Leitfaden
Ein Agent auf Ihrem Postfach gehört zum Nützlichsten, was Sie bauen können, und zugleich zum Ungeschütztesten. Keine andere Integration ist beides. E-Mail ist die Tür, durch die ungeprüfte Inhalte hereinkommen, und zugleich die Tür, durch die Daten hinaus können. Genau diese Kombination diente schon lautlosem Datendiebstahl, ganz ohne Klick. Dieser Leitfaden zeigt, wie Sie den Nutzen gewinnen, ohne das Risiko einzugehen.
Ein KI-E-Mail-Agent liest, sortiert, entwirft und verschickt mitunter E-Mail in Ihrem Namen, angebunden an ein Postfach über Gmail, Outlook oder IMAP. Er arbeitet einen Rückstand ab, entwirft Antworten, zieht Details aus Nachrichten in Ihre anderen Systeme und hebt hervor, was Sie wirklich brauchen. Das gehört zum Wertvollsten, worauf Sie einen Agenten ansetzen können. Zugleich kann hier am meisten schiefgehen, aus einem strukturellen Grund, nicht aus Zufall. Genau um diesen Grund geht es im Leitfaden.
Wir bauen Pinchy, eine selbst-gehostete Agenten-Plattform mit E-Mail-Integration. Wir sind hier also nicht neutral. Wir benennen konkret, welche Eingrenzung einen E-Mail-Agenten sicher macht, denn in der Standardform ist er wirklich riskant.
Die meisten Integrationen sind in eine Richtung gefährlich. E-Mail ist es in zwei zugleich. Das unterscheidet sie.
Eingehende E-Mail ist ungeprüfter Inhalt. Jeder kann Ihnen eine Nachricht schicken. Ein E-Mail-Agent liest also von vornherein Text, den ein Angreifer steuert. Das ist das ideale Transportmittel für indirekte Prompt Injection: eine versteckte Anweisung irgendwo in einer Nachricht, die der Agent als Teil seiner Aufgabe liest und befolgt. Prompt Injection steht inzwischen ganz oben auf den Risikolisten für Anwendungen mit Sprachmodellen. E-Mail ist ihre am stärksten exponierte Angriffsfläche.
Ausgehende E-Mail ist ein Ausgangskanal. Ein Agent, der Mail verschickt, kann Daten hinausschicken, an jeden. Beides zusammen: Sobald Sie ihn anbinden, besitzt ein E-Mail-Agent zwei der drei Bausteine der tödlichen Kombination, den ungeprüften Zugang und den Weg nach draußen. Geben Sie ihm Zugriff auf etwas Sensibles, hat er alle drei. Keine andere übliche Integration liefert diese Kombination gratis.
Forscher haben den Angriff vorgeführt, und die gefährlichen Varianten kommen ohne Klick aus: kein Fehler des Nutzers nötig. Sie zeigten präparierte HTML-E-Mails, die den Schadteil mit Tricks wie weißer Schrift auf Weiß oder winziger Schriftgröße vor dem Menschen verbergen. Die Mail weist einen angebundenen Agenten an, sensible Informationen zu finden und hinauszuschleusen, teils bevor der Empfänger sie überhaupt öffnet. Eine offengelegte Klasse davon, manchmal serverseitige Lecks genannt, schleust Daten aus der eigenen Infrastruktur des KI-Anbieters, nicht vom Gerät des Nutzers. Die üblichen Schutzmechanismen am Endgerät sehen sie deshalb nie (Infosecurity Magazine). Eine einzige erfolgreiche Injektion durch einen E-Mail-Agenten gibt jahrelange Korrespondenz, Kundendaten und interne Abstimmung nach außen. Nutzen und Katastrophe laufen über dieselbe Verbindung.
Die gute Nachricht: Die Eingrenzung ist konkret und hängt vor allem an einer Entscheidung. Behandeln Sie das Versenden als die gefährliche Handlung und sichern Sie es ab.
Nichts davon beseitigt die Prompt Injection. Aber es nimmt dem Agenten die Fähigkeit, Katastrophales anzurichten, wenn eine Injektion durchkommt. Bei einem Angriff, der sich nicht patchen lässt, ist das das einzige ehrliche Ziel.
Pinchy stellt seine E-Mail-Integration als eng begrenzte Tools bereit, die über die Allow-List jedes Agenten laufen, mit Standard-Verbot. Lesen, Entwerfen und Versenden sind getrennte Fähigkeiten, die Sie bewusst vergeben, nicht eine einzige E-Mail-Vollmacht. Wir bauen um ein Muster herum und nutzen es selbst: reine Entwürfe, ein Mensch versendet. Der Agent bereitet die Antwort oder die Auswertung vor, eine Person entscheidet über den Versand. Jede E-Mail-Aktion landet in einem pro Zeile signierten Audit-Trail. Und weil Pinchy selbst-gehostet ist, gibt es bei uns keinen gemeinsam genutzten Cloud-Anbieter. Jener Angriffsklasse, die aus dessen eigener Infrastruktur hinausschleust, fehlt damit die Grundlage. Der Agent und sein Postfach-Zugriff liegen auf Systemen, die Sie kontrollieren. Die ehrliche Position ist dieselbe wie im Rest des Leitfadens: Wir können nicht verhindern, dass Ihr Postfach eine bösartige Nachricht erhält. Also haben wir die Plattform so gebaut, dass Sie eine solche Nachricht überstehen.
FAQ
Ein KI-E-Mail-Agent liest, sortiert, entwirft und verschickt mitunter E-Mail in Ihrem Namen, angebunden an ein Postfach über Gmail, Outlook oder IMAP. Er fasst ein Postfach zusammen, entwirft Antworten, übernimmt Informationen aus Nachrichten in andere Systeme und kennzeichnet, was Aufmerksamkeit braucht. Die Fähigkeit ist wirklich nützlich. Sie braucht aber sorgfältige Eingrenzung, denn bei E-Mail kann am meisten schiefgehen.
Weil sie zwei gefährliche Dinge zugleich ist. Eingehende E-Mail ist ungeprüfter Inhalt, den der Agent liest, und damit ein bevorzugter Kanal für indirekte Prompt Injection: eine versteckte Anweisung in einer Nachricht. Ausgehende E-Mail schickt Daten hinaus und ist damit ein Ausgangskanal. Ein Agent, der E-Mail liest und versendet, besitzt standardmäßig zwei Bausteine der tödlichen Kombination, und Zugriff auf Ihre Daten ergänzt den dritten.
Ja, und es ist passiert. Forscher haben Zero-Click-Angriffe vorgeführt. Eine präparierte HTML-E-Mail mit Tricks wie weißer Schrift auf Weiß weist einen angebundenen Agenten an, Postfach-Daten hinauszuschleusen, bevor ein Mensch die Nachricht liest. Eine einzige erfolgreiche Injektion gibt jahrelange Korrespondenz preis. Prompt Injection steht inzwischen ganz oben auf den Risikolisten für Anwendungen mit Sprachmodellen, und E-Mail ist ihre am stärksten exponierte Angriffsfläche.
Behandeln Sie das Versenden als die gefährliche Handlung. Setzen Sie standardmäßig auf reine Entwürfe, sodass der Agent Nachrichten vorbereitet, ein Mensch sie aber verschickt. Kann er autonom versenden, beschränken Sie die Empfänger per Allow-List. Fassen Sie seinen Lesezugriff auf die nötigen Postfächer und Labels eng und behandeln Sie jede eingehende Mail als ungeprüft. Protokollieren Sie jeden Lese- und Sendevorgang in einem Audit-Trail. Grenzen Sie ein, welche anderen Systeme er erreicht, damit eine durchgekommene Nachricht wenig mitnimmt.
Für die meisten Zwecke nein. Beim autonomen Versenden wird aus einer eingeschleusten Anweisung eine echte Handlung, die Ihre Kontrolle verlässt: eine Antwort an einen Angreifer, eine Weiterleitung sensibler Daten, eine Phishing-Nachricht in Ihrem Namen. Reine Entwürfe behalten den nützlichen Teil, der Agent erledigt die Arbeit, während eine Person die unumkehrbare Entscheidung zum Versand trifft. Reservieren Sie autonomen Versand für eng umrissene Fälle mit geringem Risiko und festem Empfängerkreis per Allow-List.
Pinchy vergibt Lesen, Entwerfen und Versenden als getrennte Rechte, mit reinen Entwürfen als Standard, einem signierten Audit-Trail und Self-Hosting. Open Source, kostenlos im Betrieb.
Oder schreiben Sie uns: info@heypinchy.com