SchwachstellenHackerangriffeKI-Sicherheit

Schriftarten-Trick: Wie Hacker KI-Assistenten täuschen und Nutzer in Malware-Fallen locken

Schriftarten-Trick: Wie Hacker KI-Assistenten täuschen und Nutzer in Malware-Fallen locken
Zusammenfassung

Sicherheitsforscher haben einen neuen Angriffsvektor entdeckt, der künstliche Intelligenz systematisch täuschen kann: Mithilfe spezieller Schriftarten und CSS-Manipulationen lassen sich Befehle vor KI-Assistenten verbergen, während sie für menschliche Nutzer auf der Webseite sichtbar bleiben. Das Unternehmen LayerX demonstrierte ein funktionierendes Konzept, bei dem die HTML-Struktur einer Seite für KI-Systeme harmlos wirkt, während im Browser Malware-Befehle angezeigt werden. Tests zeigten, dass beliebte Systeme wie ChatGPT, Claude und Gemini die versteckten Anweisungen nicht erkannten und Nutzern fälschlicherweise Sicherheit vorgaukelten. Für deutsche Nutzer und Unternehmen birgt dies erhebliche Risiken: Arbeitgeber können nicht länger unbesehen auf die Sicherheitsanalyse von KI-Assistenten vertrauen, wenn diese bei der Überprüfung verdächtiger Webseiteninhalte versagen. Gleichzeitig werden Verbraucher anfälliger für Social-Engineering-Attacken, wenn sie sich zu sehr auf KI-gestützte Sicherheitsratschläge verlassen. Behörden und Unternehmen sollten ihre Cybersecurity-Policies überdenken und KI-Tools nicht als primäre Sicherheitsinstanz einsetzen, sondern nur als ergänzende Maßnahme einsetzen.

Die Angriffsmethode funktioniert nach einem eleganten, aber gefährlichen Prinzip: Während ein Browser eine Webseite visuell darstellt, analysiert eine KI nur den zugrundeliegenden HTML-Code als strukturierten Text. Genau in dieser Lücke zwischen Darstellung und Code-Analyse setzt der neue Angriff an.

LayerX-Forscher nutzen dabei sogenannte Glyph-Substitution – das ist die Umzuordnung von Zeichen auf verschiedene visuelle Darstellungen. Kombiniert mit CSS-Tricks wie winzigen Schriftgrößen oder gezielten Farbwechseln, können Angreifer zwei völlig unterschiedliche Inhalte auf einer Seite zeigen: Für die KI erscheint harmloser Text im HTML, für den Nutzer dagegen wird ein bösartiger Befehl sichtbar – etwa eine Anweisung für einen Reverse-Shell-Zugriff auf den Computer.

Als Proof-of-Concept erstellten die Forscher eine Webseite, die Spielern eines Bioshock-Easter-Eggs versprach. Das HTML enthielt versteckte, harmlose Texte – doch die KI-Assistenten, die den Code analysierten, gaben Entwarnung. Nutzer, die den visuellen Anweisungen folgten, führten letztlich Malware aus.

Die Tests offenbarten ein erschreckendes Ausmaß: ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity und weitere Systeme fielen auf diesen Trick herein. Alle wurden erfolgreich im Dezember 2025 getestet. Das Problem liegt in der grundsätzlichen Architektur dieser Systeme – sie analysieren Text, nicht visuelle Rendering-Prozesse.

Das Bemerkenswerte: LayerX meldete die Sicherheitslücke verantwortungsvoll an die betroffenen Hersteller, doch die Reaktion war enttäuschend. Nur Microsoft nahm das Problem ernst und eskalierte es intern (MSRC). Google akzeptierte die Meldung zunächst, downgradiete sie dann aber mit der Begründung, dass der Angriff zu stark auf Social Engineering angewiesen sei und keinen “signifikanten Schaden” verursachen könne – eine fragwürdige Einschätzung angesichts möglicher Malware-Infektionen.

Experten empfehlen Nutzern grundsätzlich: KI-Assistenten sollten nicht als alleinige Sicherheitsinstanz vertraut werden. LayerX schlägt vor, dass LLM-Anbieter künftig sowohl die gerenderte Seite als auch den Text-DOM analysieren und vergleichen sollten. Zudem sollten Schriftarten als potenzielle Angriffsfläche behandelt werden, und Parser sollten auf verdächtige Farbkombinationen, Transparenzen und ungewöhnliche Schriftgrößen überprüft werden.

Die Entdeckung zeigt: Mit jeder neuen Sicherheitslösung entstehen auch neue Schwachstellen. KI-Systeme sind keine magische Lösung – sie brauchen selbst Schutz.

Ähnliche Artikel