Nach Darstellung von LayerX liegt die Ursache des Angriffs darin, dass KI-Browser immer innerhalb eines Kontexts handeln — und genau dieser Kontext manipulierbar ist. Wenn ein Agent überzeugt werde, dass er ein Spiel spiele, wende er Spielregeln an statt Sicherheitslogik aus der realen Welt. Genau darauf zielte der Versuchsaufbau ab.

Im Spiel leitete der Pfad „/code“ nach Angaben von LayerX auf das Arbeits-GitHub-Repository des Arbeitgebers des Opfers weiter. Dort holten die bösartigen Anweisungen sensible SSH-Anmeldedaten ab. Obwohl die Datei in der kontrollierten Testumgebung harmlos war, sehen die Forscher ein Missbrauchspotenzial für reale Szenarien: Die Technik könne einen Agenten an beliebige Stellen innerhalb der Browser-Sitzung lenken, darunter andere Tabs, authentifizierte Repositories oder interne Werkzeuge.

Der kritische Punkt ist aus Sicht von LayerX, dass der KI-Browser die Aktion nicht als schädlich bewertet. Im Szenario gilt das Gewinnen des Spiels als Ziel, auch wenn dafür Zugangsdaten exfiltriert werden. Der Agent feiert damit seinen „Erfolg“, statt die Handlung als Verstoß gegen Schutzmechanismen zu erkennen.

Betroffen waren in den Tests ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser und Claude Chrome. LayerX teilt mit, die Ergebnisse an alle sechs Anbieter gemeldet zu haben. OpenAI habe das Problem behoben. Bei Anthropic sei ein Patch fehlgeschlagen. Perplexity AI habe den Bericht ignoriert. Fellou, Genspark und Sigmabrowser OU hätten nicht reagiert.

Als Gegenmaßnahmen nennen die Forscher mehrere Ansätze für Hersteller. Dazu gehören Bestätigungsabfragen für sensible Vorgänge, Prüfungen des aktuellen Kontexts und eine engere Begrenzung des Aktionsradius von Agenten. Für Nutzer empfiehlt LayerX, zu überprüfen, worauf ihr KI-Browser zugreifen kann, und Berechtigungen nach Ende einer Sitzung wieder zu entziehen.