KI-gestützte Browser und Bots versprechen, Web-Aufgaben zu vereinfachen. Sie können Seiten zusammenfassen, Daten aus Ihren Konten abrufen und sogar als intelligenter Assistent fungieren, der für Sie klickt und tippt. Neue Forschungsergebnisse zeigen jedoch, dass Ihre Zugangsdaten und sensiblen Informationen zu Kollateralschäden werden könnten, wenn diese Assistenten den Überblick darüber verlieren, was real ist und was nur ein Spiel ist.
Das Besondere an jeder Angriffsart ist, dass sie eine der Grundregeln umgeht:
„LLMs sind mit Sicherheitsvorkehrungen ausgestattet, die schädliche Handlungen verhindern sollen.“
Der Forscher Roy Paz hat einen Angriff entwickelt und veröffentlicht, den er „BioShocking“ nennt – eine Technik, die KI-Browser dazu bringt, ihre Sicherheitsvorkehrungen aufzuheben, indem ihnen ein fiktives Szenario als Realität präsentiert wird.
Damit befindet sich „BioShocking“ an der Schnittstelle zwischen Prompt-Injection und Zielmanipulation. Prompt-Injection funktioniert, weil KI-Modelle nicht zwischen den Anweisungen der App und denen des Angreifers unterscheiden können und daher manchmal den falschen Anweisungen folgen. Angriffe durch Zielmanipulation verändern auf subtile Weise das, was der Agent für sein Optimierungsziel hält, und verwandeln „dem Nutzer helfen“ in „das Spiel um jeden Preis gewinnen“.
Im „BioShocking“-Proof-of-Concept kontrolliert der Angreifer eine scheinbar harmlose Webseite, die thematisch an das „BioShock“-Spieluniversum angelehnt ist. Die Seite präsentiert ein Rätsel, das der KI-Agent – der als autonomer Browser fungiert – im Auftrag des Nutzers lösen soll. Doch hier kommt der Haken: Das Rätsel belohnt falsche Antworten und weist den Agenten ausdrücklich darauf hin, dass es sich um eine besondere Umgebung handelt, in der die üblichen Regeln nicht gelten.
Der letzte Schritt des Rätsels weist den Agenten an, ein GitHub-Repository aufzurufen, sensible Daten wie Passwörter oder Anmeldedaten im Code ausfindig zu machen und diese im Rahmen des Spielabschlusses weiterzugeben. In Tests mit sechs gängigen KI-Browsern und -Plugins – ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser und der Chrome – befolgte jeder Agent die Anweisungen, anstatt die Anfrage abzulehnen.
Indem er den KI-Agenten in eine fiktive Realität versetzte, brachte der Angreifer ihn dazu, die Sicherheitsgrenzen zu überschreiten.
„BioShocking“ ist kein Einzelfall. Es ist ein weiteres Beispiel für eine wachsende Kategorie von Angriffen, bei denen KI-Agenten selbst zum Ziel werden. Eine aktuelle Studie zum KI-E-Mail-Agenten von OpenClaw hat gezeigt, dass einfache Phishing-Taktiken den Agenten dazu verleiten konnten, AWS-Zugangsdaten und Kundendaten preiszugeben.
Offensichtlich liegt die allgemeine Schwachstelle darin, wie diese Browser mit authentifizierten Kontexten umgehen. Wenn ein KI-Browser im „Agent-Modus“ arbeitet, übernimmt er häufig den Anmeldestatus des Benutzers auf sensiblen Plattformen wie E-Mail-Diensten, Code-Repositorys, Cloud-Dashboards, Passwortmanagern und so weiter. Aus Sicht des KI-Modells sind dies lediglich weitere Seiten, die gelesen werden müssen, und weitere Felder, die kopiert werden müssen. Sie haben für das Modell keine besondere Bedeutung.
Wenn die begleitende Beschreibung besagt, dass das Kopieren von Anmeldedaten Teil einer harmlosen Herausforderung ist, werden viele aktuelle Implementierungen dem folgen.
Besorgniserregend ist die Reaktion – oder vielmehr das Ausbleiben einer Reaktion – seitens der Anbieter. Paz meldete das „BioShocking“-Problem im Oktober 2025 an sechs betroffene Anbieter. Dem Bericht zufolge antworteten drei von ihnen nicht, und nur OpenAIs ChatGPT Atlas verfügt derzeit über eine Korrektur, die den Proof-of-Concept blockiert. Anthropic versuchte, sein Chrome zu patchen, doch Berichten zufolge ist die Abhilfemaßnahme gegen das Angriffsszenario weiterhin wirkungslos. Perplexity AI schloss das Problem zum Zeitpunkt der Berichterstattung ohne Abhilfe.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.




