Da KI-Browser und Assistenten mit autonomen Webbrowsing- und Aufgabenausführungsfunktionen immer beliebter werden, entsteht eine neue Sicherheitslücke, die auf diesen Bereich abzielt. Entwickler des Cybersicherheitsunternehmens LayerX haben kürzlich einen neuen Proof-of-Concept-Angriff namens „BioShocking“ enthüllt.Durch die Implantation eines dystopischen interaktiven Puzzles im Stil des klassischen Spiels „BioShock“ in eine Webseite können Hacker den KI-Browser erfolgreich „ausspielen“, um den eingebauten Sicherheitszaun zu umgehen und dann gehorsam die sensiblen Anmeldedaten des Benutzers auszuhändigen.

Das Forschungsteam von LayerX erklärte, dass der Kern des „BioShocking“-Angriffs darin besteht, die Schwachstelle der internen Argumentationslogik des Large Language Model (LLM) auszunutzen. Wenn KI-Browser in dieser Phase Webseiteninhalte lesen und Sicherheitsanweisungen erhalten, verarbeiten sie diese oft als einen einzigen Textstrom, sodass sie nicht in der Lage sind, genau zwischen „normalen Spielinhalten auf der Webseite“ und „böswilligen Systemsteuerungsbefehlen“ zu unterscheiden.
In diesem Test erstellten Hacker eine Puzzle-Webseite voller „BioShock“-Unterwasserstädte im „Rapture“-Stil. Nach Spielbeginn wird die KI dazu veranlasst, eine einfache mathematische Frage zu beantworten (z. B. muss sie zugeben, dass 2+2=5 die richtige Antwort ist). Sobald die KI die Spielregeln akzeptiert und beginnt, sich in diese fiktive Handlung zu integrieren, wird sie feststellen, dass es sich um ein Spiel in der „nicht realen Welt“ handelt. Die Forscher wiesen darauf hin, dass die KI, solange sie davon überzeugt ist, dass sie ein Spiel spielt, zur Anwendung der „Spiellogik“ übergeht, um alle nachfolgenden Aktionen abzuwickeln, und dabei die „Sicherheitslogik“ in der realen Welt hinter sich lässt.
Der letzte Schritt des Rätsels weist die KI dann logischerweise an, die Anmeldeinformationen des Benutzers abzurufen und zu kopieren. Da die KI zu diesem Zeitpunkt vollständig in die Spielgeschichte eintaucht und diese als „Passthrough-Belohnung“ behandelt, wird sie keine Sicherheitswarnungen ausgeben, die die Ausführung verweigern. Im eigentlichen Test zögerte die angegriffene KI nicht, auf das GitHub-Repository zuzugreifen, in dem das Opfer bei der Arbeit angemeldet war, extrahierte die SSH-Anmeldeinformationen, packte sie und schickte sie an den Server des Angreifers. Noch ironischer ist, dass die KI dem Benutzer nach Abschluss dieser Reihe von Diebstahlsverhalten aufgeregt „gute Nachrichten meldet“ und dies als Sieg in der Spielaufgabe meldet.
Berichten zufolge hat LayerX diese Schwachstelle erfolgreich ausgenutzt, um sechs gängige KI-Browser und -Assistenten zu testen, darunter ChatGPT Atlas von OpenAI, Comet von Perplexity und das Browser-Plug-in Claude Chrome von Anthropic. Wenn diese Sicherheitslücke in der Realität böswillig ausgenutzt wird, müssen Hacker Benutzer nur dazu verleiten, auf einen Link zu klicken, und können dann mithilfe von KI stillschweigend alle Registerkarten, angemeldeten Konten oder internen Tools des Unternehmens stehlen, die der Benutzer in der aktuellen Sitzung geöffnet hat.
LayerX gab an, alle betroffenen Anbieter zwischen Oktober 2025 und Januar 2026 über die Schwachstelle informiert zu haben. Allerdings ist der Reparaturfortschritt bei den großen Herstellern uneinheitlich. Derzeit hat nur OpenAI dieses Problem in seinem ChatGPT Atlas-Browser behoben. Sicherheitsexperten erinnern daran, dass KI-Browser einen obligatorischen sekundären Benutzerbestätigungsmechanismus einrichten müssen, wenn sie sensible Vorgänge wie das Lesen von Anmeldeinformationen ausführen, da „Agentic Disaster“ zu einer neuen Bedrohung beim täglichen Surfen im Internet wird. Gleichzeitig sollten Benutzer auch versuchen, die Zugriffsrechte solcher KI-Agenten auf zentrale Datenschutzdaten zu beschränken.