Der Kern des Angriffs liegt in der unterschiedlichen Wahrnehmung von Mensch und Maschine: Ein KI-Assistent wertet eine Webseite als strukturierten Text aus, während der Browser sie in eine visuelle Darstellung übersetzt. “Innerhalb dieser Darstellungsebene können Angreifer die für Menschen sichtbare Bedeutung einer Seite verändern, ohne das zugrunde liegende DOM anzutasten”, erklären die Forscher von LayerX. Diese Diskrepanz zwischen dem, was der Assistent sieht, und dem, was der Nutzer sieht, führe laut dem Bericht zu falschen Antworten, gefährlichen Empfehlungen und untergrabenem Vertrauen.

Für ihren Machbarkeitsnachweis erstellten die Forscher eine Beispielseite, die ein Easter Egg für das Videospiel Bioshock verspricht, sofern der Nutzer den Anweisungen auf dem Bildschirm folgt. Tatsächlich soll das Opfer dabei einen Befehl ausführen, der eine Reverse Shell auf dem Rechner öffnet. Im HTML-Code steckt einerseits harmloser Text, der dem Nutzer verborgen, für die KI aber sichtbar ist, und andererseits der gefährliche Befehl, der von der KI ignoriert wird, weil er kodiert ist – über die manipulierte Schriftart aber für den Menschen erscheint.

Bittet das Opfer den KI-Assistenten um Einschätzung, ob die Anweisungen sicher seien, erhält es eine beruhigende Antwort: Die Software interpretiert nur den harmlosen Teil der Seite und kann die eigentliche Gefahr nicht erkennen.

Nach Angaben von LayerX war die Technik mit Stand Dezember 2025 gegen mehrere populäre KI-Assistenten erfolgreich, darunter ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou und Genspark.

LayerX meldete die Erkenntnisse am 16. Dezember 2025 an die Anbieter der betroffenen KI-Assistenten. Die meisten stuften das Problem jedoch als außerhalb ihres Zuständigkeitsbereichs ein, da es Social Engineering voraussetze. Microsoft war der einzige Anbieter, der die Meldung annahm, ein Datum für die vollständige Offenlegung anfragte und einen Fall im MSRC eröffnete; laut LayerX hat Microsoft das Problem “vollständig behoben”. Google nahm die Meldung zunächst mit hoher Priorität an, stufte sie später jedoch herab und schloss den Fall mit der Begründung, der Angriff könne keinen “erheblichen Schaden für Nutzer” anrichten und sei “zu stark von Social Engineering abhängig”.

Als allgemeine Empfehlung gilt, KI-Assistenten nicht blind zu vertrauen, da ihnen für bestimmte Angriffsarten Schutzmechanismen fehlen können. LayerX schlägt vor, dass ein Sprachmodell sowohl die gerenderte Seite als auch das reine Text-DOM analysiert und beide vergleicht, um die Sicherheitslage besser einschätzen zu können. Den Anbietern raten die Forscher zudem, Schriftarten als mögliche Angriffsfläche zu behandeln und ihre Parser so zu erweitern, dass sie auf übereinstimmende Vorder- und Hintergrundfarben, nahezu vollständige Transparenz und sehr kleine Schriftgrößen prüfen.