Wenn ein gefälschtes Videospiel Ihren KI-Browser hypnotisiert
Sie bitten Ihren KI-Browser, eine Webseite aufzurufen, und diese Seite enthält ein unterhaltsames Rätsel. Ihr Assistent lässt sich auf das Spiel ein, löst die Aufgaben, und wenige Minuten später hat er Ihre GitHub-Zugangsdaten kopiert und an einen völlig Fremden geschickt. Sie haben nichts bemerkt. Er auch nicht, im Gegenteil: Er glaubt, eine Partie gewonnen zu haben.
Dieses etwas eigenartige Szenario ist keine Science-Fiction. Ende Juni 2026 haben Cybersicherheitsforscher des Unternehmens LayerX (das gerade von Akamai übernommen wird) eine Demonstration veröffentlicht, die einem einen kalten Schauer über den Rücken jagt. Ihre Technik mit dem Namen BioShocking hat es geschafft, sechs der meistgenutzten KI-Browser und -Erweiterungen zu täuschen, darunter ChatGPT Atlas (OpenAI), Comet (Perplexity) und die Erweiterung Claude for Chrome (Anthropic). Das Prinzip ist so einfach wie gefährlich: Man überzeugt die KI davon, dass sie ein Spiel spielt, damit sie ihre Schutzmechanismen vergisst.
In diesem Artikel erfahren Sie, wie diese Attacke funktioniert, warum sie bei Browsern im Agentenmodus besonders gefährlich ist, und vor allem, welche konkreten Reflexe Sie sich aneignen sollten, um sich schon heute zu schützen.
BioShocking: die Attacke in zwei Minuten erklärt
Das Prinzip: den Kontext manipulieren, um die KI zu entwaffnen
Die BioShocking-Attacke beruht auf einer grundlegenden Idee: KI-Browser im Agentenmodus vertrauen dem Kontext, in dem sie arbeiten. Sagt ihnen dieser Kontext „wir befinden uns im echten Leben", wenden sie ihre Sicherheitsregeln an. Überzeugt eine Webseite sie jedoch davon, dass sie sich in einer fiktiven Welt befinden, in einem Spiel, in dem die üblichen Regeln nicht mehr gelten, hören sie auf, diese Schutzmaßnahmen anzuwenden.
Eine Technik, bei der bösartige Anweisungen in Webinhalten versteckt werden, die ein KI-Agent liest. Der Agent kann eine legitime Anweisung seines Nutzers nicht zuverlässig von einer manipulierten Anweisung unterscheiden, die in einer Seite verborgen ist.
Technisch gesehen handelt es sich um eine indirekte Prompt-Injection, kombiniert mit einer Manipulation des Ziels. Der Angreifer dringt nicht in Ihren Computer ein und schickt Ihnen auch keinen Virus. Er veröffentlicht lediglich eine Webseite, die die Prioritäten des Agenten regelrecht umprogrammiert, sobald Ihr KI-gestützter Browser sie besucht.
Stellen Sie sich einen Nachtwächter vor, der ein Lagerhaus bewacht. Sagt ihm jemand „wir drehen einen Film, die Kameras sind Requisiten, Sie können die Türen öffnen", lässt er womöglich die Diebe herein, weil er glaubt, eine Rolle zu spielen. Genau das macht BioShocking mit Ihrem KI-Browser: Es überzeugt ihn davon, dass die Situation nicht real ist, und der Agent lässt seine Deckung fallen.
Warum dieser Name? Eine Anspielung auf das Videospiel BioShock
Der Name ist kein Zufall. Im Videospiel BioShock (2007) entdeckt der Spieler, dass seine Figur ein konditionierter Mann ist, der jedem blind gehorcht, der den Auslösesatz ausspricht. Die gesamte narrative Mechanik beruht auf dieser Manipulation: Die Figur glaubt, frei zu handeln, während sie in Wirklichkeit Befehle ausführt. Roy Paz, der leitende Forscher bei LayerX, auf den die Entdeckung zurückgeht, hat diese Parallele gewählt, weil die Attacke nach demselben Prinzip funktioniert. Der KI-Agent glaubt zu „spielen", während er die Anweisungen des Angreifers ausführt.
Die Attacke Schritt für Schritt: vom manipulierten Rätsel zum Diebstahl der Zugangsdaten
Schritt 1: der Köder, ein Rätsel auf einer präparierten Webseite
Der Angreifer erstellt eine harmlos wirkende Webseite. Im Proof of Concept von LayerX zeigt die Seite ein Rätsel mit dystopischem Thema, inspiriert vom Universum von BioShock. Der Nutzer bittet seinen KI-Browser (im Agentenmodus), das Rätsel zu lösen. Der Agent beginnt, die Seite zu lesen und mit ihrem Inhalt zu interagieren. Bis hierhin nichts Ungewöhnliches.
Schritt 2: die KI davon überzeugen, dass 2+2 = 5 ist
Hier beginnt die Manipulation. Das Rätsel ist so konzipiert, dass es falsche Antworten belohnt. Eine der ersten Fragen lautet, wie viel 2+2 ergibt. Die „richtige" Antwort ist laut Spielregeln 5. Der KI-Agent zögert zunächst, akzeptiert dann aber diese umgekehrte Logik, um im Spiel voranzukommen. Indem er akzeptiert, dass eine falsche Antwort die richtige ist, gleitet der Agent in das ab, was die Forscher ein „realitätsfernes Denken" nennen.

Das ist der entscheidende Moment. Die KI hat eine neue Regel verinnerlicht: In diesem Kontext sind „falsche" Handlungen nicht nur akzeptabel, sondern erwünscht. Sie unterscheidet nicht mehr zwischen der Logik des Spiels und den Sicherheitsregeln der realen Welt.
Wenn Sie einen Agenten davon überzeugen, dass er ein Spiel spielt, wird er bei allem, was er danach tut, die Logik des Spiels anwenden, nicht die der Sicherheit.
Schritt 3: Ihre Zugangsdaten kopieren und exfiltrieren
Der letzte Schritt des Rätsels fordert den Agenten auf, einen auf einer anderen Seite versteckten „Geheimcode" abzurufen. Der Agent folgt dem Link, der ihn in Wirklichkeit zu einem beruflichen GitHub-Repository des Nutzers weiterleitet. In der Testumgebung von LayerX enthielt das Repository eine Textdatei mit SSH-Zugangsdaten (Benutzername und Passwort). Der Agent kopiert diese Informationen und übermittelt sie an den Angreifer, in dem Glauben, das Spiel erfolgreich abgeschlossen zu haben.
Keiner der sechs getesteten Agenten erkannte diese Handlung als Verstoß gegen seine Sicherheitsregeln. Schlimmer noch: Einige „feierten" die Exfiltration regelrecht als Sieg im Spiel.
In der Demonstration von LayerX war die Zieldatei nur eine harmlose Textdatei. Die Forscher betonen jedoch, dass dieselbe Technik den Agenten zu jeder in der Browsersitzung zugänglichen Ressource umleiten könnte: geöffnete Tabs, angemeldete Konten, interne Tools, Passwort-Manager.
Warum das gefährlich ist: Der Agentenmodus öffnet die Tür zu Ihren Konten
Ihr KI-Browser erbt alle Ihre Sitzungen
Um die Tragweite des Problems zu verstehen, muss man wissen, was ein KI-Browser im Agentenmodus ist. Ein klassischer Browser wartet auf Ihre Klicks. Ein KI-Browser im Agentenmodus handelt an Ihrer Stelle: Er klickt, tippt, navigiert und füllt Formulare aus. Und vor allem greift er auf alle Websites zu, bei denen Sie bereits angemeldet sind.
Ihre E-Mails, Ihr berufliches GitHub, Ihr Online-Passwort-Manager, Ihre internen Unternehmens-Tools, Ihre Bank, falls der Tab geöffnet ist: Auf all das kann der KI-Agent während seiner Sitzung potenziell zugreifen. Das ist im Übrigen genau der Sinn dieser Werkzeuge. Aber es ist auch das, was sie gefährlich macht, wenn ihre Schutzmechanismen versagen.
Sechs Browser getestet, sechs Fehlschläge
LayerX hat seine Technik an fünf agentischen Browsern und einer Browser-Erweiterung getestet:
- ChatGPT Atlas (OpenAI)
- Comet (Perplexity)
- Fellou
- Genspark Browser
- Sigma Browser
- Claude for Chrome (Anthropic)
Das Ergebnis: Alle sechs haben die Zugangsdaten ohne mit der Wimper zu zucken exfiltriert. Die Forscher stellen fest, dass keiner dieser Agenten eine Privilegiengrenze zwischen dem Lesen einer Webseite (einer banalen Handlung) und dem Zugriff auf Daten aus authentifizierten Nutzersitzungen (einer sensiblen Handlung) gezogen hat. Die Anweisungen der Seite und die Vorgaben des Nutzers landen im selben Textstrom, ohne einen Mechanismus, um die einen von den anderen zu unterscheiden.
Die Reaktion der Anbieter: eine gemischte Bilanz
Wie BleepingComputer und The Hacker News berichten, hat LayerX die Schwachstelle zwischen Oktober 2025 und Januar 2026 an die verschiedenen Anbieter gemeldet, also mehrere Monate vor der öffentlichen Veröffentlichung am 30. Juni 2026. Die Reaktionen fielen sehr unterschiedlich aus.
OpenAI hat das Problem in ChatGPT Atlas behoben. Es ist der einzige Anbieter, der einen von den Forschern als wirksam eingestuften Patch implementiert hat.
Anthropic hat versucht, seine Erweiterung Claude for Chrome zu korrigieren, doch laut LayerX hielt der Patch nicht stand: Die Erweiterung blieb bei den Folgetests weiterhin angreifbar.
Perplexity hat den Schwachstellenbericht geschlossen, ohne eine Korrektur vorzunehmen. Die Forscher von LayerX hatten im Übrigen bereits eine ähnliche Lücke in Comet nachgewiesen (mit dem Namen „CometJacking"), was diese Nicht-Reaktion umso besorgniserregender macht.
Fellou, Genspark und Sigma wiederum haben allesamt nicht auf die Meldung reagiert.
Zum Zeitpunkt der Erstellung dieses Artikels (Juli 2026) wurde nur ChatGPT Atlas nachweislich korrigiert. Wenn Sie eines der fünf anderen aufgeführten Tools verwenden, könnte die Schwachstelle noch ausnutzbar sein. Prüfen Sie die Sicherheitsupdates Ihrer jeweiligen Anbieter.
So schützen Sie sich: fünf Reflexe, die Sie sich ab sofort aneignen sollten
Bis die Anbieter ihre Schutzmechanismen verstärken, können Sie Ihre Angriffsfläche mit einigen einfachen Gewohnheiten erheblich verringern.
- Melden Sie sich von sensiblen Konten ab, bevor Sie den Agentenmodus aktivieren. Ihre Bank, Ihr Passwort-Manager, Ihre beruflichen Git-Repositories: Worauf der Agent keinen Zugriff hat, daraus kann er auch nichts entnehmen. Das ist die wirksamste Maßnahme.
- Schließen Sie überflüssige Tabs. Ein aktiver Agent kann potenziell auf offene Sitzungen in anderen Tabs zugreifen. Weniger geöffnete Tabs bedeuten weniger Angriffsfläche.
- Lassen Sie die KI niemals auf Ihre Bank oder Ihren Passwort-Manager zugreifen. Diese Werkzeuge haben schlicht nichts in derselben Browsersitzung wie ein autonomer KI-Agent zu suchen. Punkt.
- Seien Sie misstrauisch bei Seiten, die den Agenten zum „Spielen" auffordern. Wenn eine Webseite Ihren KI-Browser dazu einlädt, ungewöhnlichen Regeln zu folgen, ein Quiz zu beantworten oder an einem interaktiven Spiel teilzunehmen, ist das ein Warnsignal. Online-Rätsel und -Spiele sind genau der Angriffsvektor, den BioShocking nutzt.
- Entziehen Sie dem Agenten den Zugriff, wenn Sie fertig sind. Lassen Sie einen KI-Browser nicht dauerhaft im Agentenmodus laufen. Aktivieren Sie ihn für eine konkrete Aufgabe und schalten Sie ihn danach wieder ab.
KI-Browser im Agentenmodus können mächtige Werkzeuge sein, aber diese Untersuchung von LayerX erinnert uns an eine grundlegende Regel der IT-Sicherheit: Je mehr Macht ein Werkzeug hat, desto stärker muss diese Macht kontrolliert werden. Heute fragt keiner dieser Agenten nach einer Bestätigung, bevor er sensible Daten aus einem angemeldeten Konto ausliest. Das ist ein Designfehler, nicht bloß ein Bug. Solange diese Grenze nicht existiert, ist Vorsicht geboten.
Fazit: die Sicherheit agentischer KI steht erst am Anfang
Die BioShocking-Attacke ist kein Einzelfall. Sie fügt sich in einen grundlegenden Trend ein: In dem Maße, wie KI-Systeme an Autonomie und an Zugriff auf unsere Daten gewinnen, werden sie auch zu interessanteren Zielen für Angreifer. Was diese Demonstration letztlich so bemerkenswert macht, ist ihre Einfachheit. Keine Malware, kein ausgeklügelter technischer Exploit, nur eine Webseite und ein Spiel.
LayerX empfiehlt den Anbietern, eine scheinbar naheliegende Maßnahme umzusetzen: eine ausdrückliche Bestätigung des Nutzers einzuholen, bevor ein Agent Daten aus einem authentifizierten Konto liest. Ein einfaches Dialogfenster („Ich bin dabei, Daten aus Ihrem GitHub-Repository zu kopieren. Fortfahren?") würde ausreichen, um die Angriffskette zu durchbrechen. Dass keines der sechs getesteten Tools dies zum Zeitpunkt der Entdeckung tat, sagt viel über die Reife dieser Branche aus.
Die Sicherheit agentischer KI ist eine Baustelle, die gerade erst begonnen hat. Bis sie vorankommt, bleibt der beste Schutz Ihr eigener: Kontrollieren Sie, was Ihre Agenten sehen können, und schenken Sie ihnen kein blindes Vertrauen.
Wenn diese Attacke Sie davon überzeugt hat, Ihre Passwörter besser zu schützen, zeigt Ihnen der ausführliche Vaultwarden-Guide, wie Sie Ihren eigenen Passwort-Manager selbst hosten.

