Bioshocking: KI-Browser denken, sie spielen - und verraten Passwörter
Die neuen KI-Browser mögen für manche Nutzer hilfreich sein. Sie erweisen sich aber in der Praxis vor allem als neues Sicherheitsrisiko. Sie lassen sich beispielsweise recht leicht zur Preisgabe von Passwörtern überreden.
Betroffen waren unter anderem ChatGPT Atlas von OpenAI, Comet von Perplexity sowie die Browser-Erweiterung Claude von Anthropic. Anders als herkömmliche Browser können diese Systeme im sogenannten Agentenmodus selbstständig handeln: Sie klicken auf Links, füllen Formulare aus und greifen auf Webseiten zu, bei denen Nutzer bereits angemeldet sind.
Genau diese Fähigkeiten machen die Programme jedoch anfällig für eine als "indirekte Prompt-Injektion" bekannte Angriffstechnik. Dabei werden schädliche Anweisungen in den Inhalt einer Webseite eingebettet. Da die KI sowohl die Nutzeranweisungen als auch den Seiteninhalt als gemeinsamen Textstrom verarbeitet, fällt es ihr schwer, legitime Inhalte von versteckten Befehlen zu unterscheiden.
Für ihren Test entwickelten die LayerX-Forscher eine Rätselseite mit spielerischem Charakter. Innerhalb des Spiels wurden bewusst falsche Antworten als richtig dargestellt. Sobald die KI die Spielregeln akzeptierte, orientierte sie sich laut den Forschern nicht mehr an ihren Sicherheitsvorgaben, sondern an der Logik des Spiels. Im letzten Schritt wurde der Agent aufgefordert, Zugangsdaten des Nutzers zu beschaffen. Keines der sechs getesteten Systeme erkannte dies als unzulässige Handlung.
Nach Angaben von LayerX wurden die betroffenen Anbieter zwischen Oktober 2025 und Januar 2026 informiert. OpenAI habe die Schwachstelle in ChatGPT Atlas inzwischen behoben. Perplexity habe den Bericht geschlossen, ohne Maßnahmen zu ergreifen. Von Fellou, Genspark und Sigma sei keine Reaktion erfolgt. Anthropic habe zwar eine Korrektur vorgenommen, diese habe sich laut LayerX jedoch als unzureichend erwiesen.
Die Forscher empfehlen, dass KI-Agenten zukünftig vor dem Zugriff auf sensible Daten ausdrücklich die Zustimmung des Nutzers einholen. Zudem sollten Nutzer den Agentenmodus nur mit Bedacht einsetzen. Wer einer KI Zugriff auf bereits angemeldete Konten gewährt, eröffnet ihr im Ernstfall auch den Weg zu sensiblen Informationen. Für Unternehmen gilt dasselbe Prinzip: KI-Agenten sollten nur auf die Systeme zugreifen dürfen, die sie für ihre jeweilige Aufgabe tatsächlich benötigen.
Siehe auch:
Assistenten sind unzuverlässige Mitarbeiter
Sicherheitsforscher haben eine neue Angriffsmethode vorgestellt, mit der sich KI-gestützte Anwendungen dazu verleiten lassen, gespeicherte Zugangsdaten aus angemeldeten Konten auszulesen und an Angreifer weiterzugeben. Die Technik mit dem Namen "BioShocking" wurde vom Sicherheitsunternehmen LayerX vorgestellt und funktionierte nach Angaben der Forscher bei sechs getesteten KI-Browsern und Assistenten.Betroffen waren unter anderem ChatGPT Atlas von OpenAI, Comet von Perplexity sowie die Browser-Erweiterung Claude von Anthropic. Anders als herkömmliche Browser können diese Systeme im sogenannten Agentenmodus selbstständig handeln: Sie klicken auf Links, füllen Formulare aus und greifen auf Webseiten zu, bei denen Nutzer bereits angemeldet sind.
Genau diese Fähigkeiten machen die Programme jedoch anfällig für eine als "indirekte Prompt-Injektion" bekannte Angriffstechnik. Dabei werden schädliche Anweisungen in den Inhalt einer Webseite eingebettet. Da die KI sowohl die Nutzeranweisungen als auch den Seiteninhalt als gemeinsamen Textstrom verarbeitet, fällt es ihr schwer, legitime Inhalte von versteckten Befehlen zu unterscheiden.
Für ihren Test entwickelten die LayerX-Forscher eine Rätselseite mit spielerischem Charakter. Innerhalb des Spiels wurden bewusst falsche Antworten als richtig dargestellt. Sobald die KI die Spielregeln akzeptierte, orientierte sie sich laut den Forschern nicht mehr an ihren Sicherheitsvorgaben, sondern an der Logik des Spiels. Im letzten Schritt wurde der Agent aufgefordert, Zugangsdaten des Nutzers zu beschaffen. Keines der sechs getesteten Systeme erkannte dies als unzulässige Handlung.
Vorsicht beim KI-Einsatz
In einem Demonstrationsszenario griff die KI auf ein GitHub-Repository des Opfers zu und kopierte dort hinterlegte SSH-Anmeldedaten. Zwar verwendeten die Forscher lediglich eine harmlose Textdatei, doch prinzipiell könnten auch andere Ressourcen betroffen sein, etwa geöffnete Browser-Tabs, angemeldete Konten oder interne Unternehmenswerkzeuge.Nach Angaben von LayerX wurden die betroffenen Anbieter zwischen Oktober 2025 und Januar 2026 informiert. OpenAI habe die Schwachstelle in ChatGPT Atlas inzwischen behoben. Perplexity habe den Bericht geschlossen, ohne Maßnahmen zu ergreifen. Von Fellou, Genspark und Sigma sei keine Reaktion erfolgt. Anthropic habe zwar eine Korrektur vorgenommen, diese habe sich laut LayerX jedoch als unzureichend erwiesen.
Die Forscher empfehlen, dass KI-Agenten zukünftig vor dem Zugriff auf sensible Daten ausdrücklich die Zustimmung des Nutzers einholen. Zudem sollten Nutzer den Agentenmodus nur mit Bedacht einsetzen. Wer einer KI Zugriff auf bereits angemeldete Konten gewährt, eröffnet ihr im Ernstfall auch den Weg zu sensiblen Informationen. Für Unternehmen gilt dasselbe Prinzip: KI-Agenten sollten nur auf die Systeme zugreifen dürfen, die sie für ihre jeweilige Aufgabe tatsächlich benötigen.
Zusammenfassung
- Neue KI-Browser stellen durch BioShocking ein Sicherheitsrisiko dar
- Forscher entlarven die Gefahr für Konten durch KI-Agenten-Zugriff
- Schädliche Befehle auf Webseiten manipulieren die KI-Logik gezielt
- Betroffene Systeme wie ChatGPT lassen Zugangsdaten leicht abgreifen
- Experten fordern für sensible Daten zwingend eine Nutzerfreigabe
Siehe auch:
Videos zum Thema KI
- KI hält in Kameras Einzug: Was sie dort tut und was es bringt
- Super Bowl 2026: OpenAI lässt uns mit Codex Neues erschaffen
- Super Bowl 2026: Claude verrät, wie man einen Sixpack bekommt
- Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
- Super Bowl 2026: Base44 zeigt, wie KI jeden zum Programmierer macht
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Media Markt und Saturn: 15 tolle Angebote, die sich wirklich lohnen
- Sabotage bei Subnautica 2: Entwickler gewinnen Krimi um 250 Mio. $
- USA planen nach 50 Jahren das Ende des Verbots von Überschallflügen
- Android-Monopol: Google muss 4,1 Mrd. Euro EU-Strafe wirklich zahlen
- Bioshocking: KI-Browser denken, sie spielen - und verraten Passwörter
- Kult-Comeback bei Media Markt: Igloo Retro-Kühlboxen im Angebot
- Fallende Geburtenrate: Neue Studie gibt Apples iPhone die Schuld
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen