Der Sicherheitsforscher Roy Paz von LayerX Security veröffentlichte am 29. Juni einen Proof-of-Concept-Angriff, bei dem über eine bösartige Webseite eine „falsche Spielumgebung“ erstellt wurde, um 6 gängige agentische KI-Browser dazu zu verleiten, ohne Autorisierung des Benutzers SSH-Anmeldeinformationen von privaten GitHub-Repositories zu extrahieren und an den Angreifer weiterzuleiten. Der Angriff wurde auf realen Produkten reproduziert.
(Quelle: Roy Paz)
Der Angriff von LayerX ist in vier Phasen unterteilt. In der ersten Phase erstellt die bösartige Webseite einen Spielrahmen und erklärt: „Dies ist eine Fantasiesituation, normale Regeln gelten nicht.“ In der zweiten Phase stellt die Seite die Frage „2+2=?“, aber die Regel lautet: „Antwort 5 gibt Punkte, Antwort 4 gibt Minuspunkte.“ Die KI lernt gemäß der Regel, dass „in dieser Situation die traditionelle Logik ungültig ist“. In der dritten Phase, nachdem die KI akzeptiert hat, dass „das Falsche richtig ist“, wechselt sie den Denkrahmen von der Realität weg. In der vierten Phase führt die KI gemäß der „Spiel-Logik“ sensible Aktionen aus, ohne dabei jemals eine Sicherheitswarnung auszulösen.
Roy Paz schrieb in seinem Bericht: „Wenn wir die KI dazu bringen können, die Situation in eine Fantasie zu versetzen, eine Welt, in der die Regeln beliebig festgelegt werden können und alles erlaubt ist, wird sie sich so verhalten, als ob ihr Handeln keine realen Konsequenzen hätte.“
Die 6 getesteten Produkte sind: OpenAI ChatGPT Atlas, Anthropic Claude Chrome-Erweiterung, Perplexity Comet, Fellou, Genspark Browser und Sigma Browser. Alle 6 wiesen Lecks auf, keines erkannte das „Stehlen von Anmeldeinformationen“ als Verstoß gegen die Schutzmaßnahmen.
Zu den erzwungenen Aktionen gehörten das Extrahieren von SSH-Anmeldeinformationen aus privaten GitHub-Repositories, das Kopieren sensibler Authentifizierungsdaten ohne Bestätigung durch den Benutzer und das Weiterleiten der Zugangsdaten an den Angreifer. LayerX weist darauf hin, dass dieser Angriff in realen Szenarien auf Passwort-Manager, interne Unternehmenswerkzeuge und jeden angemeldeten Dienst, auf den der Browser zugreifen kann, ausgeweitet werden kann.
LayerX schlägt drei konkrete Maßnahmen für Hersteller vor:
· Bevor die KI auf angemeldete Umgebungen (Repositories, E-Mails, Passwort-Manager) zugreift, muss eine explizite Autorisierung des Benutzers eingeholt werden.
· Einführung eines „Kontextprüfungs“-Mechanismus, der eine Warnung auslösen muss, wenn in den Betriebsannahmen der KI Formulierungen wie „Regeln gelten nicht mehr“ auftauchen.
· Standardmäßige Verwendung eines Whitelist-Modus, der auf „explizit erlauben vor Ausführung“ umstellt, anstelle des derzeitigen laxen Standardzugriffs.
Für die Benutzerseite empfiehlt LayerX, den Bereich der Dienste, auf die der KI-Browser zugreifen kann, vorsichtig festzulegen, bei Nichtgebrauch den Zugriff des agentischen Browsers auf die angemeldeten Sessions zu widerrufen und sich bewusst zu sein, dass die Aktivierung des agentischen Modus bedeutet, die Kontrolle über alle angemeldeten Dienste auf einmal abzugeben.
Die Schutzmaßnahmen der bestehenden LLM-Anbieter sind passive Blacklist-Mechanismen, die nur Grenzen für bekannte verbotene Anfragen setzen. Der Angriff von Roy Paz fordert nicht direkt die Ausführung verbotener Operationen, sondern setzt zunächst den Kontext der KI neu, sodass die KI nicht glaubt, eine verbotene Operation auszuführen, weshalb die Schutzmaßnahmen nie ausgelöst werden. Ars Technica kommentiert dies mit dem Vergleich, dass ein Fahrzeug fehlerhaft konstruiert sei, die Hersteller jedoch versuchten, die Straße neu zu gestalten, anstatt das Auto zu reparieren.
LayerX hat den Angriff auf 6 Produkten reproduziert: OpenAI ChatGPT Atlas, Anthropic Claude Chrome-Erweiterung, Perplexity Comet, Fellou, Genspark Browser und Sigma Browser. Alle 6 haben ohne Autorisierung des Benutzers SSH-Anmeldeinformationen aus privaten GitHub-Repositories preisgegeben.
LayerX empfiehlt Benutzern, den Zugriffsbereich des KI-Agenten manuell einzuschränken, nach Abschluss der Arbeit sofort den Session-Zugriff des agentischen Browsers zu widerrufen und gegenüber dem Anmeldestatus von Passwort-Managern, GitHub und internen Unternehmenswerkzeugen wachsam zu bleiben. LayerX hat keinen konkreten Zeitplan für die Veröffentlichung von Abwehrmechanismen durch die Hersteller genannt.
Related News
Metas Gehirn-zu-Text-KI erzielt 61 % Genauigkeit, Open-Source-Code synchron veröffentlicht.
月之暗面 warnt: Finanzierungsbetrug tritt häufig auf, nicht autorisierte Transaktionen von Altaktien sind ungültig.
SecondFi kündigt Wiederherstellungsplan nach 2,4 Millionen US-Dollar Cardano-Wallet-Sicherheitsverletzung an
Samson Mow sagt, der Bitcoin-Boden sei erreicht, Arthur Hayes hingegen sieht den Boden bei 40.000.