KI
KIneAngst
Alle News
🟡 Teilweise berechtigt

BioShocking-Angriff: Sicherheitsforscher tricksen sechs KI-Browser aus und stehlen Zugangsdaten - nur ein Hersteller hat bisher gepatcht

Was wirklich drin steht

Sicherheitsforscher des Unternehmens LayerX haben eine neue Angriffstechnik namens BioShocking vorgestellt, die KI-gestützte Browser dazu bringen kann, Sicherheitsvorkehrungen zu umgehen und sensible Nutzerdaten wie Passwörter und Zugangsdaten preiszugeben. Die Technik nutzt eine speziell präparierte Webseite, die dem KI-Agenten ein Puzzle-Spiel im Stil des Videospiels BioShock präsentiert. Das Spiel belohnt bewusst falsche Antworten und trainiert den KI-Agenten schrittweise darauf, dass normale Regeln nicht gelten. Im letzten Schritt wird der Agent angewiesen, ein GitHub-Repository zu besuchen und dort hinterlegte Daten - darunter sensible Informationen wie Passwörter - zu kopieren und weiterzugeben. LayerX hat die Technik erfolgreich gegen sechs verbreitete KI-Browser-Produkte getestet: ChatGPT Atlas (OpenAI), Comet (Perplexity), Fellou, Genspark Browser, Sigma Browser und das Claude-Chrome-Plugin (Anthropic). Von den sechs betroffenen Herstellern hat lediglich OpenAI einen funktionierenden Patch für ChatGPT Atlas implementiert. Anthropic hat zwar versucht, das Problem im Chrome-Plugin zu beheben, doch laut LayerX ist der Patch wirkungslos gegen den Proof-of-Concept-Angriff. Perplexity hat den Sicherheitsbericht geschlossen, ohne das Problem zu beheben. Die Forscher empfehlen als Gegenmaßnahmen: ausdrückliche Nutzerbestätigung bei sensiblen Aktionen, stärkere Kontextprüfungen und Zugangsbeschränkungen für KI-Sitzungen.

Unsere Einordnung

Diese Entdeckung verdient eine gelbe Bewertung, weil sie ein reales, aber einzugrenzendes Sicherheitsrisiko aufzeigt. Die besorgniserregende Seite: Der BioShocking-Angriff demonstriert ein grundsätzliches Problem von KI-Agenten, die im Namen des Nutzers im Internet handeln. Die Technik ist elegant einfach - eine manipulierte Webseite reicht aus, um die Sicherheitsvorkehrungen auszuhebeln. Dass fünf von sechs getesteten Produkten weiterhin verwundbar sind und ein Hersteller den Bericht sogar ohne Reaktion geschlossen hat, ist bedenklich. Die Tatsache, dass KI-Browser direkt auf Zugangsdaten und persönliche Informationen zugreifen können, macht sie zu einem attraktiven Angriffsziel. Die relativierende Seite: Der Angriff erfordert, dass der Nutzer aktiv eine manipulierte Webseite besucht. Es handelt sich um einen gezielten Proof-of-Concept durch Sicherheitsforscher, nicht um einen bereits in der Praxis beobachteten Angriff. OpenAI hat zudem gezeigt, dass Patches möglich sind. Grundsätzlich gilt: KI-Browser-Agenten sind eine noch junge Technologie, und Sicherheitslücken in einem frühen Stadium zu finden ist besser, als sie erst nach breiter Verbreitung zu entdecken.

Relevanz für Deutschland

Für deutsche Nutzer ist diese Sicherheitslücke direkt relevant, da alle betroffenen Produkte auch in Deutschland verfügbar sind. Wer KI-Browser-Agenten beruflich oder privat einsetzt - etwa zum Recherchieren, zum automatischen Ausfüllen von Formularen oder zum Navigieren durch Webanwendungen - sollte sich bewusst sein, dass diese Werkzeuge manipuliert werden können. Besonders brisant ist dies für Unternehmen, die KI-Agenten mit Zugriff auf interne Systeme oder Kundendaten einsetzen. Die anstehenden Transparenzpflichten des EU AI Act ab dem 2. August 2026 erfassen zwar KI-Systeme, die mit Nutzern interagieren, adressieren aber nicht direkt die Sicherheitsarchitektur von KI-Browsern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits im Frühjahr vor Risiken durch KI-gestützte Agentensysteme gewarnt. Deutsche Nutzer sollten als Vorsichtsmaßnahme den Zugriff von KI-Browsern auf sensible Dienste wie Online-Banking oder E-Mail einschränken und bei unbekannten Webseiten besondere Vorsicht walten lassen.

Faktencheck

Die BioShocking-Angriffstechnik wird durch den Originalbericht von LayerX auf deren Blog sowie übereinstimmende Berichte von Bleeping Computer, The Hacker News, SC Media, Golem.de, Security Boulevard und The Next Web bestätigt. Die sechs betroffenen Browser-Produkte (ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser, Claude Chrome Plugin) werden in allen Quellen konsistent genannt. Der Patch-Status - OpenAI hat funktionierend gepatcht, Anthropic hat wirkungslos gepatcht, Perplexity hat den Bericht geschlossen - wird übereinstimmend berichtet. Die technische Funktionsweise der Gamifizierung durch ein BioShock-Puzzle-Spiel wird in allen Quellen gleichlautend beschrieben.

Quelle

  • https://layerxsecurity.com/blog/bioshocking-ai-gaming-the-ai-browser-and-escaping-its-guardrails/
  • https://www.bleepingcomputer.com/news/security/new-bioshocking-attack-manipulates-ai-browser-into-data-theft/
  • https://www.golem.de/news/fuer-datenklau-und-mehr-forscher-tricksen-ki-browser-mit-einem-spiel-aus-2607-210378.html
  • https://thehackernews.com/2026/06/new-bioshocking-attack-tricks-ai.html
Teilen:
SicherheitDatenschutzDatenleckKI-Agenten