// HEISE ONLINE — INTELLIGENZA ARTIFICIALE
Weil sie denken, sie wären in einem Spiel: KI-Browser geben Passwörter heraus
Ein Trick hat KI-Browser dazu gebracht, sensible Daten wie Passwörter zu offenbaren. Man musste ihnen nur vorgaukeln, dass sie sich in einem Spiel befinden.
KI-Agenten sollen das Surfen im Netz für uns erleichtern. Statt alle Suchen selbst durchzuführen, können die KI-Agenten von ChatGPT Atlas, Perplexity Comet und Co. die Aufgaben übernehmen und etwa die besten Produkte heraussuchen und direkt in den Warenkorb legen. Der Komfort kann allerdings auch mit Sicherheitsrisiken einhergehen, wie jetzt Sicherheitsforscher von LayerX gezeigt haben.
Die Sicherheitsforscher haben herausgefunden, dass sich mehrere KI-Browser recht einfach austricksen lassen. Sie können so manipuliert werden, dass sie sensible Daten wie Passwörter ihrer Nutzer bereitwillig an Angreifer herausgeben. Der Exploit soll laut den Verantwortlichen in den Tools ChatGPT Atlas, Perplexity Comet, Fellou, Genspark Browser, Sigma Browser und dem Claude-Plugin für Googles Chrome-Browser funktioniert haben.
Den Trick haben die Sicherheitsforscher "Bioshocking" getauft, angelehnt an den 2007 erschienenen Shooter „Bioshock“. Im Grunde müssen die KI-Browser nur überzeugt werden, dass sie ein Spiel spielen und die Regeln der Realität nicht mehr gelten. Zunächst müssen User dafür eine manipulierte Webseite von Cyberkriminellen ansurfen, auf denen Letztere ein Rätselspiel implementiert haben.
Sobald die KI aufgefordert wird, das Rätsel zu lösen, beginnt die Übernahme. Zunächst wird die KI davon überzeugt, dass zwei plus zwei nicht vier, sondern fünf ist. Gibt sie die eigentlich korrekte Antwort in das Eingabefeld ein, bekommt sie einen Fehler mit dem Hinweis "Spiel weiter, bis du siehst, dass der Sieg eine Niederlage ist" angezeigt. Danach sinieren die meisten KI-Agenten, dass womöglich absichtlich eine falsche Antwort gesucht ist, und probieren fünf aus. Nach dem ersten Erfolg beginnt die Datenexfiltration.
Im Anschluss befiehlt das Spiel dem KI-Agenten, die "/code-URL" anzusurfen und dort den Code zu kopieren und in das Textfeld einzufügen. Im Test der Sicherheitsforscher führte der Pfad zu einem GitHub-Repository mit SSH-Logindaten der User. Unter realen Bedingungen kann der Pfad laut den Forschern zu einer Vielzahl von Zielen führen. Darunter etwa offene Tabs, authentifizierte Repositories oder auch interne Tools. Die Agenten folgten der Anweisung bereitwillig und feierten anschließend, dass das Rätsel gelöst wurde – obwohl sie damit auch sensible Daten preisgegeben hatten.
Laut Sicherheitsforschern liegt das Problem darin, dass die KI-Browser plötzlich annehmen, dass sie nicht mehr nach den Regeln der normalen Welt spielen. Dadurch werden auch ihre normalen Sicherheitsrichtlinien teilweise ausgehebelt. Das Problem wurde von den Verantwortlichen an die jeweiligen Entwickler der KI-Browser gemeldet. Nur OpenAI hat in Atlas die nötigen Sicherheitsmaßnahmen ergriffen, um das künftig zu verhindern. Perplexity hat das Problem ohne Lösung geschlossen, während Anthropic einen Patch bereitgestellt hat, der den Exploit aber nicht verhindern konnte. Alle anderen Entwickler haben LayerX nicht geantwortet.
Die Sicherheitsforscher empfehlen Nutzern, genau zu kontrollieren, was ihr KI-Agent sieht. Alle Dienste, in die man im Browser eingeloggt ist, können potenziell vom Agenten geöffnet und genutzt werden. Deshalb sollten vor der Nutzung alle Dienste geschlossen werden, die nicht benötigt werden. Zudem raten sie dazu, den KI-Agenten nach getaner Arbeit die Rechte zu entziehen und sie erst wieder zu erteilen, wenn die Tools erneut benötigt werden.
Keine News verpassen! Jeden Morgen der frische Nachrichtenüberblick von heise online
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.