← Alle Depeschen

Forschungneu

„BioShocking“: Forscher überlisten KI-Browser mit einem Spiel und greifen Zugangsdaten ab

Die Sicherheitsfirma LayerX beschrieb am 29. Juni 2026 eine Prompt-Injection-Technik namens „BioShocking“: Eine präparierte Webseite gaukelt dem Steuerungs-Agenten eines KI-Browsers ein Spiel vor, in dem falsche Antworten (etwa 2 + 2 = 5) belohnt werden. Der Agent verlässt daraufhin seine Sicherheitsleitplanken und führt schädliche Aktionen aus – im Proof-of-Concept das Abgreifen von SSH-Zugangsdaten aus einem GitHub-Repository.

LayerX-Forscher (Autor: Roy Paz) veröffentlichten am 29. Juni 2026 einen Proof-of-Concept, in dem eine bösartige Webseite ein „BioShock“-artiges Rätselspiel präsentiert, das gezielt falsche Antworten belohnt (etwa „2 + 2 = 5“). Dadurch lernt der Steuerungs-Agent des KI-Browsers, dass die üblichen Regeln nicht gelten. Im letzten Schritt wird der Agent angewiesen, ein GitHub-Repository zu öffnen und dort liegende sensible Daten – im Test SSH-Zugangsdaten – zu kopieren und weiterzugeben.

Getestet wurden sechs agentische Browser: ChatGPT Atlas (OpenAI), Comet (Perplexity), die Claude-Chrome-Erweiterung (Anthropic), Fellou, Genspark und Sigma. Nach einer verantwortungsvollen Offenlegung ab Herbst 2025 behob nur OpenAI die Schwäche in Atlas wirksam. Anthropic versuchte einen Patch für die Claude-Erweiterung, der dem PoC laut LayerX jedoch nicht standhielt; Perplexity schloss die Meldung ohne Maßnahme; Fellou, Genspark und Sigma reagierten nicht.

Einordnung: Der Kern des Problems ist strukturell – Webseiteninhalt und die eigenen Anweisungen des Nutzers erreichen das Modell als ein einziger Textstrom, sodass eine bösartige Seite Befehle als vermeintliche Spielregeln einschmuggeln kann. Statische Erkennungsmuster greifen bei einer solchen semantischen Rahmung schlecht. Für Nutzerinnen und Nutzer bleibt die praktische Konsequenz, agentischen Browsern keine weitreichenden Zugriffe (Anmeldedaten, Repositories, Konten) ohne Not zu überlassen.