Eine von der Sicherheitsfirma LayerX vorgestellte Angriffstechnik zeigt, wie sich Browser‑basierte KI‑Assistenten gezielt täuschen lassen: Schadbefehle werden so auf Webseiten versteckt, dass sie für Menschen klar lesbar sind, von der KI jedoch als harmloser oder sinnloser Text interpretiert werden. Ausgenutzt wird dabei ein systematischer Unterschied zwischen der DOM‑Analyse der KI und der tatsächlichen visuellen Darstellung im Browser.
Neue Angriffstechnik: Versteckte Befehle über Custom Fonts
Im Zentrum des Angriffs steht der Einsatz von Custom Fonts und Glyph Substitution. Im HTML‑Code wird eine Zeichenfolge platziert, die im Rohzustand wie zufälliger Zeichensalat wirkt. Der Angriffsvektor nutzt dann einen eingebundenen, manipulierten Zeichensatz, der die Zuordnung „Zeichencode → sichtbares Zeichen“ umdefiniert.
Während die KI im DOM nur den vermeintlich bedeutungslosen Zeichensalat sieht, rendert der Browser für den Benutzer einen vollständigen, klar verständlichen Befehl – zum Beispiel eine Shell‑ oder PowerShell‑Anweisung. Damit entsteht eine verlässliche Täuschung: Die KI bewertet einen anderen Text als der Mensch tatsächlich angezeigt bekommt.
Technischer Kern: Glyphenersatz und CSS-Tarnung
Parallel zum versteckten Schadcode platzieren die Angreifer eine „legitime“ oder harmlose Version derselben Anweisung im HTML. Diese wird durch gezielte CSS‑Eigenschaften für Menschen praktisch unsichtbar gemacht – etwa durch extrem kleine Schriftgrößen, identische Farben für Text und Hintergrund oder nahezu vollständige Transparenz.
Für den KI‑Assistenten, der nur das DOM und die Styles ausliest, bleibt jedoch genau dieser harmlose Text sichtbar und analysierbar. Der tatsächlich schädliche Befehl ist im DOM zwar vorhanden, erscheint aber aufgrund der Glyphenmanipulation als unverständlicher Zeichensalat und wird oft nicht als relevanter Inhalt eingestuft.
Warum KI und Mensch unterschiedliche Inhalte sehen
Die meisten KI‑Assistenten mit Webintegration arbeiten nicht mit einem Screenshot oder einem „echten“ Renderbild der Seite, sondern mit einer strukturierten Repräsentation: HTML, DOM‑Baum, Attributen und CSS‑Regeln. Die Phase der visuellen Darstellung durch den Browser‑Rendering‑Engine wird meist übersprungen.
Genau diese Lücke macht sich der Angriff zunutze. Laut LayerX entsteht dadurch eine Desynchronisation der Wahrnehmung: Die KI sieht ein sicheres, unkritisches Kommando, der Benutzer hingegen einen tatsächlich gefährlichen Befehl. Fragt ein Anwender den Assistenten, ob eine auf der Seite angezeigte Anweisung sicher sei, bewertet die KI ausschließlich den harmlosen Text und gibt unter Umständen eine fälschlich beruhigende Antwort.
Praxisdemo: Bioshock-Passthrough als Reverse-Shell-Trigger
In einem Proof‑of‑Concept demonstrierten die Forscher eine Seite, die mit einer angeblichen „Bioshock‑Easter‑Egg“ wirbt. Nutzer sollen eine scheinbar harmlose Befehlszeile ausführen, um versteckte Inhalte zu aktivieren. Tatsächlich löst der angezeigte Befehl jedoch eine Reverse Shell aus und öffnet Angreifern einen Fernzugang zum System des Opfers.
Nach Angaben von LayerX stuften gängige KI‑Assistenten – darunter ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity und weitere – die Commandline korrekt als „unbedenklich“ ein, weil sie nur die harmlos gerenderte DOM‑Variante analysierten. Stand Dezember 2025 funktionierte der Angriff laut Bericht gegen die Mehrzahl der populären Assistenten.
Reaktion der Anbieter von KI-Assistenten
LayerX meldete die Schwachstelle am 16. Dezember 2025 an verschiedene KI‑Plattformen. Viele Anbieter klassifizierten den Report als out of scope und argumentierten, dass der Angriff letztlich auf Social Engineering beruhe, da der Nutzer den Befehl manuell ausführen müsse.
Positiv hervorgehoben wird, dass Microsoft den Fall im MSRC (Microsoft Security Response Center) verfolgte und den beschriebenen Angriffsweg nach eigenen Angaben schloss. Google bewertete die Schwachstelle zunächst als hoch priorisiert, stufte sie anschließend jedoch herab und beendete die Bearbeitung mit der Begründung, das Risiko für Endnutzer sei begrenzt.
Sicherheitsimplikationen für Prompt Injection und Data Supply Chain
Der Ansatz von LayerX erweitert den bekannten Bedrohungsrahmen von Prompt‑Injection‑Angriffen und Angriffen auf die Data Supply Chain von KI‑Systemen. Er macht deutlich, dass eine reine DOM‑Analyse für KI‑Assistenten nicht mehr ausreicht, sobald Schriftarten, CSS und Rendering‑Effekte in die Bewertung einbezogen werden müssen.
Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) und Leitlinien von NIST zum sicheren Einsatz von KI unterstreichen seit Jahren, dass der Mensch und sein Vertrauen in „smarte“ Systeme das schwächste Glied in vielen Angriffsketten sind. Die vorliegende Technik verstärkt diese Problematik, indem sie das Vertrauen in KI‑Basisschutzfunktionen gezielt missbraucht.
Empfehlungen für Hersteller und Unternehmen
LayerX empfiehlt KI‑Anbietern, das DOM konsequent mit der gerenderten Ansicht der Seite abzugleichen. Technisch kann dies bedeuten, einen Browser‑ähnlichen Rendering‑Engine zu nutzen, den Text vor und nach Anwendung von Custom Fonts zu vergleichen und auffällige CSS‑Muster zu detektieren – etwa identische Text‑ und Hintergrundfarben, extrem kleine Schriftgrößen, nahezu vollständige Transparenz oder aggressiven Einsatz benutzerdefinierter Schriften.
Organisationen sollten ergänzend klare Richtlinien etablieren: Nutzer sollten keine Befehle aus unbekannten Quellen ausführen, selbst wenn ein KI‑Assistent sie als sicher einstuft. Schulungen zu Social Engineering, der sichere Umgang mit Kommandozeilenbefehlen sowie interne Freigabeprozesse für Skripte und Tools bleiben zentrale Bausteine einer belastbaren Sicherheitsstrategie.
Die gezeigte Angriffstechnik macht deutlich, dass KI‑Assistenten mit Browserzugriff mit derselben Strenge abgesichert werden müssen wie Browser selbst, E‑Mail‑Clients oder Office‑Makros. Entwickler und Unternehmen sind gut beraten, ihre Architektur für Web‑Integrationen frühzeitig zu überprüfen, visuelle Rendering‑Prüfungen zu ergänzen und Fonts sowie CSS explizit als potenzielle Angriffsvektoren zu behandeln. Wer diese Maßnahmen jetzt standardisiert, reduziert das Risiko, dass die nächste vermeintliche „Easter‑Egg‑Seite“ nicht nur für die KI unsichtbar, sondern für den Benutzer hochgefährlich endet.
