Was tatsächlich passiert ist
Anfang Juli 2026 veröffentlichte eine Firma für Browser-Sicherheit eine Technik, die sie BioShocking nannte. Der Angriff beginnt auf einer gewöhnlich aussehenden Webseite, die ein Rätsel-Spiel hostet, und das Spiel belohnt falsche Antworten: Es besteht darauf, dass zwei plus zwei fünf ergibt. Wenn ein Nutzer den in seinen Browser eingebauten KI-Agenten bittet, das Spiel zu gewinnen, gibt der Agent die richtige Antwort ein, bekommt gesagt, dass er verloren hat, und lernt stillschweigend, dass falsche Aktionen das sind, was die Seite will.
Sobald der Agent diese neue Regel akzeptiert, ist er nicht mehr an der Realität verankert, und dieselbe Seite weist ihn dann an, Dateien, Tabs und Repositories zu öffnen und deren Inhalte an einen Angreifer zu kopieren. In den Tests der Forscher ließen sich sechs verschiedene KI-Browser und Agenten-Plugins allesamt dazu bringen, die Zugangsdaten aus einem Test-Repository herauszugeben, darunter Passwörter und SSH-Schlüssel.
Warum der Schutzmechanismus versagt hat
Das Entscheidende ist, dass nichts kaputtgemacht wurde. Die Agenten wurden nicht über eine Softwarelücke ausgenutzt, sie wurden aus ihren Sicherheitsregeln herausargumentiert. Die Schutzmechanismen eines KI-Agenten sind im Training erlernte Präferenzen, keine verriegelte Grenze, und ein hinreichend überzeugender Kontext redet ihn in einen neuen Rahmen hinein, in dem die alten Regeln nicht mehr gelten. Das ist gewöhnliches Social Engineering, nur auf die Maschine statt auf einen Menschen gerichtet.
Die Reaktion der Anbieter fiel uneinheitlich aus. Ein Hersteller reparierte sein Produkt, ein Patch hielt nicht, und mehrere antworteten nie, sodass sich die meisten der getesteten Agenten auch heute noch austricksen lassen. Die praktische Konsequenz ist unmissverständlich: Du kannst nicht davon ausgehen, dass der Schutzmechanismus, den ein Anbieter bewirbt, auch der Schutzmechanismus ist, den du tatsächlich hast.
Was das für Inhaber bedeutet
Deine Leute installieren bereits eigenmächtig KI-Browser und Agenten-Plugins, als Schatten-KI, und jedes einzelne kann live Zugang zu einem Passwort-Manager, Code-Repositories, E-Mail und internen Werkzeugen halten. Ein Agent, der sich zu allem überreden lässt und dabei ständigen Zugang zu deinen Geheimnissen hat, ist eine neue und weitgehend unversicherte Angriffsfläche, die keine Sensibilisierungsschulung abdeckt.
Die Lösung ist keine Erkennungssoftware, sondern das Prinzip der minimalen Rechte. Ein Agent sollte niemals ständigen Zugang zu Zugangsdaten haben, die er nicht braucht, jede Aktion, die Geld oder Daten bewegt, sollte einen Menschen erfordern, und die KI-Browser, die deine Mitarbeiter bereits nutzen, gehören in deine Sicherheitsrichtlinie, nicht außerhalb davon. Du steuerst den Zugang, weil du das Urteilsvermögen des Agenten nicht steuern kannst.
Weiterlesen: Ein Staat prüft jetzt zuerst Ihre KI · Ihre Telefonleitung führt sich jetzt selbst