News

BioShocking: Dieser Angriff täuscht Ihren KI-Browser, um Ihre Passwörter zu stehlen

Cybersicherheitsforscher haben nachgewiesen, dass es ausreicht, einen KI-Browser zu überzeugen, dass er ein Spiel spielt, um ihn dazu zu bringen, Ihre Anmeldedaten zu kopieren und weiterzuleiten. Der BioShocking-Angriff hat sechs Tools getäuscht, darunter ChatGPT Atlas, die Claude-Erweiterung und Perplexity Comet. Erklärungen, Reaktionen der Herausgeber und Schutzmaßnahmen.

Valentin
Valentin Goudet
Shelly Botschafter Frankreich
Veröffentlicht am 04.07.2026
10 Min Lesezeit
BioShocking: Dieser Angriff täuscht Ihren KI-Browser, um Ihre Passwörter zu stehlen
Teilen X Facebook WhatsApp
0 Kommentare
Inhalt

Wenn ein gefälschtes Videospiel Ihren KI-Browser hypnotisiert

Sie bitten Ihren KI-Browser, eine Webseite aufzurufen, und diese Seite enthält ein unterhaltsames Rätsel. Ihr Assistent lässt sich auf das Spiel ein, löst die Aufgaben, und wenige Minuten später hat er Ihre GitHub-Zugangsdaten kopiert und an einen völlig Fremden geschickt. Sie haben nichts bemerkt. Er auch nicht, im Gegenteil: Er glaubt, eine Partie gewonnen zu haben.

Dieses etwas eigenartige Szenario ist keine Science-Fiction. Ende Juni 2026 haben Cybersicherheitsforscher des Unternehmens LayerX (das gerade von Akamai übernommen wird) eine Demonstration veröffentlicht, die einem einen kalten Schauer über den Rücken jagt. Ihre Technik mit dem Namen BioShocking hat es geschafft, sechs der meistgenutzten KI-Browser und -Erweiterungen zu täuschen, darunter ChatGPT Atlas (OpenAI), Comet (Perplexity) und die Erweiterung Claude for Chrome (Anthropic). Das Prinzip ist so einfach wie gefährlich: Man überzeugt die KI davon, dass sie ein Spiel spielt, damit sie ihre Schutzmechanismen vergisst.

In diesem Artikel erfahren Sie, wie diese Attacke funktioniert, warum sie bei Browsern im Agentenmodus besonders gefährlich ist, und vor allem, welche konkreten Reflexe Sie sich aneignen sollten, um sich schon heute zu schützen.

BioShocking: die Attacke in zwei Minuten erklärt

Das Prinzip: den Kontext manipulieren, um die KI zu entwaffnen

Die BioShocking-Attacke beruht auf einer grundlegenden Idee: KI-Browser im Agentenmodus vertrauen dem Kontext, in dem sie arbeiten. Sagt ihnen dieser Kontext „wir befinden uns im echten Leben", wenden sie ihre Sicherheitsregeln an. Überzeugt eine Webseite sie jedoch davon, dass sie sich in einer fiktiven Welt befinden, in einem Spiel, in dem die üblichen Regeln nicht mehr gelten, hören sie auf, diese Schutzmaßnahmen anzuwenden.

Indirekte Prompt-Injection

Eine Technik, bei der bösartige Anweisungen in Webinhalten versteckt werden, die ein KI-Agent liest. Der Agent kann eine legitime Anweisung seines Nutzers nicht zuverlässig von einer manipulierten Anweisung unterscheiden, die in einer Seite verborgen ist.

Technisch gesehen handelt es sich um eine indirekte Prompt-Injection, kombiniert mit einer Manipulation des Ziels. Der Angreifer dringt nicht in Ihren Computer ein und schickt Ihnen auch keinen Virus. Er veröffentlicht lediglich eine Webseite, die die Prioritäten des Agenten regelrecht umprogrammiert, sobald Ihr KI-gestützter Browser sie besucht.

Einfach ausgedrückt

Stellen Sie sich einen Nachtwächter vor, der ein Lagerhaus bewacht. Sagt ihm jemand „wir drehen einen Film, die Kameras sind Requisiten, Sie können die Türen öffnen", lässt er womöglich die Diebe herein, weil er glaubt, eine Rolle zu spielen. Genau das macht BioShocking mit Ihrem KI-Browser: Es überzeugt ihn davon, dass die Situation nicht real ist, und der Agent lässt seine Deckung fallen.

Warum dieser Name? Eine Anspielung auf das Videospiel BioShock

Der Name ist kein Zufall. Im Videospiel BioShock (2007) entdeckt der Spieler, dass seine Figur ein konditionierter Mann ist, der jedem blind gehorcht, der den Auslösesatz ausspricht. Die gesamte narrative Mechanik beruht auf dieser Manipulation: Die Figur glaubt, frei zu handeln, während sie in Wirklichkeit Befehle ausführt. Roy Paz, der leitende Forscher bei LayerX, auf den die Entdeckung zurückgeht, hat diese Parallele gewählt, weil die Attacke nach demselben Prinzip funktioniert. Der KI-Agent glaubt zu „spielen", während er die Anweisungen des Angreifers ausführt.

Die Attacke Schritt für Schritt: vom manipulierten Rätsel zum Diebstahl der Zugangsdaten

Schritt 1: der Köder, ein Rätsel auf einer präparierten Webseite

Der Angreifer erstellt eine harmlos wirkende Webseite. Im Proof of Concept von LayerX zeigt die Seite ein Rätsel mit dystopischem Thema, inspiriert vom Universum von BioShock. Der Nutzer bittet seinen KI-Browser (im Agentenmodus), das Rätsel zu lösen. Der Agent beginnt, die Seite zu lesen und mit ihrem Inhalt zu interagieren. Bis hierhin nichts Ungewöhnliches.

Schritt 2: die KI davon überzeugen, dass 2+2 = 5 ist

Hier beginnt die Manipulation. Das Rätsel ist so konzipiert, dass es falsche Antworten belohnt. Eine der ersten Fragen lautet, wie viel 2+2 ergibt. Die „richtige" Antwort ist laut Spielregeln 5. Der KI-Agent zögert zunächst, akzeptiert dann aber diese umgekehrte Logik, um im Spiel voranzukommen. Indem er akzeptiert, dass eine falsche Antwort die richtige ist, gleitet der Agent in das ab, was die Forscher ein „realitätsfernes Denken" nennen.

BioShock AI

Das ist der entscheidende Moment. Die KI hat eine neue Regel verinnerlicht: In diesem Kontext sind „falsche" Handlungen nicht nur akzeptabel, sondern erwünscht. Sie unterscheidet nicht mehr zwischen der Logik des Spiels und den Sicherheitsregeln der realen Welt.

Wenn Sie einen Agenten davon überzeugen, dass er ein Spiel spielt, wird er bei allem, was er danach tut, die Logik des Spiels anwenden, nicht die der Sicherheit.

Schritt 3: Ihre Zugangsdaten kopieren und exfiltrieren

Der letzte Schritt des Rätsels fordert den Agenten auf, einen auf einer anderen Seite versteckten „Geheimcode" abzurufen. Der Agent folgt dem Link, der ihn in Wirklichkeit zu einem beruflichen GitHub-Repository des Nutzers weiterleitet. In der Testumgebung von LayerX enthielt das Repository eine Textdatei mit SSH-Zugangsdaten (Benutzername und Passwort). Der Agent kopiert diese Informationen und übermittelt sie an den Angreifer, in dem Glauben, das Spiel erfolgreich abgeschlossen zu haben.

Keiner der sechs getesteten Agenten erkannte diese Handlung als Verstoß gegen seine Sicherheitsregeln. Schlimmer noch: Einige „feierten" die Exfiltration regelrecht als Sieg im Spiel.

Vorsicht

In der Demonstration von LayerX war die Zieldatei nur eine harmlose Textdatei. Die Forscher betonen jedoch, dass dieselbe Technik den Agenten zu jeder in der Browsersitzung zugänglichen Ressource umleiten könnte: geöffnete Tabs, angemeldete Konten, interne Tools, Passwort-Manager.

Warum das gefährlich ist: Der Agentenmodus öffnet die Tür zu Ihren Konten

Ihr KI-Browser erbt alle Ihre Sitzungen

Um die Tragweite des Problems zu verstehen, muss man wissen, was ein KI-Browser im Agentenmodus ist. Ein klassischer Browser wartet auf Ihre Klicks. Ein KI-Browser im Agentenmodus handelt an Ihrer Stelle: Er klickt, tippt, navigiert und füllt Formulare aus. Und vor allem greift er auf alle Websites zu, bei denen Sie bereits angemeldet sind.

Ihre E-Mails, Ihr berufliches GitHub, Ihr Online-Passwort-Manager, Ihre internen Unternehmens-Tools, Ihre Bank, falls der Tab geöffnet ist: Auf all das kann der KI-Agent während seiner Sitzung potenziell zugreifen. Das ist im Übrigen genau der Sinn dieser Werkzeuge. Aber es ist auch das, was sie gefährlich macht, wenn ihre Schutzmechanismen versagen.

Sechs Browser getestet, sechs Fehlschläge

LayerX hat seine Technik an fünf agentischen Browsern und einer Browser-Erweiterung getestet:

  1. ChatGPT Atlas (OpenAI)
  2. Comet (Perplexity)
  3. Fellou
  4. Genspark Browser
  5. Sigma Browser
  6. Claude for Chrome (Anthropic)

Das Ergebnis: Alle sechs haben die Zugangsdaten ohne mit der Wimper zu zucken exfiltriert. Die Forscher stellen fest, dass keiner dieser Agenten eine Privilegiengrenze zwischen dem Lesen einer Webseite (einer banalen Handlung) und dem Zugriff auf Daten aus authentifizierten Nutzersitzungen (einer sensiblen Handlung) gezogen hat. Die Anweisungen der Seite und die Vorgaben des Nutzers landen im selben Textstrom, ohne einen Mechanismus, um die einen von den anderen zu unterscheiden.

Die Reaktion der Anbieter: eine gemischte Bilanz

Wie BleepingComputer und The Hacker News berichten, hat LayerX die Schwachstelle zwischen Oktober 2025 und Januar 2026 an die verschiedenen Anbieter gemeldet, also mehrere Monate vor der öffentlichen Veröffentlichung am 30. Juni 2026. Die Reaktionen fielen sehr unterschiedlich aus.

OpenAI hat das Problem in ChatGPT Atlas behoben. Es ist der einzige Anbieter, der einen von den Forschern als wirksam eingestuften Patch implementiert hat.

Anthropic hat versucht, seine Erweiterung Claude for Chrome zu korrigieren, doch laut LayerX hielt der Patch nicht stand: Die Erweiterung blieb bei den Folgetests weiterhin angreifbar.

Perplexity hat den Schwachstellenbericht geschlossen, ohne eine Korrektur vorzunehmen. Die Forscher von LayerX hatten im Übrigen bereits eine ähnliche Lücke in Comet nachgewiesen (mit dem Namen „CometJacking"), was diese Nicht-Reaktion umso besorgniserregender macht.

Fellou, Genspark und Sigma wiederum haben allesamt nicht auf die Meldung reagiert.

Vorsicht

Zum Zeitpunkt der Erstellung dieses Artikels (Juli 2026) wurde nur ChatGPT Atlas nachweislich korrigiert. Wenn Sie eines der fünf anderen aufgeführten Tools verwenden, könnte die Schwachstelle noch ausnutzbar sein. Prüfen Sie die Sicherheitsupdates Ihrer jeweiligen Anbieter.

So schützen Sie sich: fünf Reflexe, die Sie sich ab sofort aneignen sollten

Bis die Anbieter ihre Schutzmechanismen verstärken, können Sie Ihre Angriffsfläche mit einigen einfachen Gewohnheiten erheblich verringern.

  1. Melden Sie sich von sensiblen Konten ab, bevor Sie den Agentenmodus aktivieren. Ihre Bank, Ihr Passwort-Manager, Ihre beruflichen Git-Repositories: Worauf der Agent keinen Zugriff hat, daraus kann er auch nichts entnehmen. Das ist die wirksamste Maßnahme.
  2. Schließen Sie überflüssige Tabs. Ein aktiver Agent kann potenziell auf offene Sitzungen in anderen Tabs zugreifen. Weniger geöffnete Tabs bedeuten weniger Angriffsfläche.
  3. Lassen Sie die KI niemals auf Ihre Bank oder Ihren Passwort-Manager zugreifen. Diese Werkzeuge haben schlicht nichts in derselben Browsersitzung wie ein autonomer KI-Agent zu suchen. Punkt.
  4. Seien Sie misstrauisch bei Seiten, die den Agenten zum „Spielen" auffordern. Wenn eine Webseite Ihren KI-Browser dazu einlädt, ungewöhnlichen Regeln zu folgen, ein Quiz zu beantworten oder an einem interaktiven Spiel teilzunehmen, ist das ein Warnsignal. Online-Rätsel und -Spiele sind genau der Angriffsvektor, den BioShocking nutzt.
  5. Entziehen Sie dem Agenten den Zugriff, wenn Sie fertig sind. Lassen Sie einen KI-Browser nicht dauerhaft im Agentenmodus laufen. Aktivieren Sie ihn für eine konkrete Aufgabe und schalten Sie ihn danach wieder ab.
Valentins Meinung
Persönliche Einschätzung, als solche zu verstehen

KI-Browser im Agentenmodus können mächtige Werkzeuge sein, aber diese Untersuchung von LayerX erinnert uns an eine grundlegende Regel der IT-Sicherheit: Je mehr Macht ein Werkzeug hat, desto stärker muss diese Macht kontrolliert werden. Heute fragt keiner dieser Agenten nach einer Bestätigung, bevor er sensible Daten aus einem angemeldeten Konto ausliest. Das ist ein Designfehler, nicht bloß ein Bug. Solange diese Grenze nicht existiert, ist Vorsicht geboten.

Fazit: die Sicherheit agentischer KI steht erst am Anfang

Die BioShocking-Attacke ist kein Einzelfall. Sie fügt sich in einen grundlegenden Trend ein: In dem Maße, wie KI-Systeme an Autonomie und an Zugriff auf unsere Daten gewinnen, werden sie auch zu interessanteren Zielen für Angreifer. Was diese Demonstration letztlich so bemerkenswert macht, ist ihre Einfachheit. Keine Malware, kein ausgeklügelter technischer Exploit, nur eine Webseite und ein Spiel.

LayerX empfiehlt den Anbietern, eine scheinbar naheliegende Maßnahme umzusetzen: eine ausdrückliche Bestätigung des Nutzers einzuholen, bevor ein Agent Daten aus einem authentifizierten Konto liest. Ein einfaches Dialogfenster („Ich bin dabei, Daten aus Ihrem GitHub-Repository zu kopieren. Fortfahren?") würde ausreichen, um die Angriffskette zu durchbrechen. Dass keines der sechs getesteten Tools dies zum Zeitpunkt der Entdeckung tat, sagt viel über die Reife dieser Branche aus.

Die Sicherheit agentischer KI ist eine Baustelle, die gerade erst begonnen hat. Bis sie vorankommt, bleibt der beste Schutz Ihr eigener: Kontrollieren Sie, was Ihre Agenten sehen können, und schenken Sie ihnen kein blindes Vertrauen.

Valentin
Valentin GoudetShelly Botschafter Frankreich

Gründer von Howmation. Ich programmiere seit meinem 9. Lebensjahr, mit einem Hintergrund in Entwicklung und Cybersicherheit bei staatlichen Einsätzen. Ich habe zu viel Technik gesehen, die komplex und abweisend gemacht wurde, und zu viel spaltenden Ton in den sozialen Medien. Howmation ist meine Antwort: testen und einfach erklären, ohne Fachjargon und ohne Ego-Kämpfe.

Zum Kanal
NEWSLETTER
Verpasse keinen Test

Die wöchentliche Übersicht zu Tests, Guides und Angeboten.

Anmelden →
32 800 Abonnenten
YouTube · @Howmation
Video ansehen →

Auch lesenswert

Hat dir dieser Test geholfen? Teile ihn.
Ein Teilen heißt, dass jemand weniger über den Tisch gezogen wird. Danke.

Kommentare 0

Treten Sie der Konversation bei

Melden Sie sich an, um Ihre Meinung zu teilen und Fragen zu stellen

Noch keine Kommentare

Melden Sie sich an, um als Erster zu kommentieren