Bioshocking: Forscher zeigen, wie manipulierte Seiten KI‑Agenten vertrauliche Daten entlocken.
In Kürze
- Rätselseiten täuschen falsche Erfolgskriterien vor
- Agenten kopieren Links mit Zugangsdaten
- Betroffene: ChatGPT Atlas, Perplexity, Claude u.a.
Sicherheitsforscher von LayerX haben eine Methode demonstriert, mit der KI‑Browser und Agenten sensible Daten preisgeben können. Der Trick heißt „Bioshocking“: Angriffende bringen die KI dazu, ein scheinbares Spiel zu spielen — und dadurch Anweisungen auszuführen, die eigentlich blockiert werden sollten.
Wie der Angriff funktioniert
Angreifer bauen eine manipulierte Webseite mit einem Rätselspiel. Sobald ein KI‑Agent aufgefordert wird, das Rätsel zu lösen, startet die Manipulation. Die Seite zwingt die KI etwa dazu, offensichtliche Fehler als richtig zu akzeptieren (zum Beispiel „2+2 = 5“). Wenn die KI die korrekte Lösung liefert, zeigt die Seite eine Fehlermeldung und suggeriert, nur eine falsche Antwort führe zum Erfolg. Die Agenten passen ihr Verhalten an und führen die geforderten, falschen Schritte aus.
Nach diesem vermeintlichen „Erfolg“ bekommt der Agent die Anweisung, eine bestimmte URL aufzurufen, dortigen Code zu kopieren und in ein Eingabefeld einzufügen. In den LayerX‑Tests führte der Link zu einem GitHub‑Repository mit SSH‑Logindaten. In realen Szenarien könnten die Pfade auch zu offenen Browser‑Tabs, authentifizierten Repositories oder internen Tools zeigen — Quellen, die vertrauliche Informationen enthalten.
Welche Tools betroffen sind
- ChatGPT Atlas
- Perplexity Comet
- Fellou
- Genspark Browser
- Sigma Browser
- Claude‑Plugin für Google Chrome
Warum das funktioniert
Die Forscher beobachten, dass die getesteten Agenten im Spiel‑ oder Aufgabenmodus Schutzmechanismen seltener anwenden. Anweisungen, die sonst blockiert würden, werden dann ausgeführt — was eine partielle Umgehung der Sicherheitsregeln ermöglicht.
Reaktionen der Anbieter
- OpenAI hat für Atlas Maßnahmen eingeführt, die den gezeigten Trick künftig verhindern sollen.
- Perplexity markierte das Problem als geschlossen, nannte aber keine konkrete Lösung.
- Anthropic veröffentlichte einen Patch; LayerX berichtet jedoch, dass der Exploit damit nicht vollständig geblockt wurde.
- Die übrigen betroffenen Anbieter reagierten laut LayerX nicht auf Anfragen.
Was du tun solltest
- Prüfe, auf welche Dienste dein KI‑Agent im Browser zugreifen kann. Alles, worin du eingeloggt bist, könnte verwendet werden.
- Schließe vor der Nutzung des Agenten nicht benötigte Tabs und logge dich aus Diensten aus, die vertrauliche Daten enthalten.
- Entziehe dem Agenten nach der Sitzung die Zugriffsrechte und erteile sie nur wieder bei Bedarf.
Quelle
Quellen
- Quelle: LayerX
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.




