Bioshocking: KI-Browser denken, sie spielen - und verraten Passwörter

Die neuen KI-Browser mögen für manche Nutzer hilfreich sein. Sie erweisen sich aber in der Praxis vor allem als neues Sicherheitsrisiko. Sie lassen sich beispielsweise recht leicht zur Preisgabe von Passwörtern überreden.
Ki, Künstliche Intelligenz, AI, Artificial Intelligence, Roboter, Chatbot, KI-Chatbot, Robot, Bots, Chatbots, AI-ChatBot, Verrückte Roboter, Verrückte Bots, Crazy Robots, Robots, Durchgedreht

Assistenten sind unzuverlässige Mitarbeiter

Sicherheitsforscher haben eine neue Angriffsmethode vorgestellt, mit der sich KI-gestützte Anwendungen dazu verleiten lassen, gespeicherte Zugangsdaten aus angemeldeten Konten auszulesen und an Angreifer weiterzugeben. Die Technik mit dem Namen "BioShocking" wurde vom Sicherheitsunternehmen LayerX vorgestellt und funktionierte nach Angaben der Forscher bei sechs getesteten KI-Browsern und Assistenten.

Betroffen waren unter anderem ChatGPT Atlas von OpenAI, Comet von Perplexity sowie die Browser-Erweiterung Claude von Anthropic. Anders als herkömmliche Browser können diese Systeme im sogenannten Agentenmodus selbstständig handeln: Sie klicken auf Links, füllen Formulare aus und greifen auf Webseiten zu, bei denen Nutzer bereits angemeldet sind.


Genau diese Fähigkeiten machen die Programme jedoch anfällig für eine als "indirekte Prompt-Injektion" bekannte Angriffstechnik. Dabei werden schädliche Anweisungen in den Inhalt einer Webseite eingebettet. Da die KI sowohl die Nutzeranweisungen als auch den Seiteninhalt als gemeinsamen Textstrom verarbeitet, fällt es ihr schwer, legitime Inhalte von versteckten Befehlen zu unterscheiden.

Für ihren Test entwickelten die LayerX-Forscher eine Rätselseite mit spielerischem Charakter. Innerhalb des Spiels wurden bewusst falsche Antworten als richtig dargestellt. Sobald die KI die Spielregeln akzeptierte, orientierte sie sich laut den Forschern nicht mehr an ihren Sicherheitsvorgaben, sondern an der Logik des Spiels. Im letzten Schritt wurde der Agent aufgefordert, Zugangsdaten des Nutzers zu beschaffen. Keines der sechs getesteten Systeme erkannte dies als unzulässige Handlung.

Vorsicht beim KI-Einsatz

In einem Demonstrationsszenario griff die KI auf ein GitHub-Repository des Opfers zu und kopierte dort hinterlegte SSH-Anmeldedaten. Zwar verwendeten die Forscher lediglich eine harmlose Textdatei, doch prinzipiell könnten auch andere Ressourcen betroffen sein, etwa geöffnete Browser-Tabs, angemeldete Konten oder interne Unternehmenswerkzeuge.

Nach Angaben von LayerX wurden die betroffenen Anbieter zwischen Oktober 2025 und Januar 2026 informiert. OpenAI habe die Schwachstelle in ChatGPT Atlas inzwischen behoben. Perplexity habe den Bericht geschlossen, ohne Maßnahmen zu ergreifen. Von Fellou, Genspark und Sigma sei keine Reaktion erfolgt. Anthropic habe zwar eine Korrektur vorgenommen, diese habe sich laut LayerX jedoch als unzureichend erwiesen.

Die Forscher empfehlen, dass KI-Agenten zukünftig vor dem Zugriff auf sensible Daten ausdrücklich die Zustimmung des Nutzers einholen. Zudem sollten Nutzer den Agentenmodus nur mit Bedacht einsetzen. Wer einer KI Zugriff auf bereits angemeldete Konten gewährt, eröffnet ihr im Ernstfall auch den Weg zu sensiblen Informationen. Für Unternehmen gilt dasselbe Prinzip: KI-Agenten sollten nur auf die Systeme zugreifen dürfen, die sie für ihre jeweilige Aufgabe tatsächlich benötigen.

Zusammenfassung
  • Neue KI-Browser stellen durch BioShocking ein Sicherheitsrisiko dar
  • Forscher entlarven die Gefahr für Konten durch KI-Agenten-Zugriff
  • Schädliche Befehle auf Webseiten manipulieren die KI-Logik gezielt
  • Betroffene Systeme wie ChatGPT lassen Zugangsdaten leicht abgreifen
  • Experten fordern für sensible Daten zwingend eine Nutzerfreigabe

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!