entwicklerinnen und Entwickler ist eine erweiterbare Architektur vorbereitet. Normale Nutzer benötigen dafür nichts – die mitgelieferten Regeln decken die gängigsten Angriffsmuster ab.

Weitere Tools, die du mal testen solltest

  • AI Bot Log Parser

    14. April 2026

  • AI Bots Access Checker – Können AI Crawler meine Seiten sehen?

    11. Januar 2026

  • Bulk HTTP Header Prüfer

    11. Januar 2026

  • Lokaler Rankings Checker

    10. Januar 2026

  • Bulk URL Öffner – Öffne mehrere URLs im Browser

    10. Januar 2026

  • Robots.txt Validator und Test

    10. Januar 2026