PoC-Studie über einen neuartigen Angriffsvektor, der sich gegen KI-Assistenten richtet

Eine aktuelle Proof-of-Concept-Studie sorgt in der Sicherheits-Community für Aufsehen: Analysten von LayerX haben gezeigt, wie sich moderne KI-Webassistenten mit einem überraschend simplen Trick austricksen lassen – über nichts weiter als Schriftarten und ein wenig CSS.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4 ordnet die Erkenntnisse ein.

Im Zentrum der Untersuchung steht eine grundlegende Schwäche: KI-Systeme „sehen“ Webseiten nicht so wie wir. Während Nutzer im Browser eine visuell aufbereitete Seite mit klaren Texten und Bildern wahrnehmen, analysieren KI-Assistenten lediglich den zugrunde liegenden HTML-Code. Alles, was erst durch Design-Regeln – also CSS und Schriftarten – sichtbar wird, bleibt für sie im Zweifel unsichtbar oder bedeutungslos.

Genau diesen blinden Fleck nutzten die LayerX-Forscher aus.

Sie entwickelten ein Szenario, bei dem eine Webseite im Quelltext völlig harmlos erscheint. Der Trick: Eine versteckte, verschlüsselte Schadbotschaft wird als scheinbar sinnlose Buchstabenfolge eingebettet. Erst durch eine speziell definierte Schriftart verwandelt sich dieses „Kauderwelsch“ im Browser in klar lesbaren, bösartigen Text. Die Schrift fungiert dabei wie ein Schlüssel – eine visuelle Substitutionschiffre, die nur für menschliche Betrachter funktioniert.

Doch damit nicht genug. Mithilfe von CSS wurde der harmlose Originaltext praktisch unsichtbar gemacht – etwa durch extreme Verkleinerung oder farbliche Tarnung. Gleichzeitig wurde der entschlüsselte Schadtext prominent und gut lesbar dargestellt. Für den Nutzer ergibt sich so ein völlig anderes Bild als für die KI.

Das Ergebnis: frappierend eindeutig. In mehreren Tests bewerteten gängige KI-Webassistenten – darunter bekannte Systeme wie ChatGPT, Claude und Gemini – die manipulierten Seiten als unbedenklich. Der Grund: Sie analysierten ausschließlich den harmlosen HTML-Inhalt und ignorierten die visuell entschlüsselte Schadbotschaft komplett. Die Studie zeigt damit eine kritische Lücke: KI-Webassistenten sind derzeit weitgehend blind für Angriffe, die gezielt in die visuelle Darstellungsebene ausgelagert werden. Was für den Menschen offensichtlich ist, existiert für die Maschine schlicht nicht.

Für Nutzer bedeutet das eine klare Botschaft: KI kann unterstützen – aber nicht blind ersetzen. Wer Webseiten auf Risiken prüft, sollte sich nicht allein auf automatisierte Einschätzungen verlassen, sondern weiterhin auf eigenes Urteilsvermögen und aktuelles Sicherheitswissen setzen.

Auch Unternehmen sind gefordert. Klassische Sicherheitsmaßnahmen reichen längst nicht mehr aus, wenn Angriffe zunehmend raffinierter werden. Entscheidend ist vor allem eines: ein geschärftes Bewusstsein bei den Mitarbeitenden. Regelmäßige Trainings, praxisnahe Schulungen und kontinuierliche Sensibilisierung sind unverzichtbar, um mit der Dynamik moderner Bedrohungen Schritt zu halten.

Besonders wirkungsvoll erweisen sich dabei integrierte Ansätze wie Human Risk Management . Sie kombinieren personalisierte Trainings mit modernen, KI-gestützten Abwehrmechanismen und kollektiver Bedrohungsanalyse. Ziel ist es, nicht nur Systeme zu schützen – sondern Menschen selbst zur stärksten Verteidigungslinie zu machen. Denn am Ende zeigt diese Studie vor allem eines: Die größte Schwachstelle – aber auch die größte Chance – liegt nicht in der Technologie, sondern im Menschen, der sie nutzt.