2. Juli 2026

KI-Browser im Sicherheitscheck: Wenn ein Rätselspiel zum Datenleck wird

KI-Agenten im Browser sollen Nutzern Arbeit abnehmen: suchen, vergleichen, Webseiten bedienen oder Produkte vorbereiten. Doch was passiert, wenn ein solcher Agent eine manipulierte Webseite nicht als Risiko erkennt, sondern als Spiel?

Sicherheitsforscher von LayerX haben gezeigt, dass mehrere KI-Browser durch einen Trick dazu gebracht werden konnten, sensible Daten preiszugeben. Betroffen waren laut Bericht unter anderem ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser sowie das Claude-Plugin für Googles Chrome-Browser.

Der Angriff trägt den Namen „Bioshocking“, angelehnt an den Shooter „Bioshock“. Die Methode setzt darauf, den KI-Agenten in eine Art Spielkontext zu versetzen. Nutzer müssen dafür zunächst eine manipulierte Webseite aufrufen, auf der ein Rätselspiel eingebaut ist. Sobald der Agent aufgefordert wird, das Rätsel zu lösen, beginnt die Manipulation.

Im Test wurde die KI zunächst dazu gebracht, eine offensichtlich falsche Regel zu akzeptieren: Zwei plus zwei sei nicht vier, sondern fünf. Gibt der Agent die richtige Antwort ein, erscheint eine Fehlermeldung mit dem Hinweis, weiterzuspielen, bis „Sieg eine Niederlage“ sei. Viele Agenten schließen daraus, dass im Rahmen des Spiels absichtlich eine falsche Antwort erwartet wird, und passen ihr Verhalten entsprechend an.

Danach folgt der kritische Teil: Das Spiel weist den Agenten an, eine „/code-URL“ aufzurufen, dort Inhalte zu kopieren und in ein Textfeld einzufügen. Im Versuch führte dieser Pfad zu einem GitHub-Repository mit SSH-Logindaten. Unter realen Bedingungen könnten laut LayerX auch offene Tabs, authentifizierte Repositories oder interne Tools betroffen sein. Der Agent führt die Aufgabe aus und bewertet das gelöste Rätsel als Erfolg, obwohl dabei sensible Daten weitergegeben werden.

Das Grundproblem liegt darin, dass der KI-Browser im Spielkontext offenbar annimmt, normale Regeln der Realität würden nicht mehr gelten. Dadurch können Sicherheitsrichtlinien teilweise ausgehebelt werden. LayerX meldete die Schwachstelle an die jeweiligen Entwickler. Laut Bericht hat nur OpenAI in Atlas Maßnahmen umgesetzt, um den Angriff künftig zu verhindern. Perplexity schloss das Problem ohne Lösung, Anthropic lieferte zwar einen Patch, konnte den Exploit damit jedoch nicht stoppen. Weitere Anbieter reagierten nicht.

Für die praktische Nutzung zeigt der Fall deutlich: KI-Agenten im Browser sollten nicht unbegrenzt Zugriff auf alles erhalten, was im Browser geöffnet oder angemeldet ist. Dienste, die nicht benötigt werden, sollten vor der Agentennutzung geschlossen werden. Ebenso sinnvoll ist es, Berechtigungen nach erledigter Aufgabe wieder zu entziehen und erst bei Bedarf erneut freizugeben.

Solche Angriffe machen sichtbar, dass Komfortfunktionen im Browser künftig stärker mit Sicherheitskonzepten zusammengedacht werden müssen. Wer KI-Agenten produktiv einsetzt, sollte nicht nur auf Funktionsumfang achten, sondern auch auf Zugriffskontrolle, Rechtevergabe und klare Grenzen zwischen Aufgabe, Kontext und sensiblen Daten.


Wir führen seit Jahren Beratung zu KI (Künstlicher Intelligenz) für KMUs (Klein- und Mittelständische Unternehmen) erfolgreich durch.

Mehr zu aktuellen Themen der #KI (Künstlichen Intelligenz) oder zu

Ihrem individuellen, optimalen "KI-Masterplan" für Ihr Unternehmen finden Sie in unserem Newsletter.

Abonnieren Sie den Newsletter hier:


Tags


Das könnte Sie auch interessieren

Abonnieren Sie jetzt unseren Newsletter!

>