KI Neuigkeiten
21 März 2026
Read 9 min
Wie versteckte Befehle für KI Assistenten erkannt werden
Versteckte Befehle für KI Assistenten enthüllen Font/CSS-Lücken und erzwingen Rendering-Prüfungen.
Ein neuer Font-Trick täuscht KI-Schutzfunktionen im Web. Schadcode erscheint im Browser, doch Analyse-Tools sehen nur harmlose HTML-Texte. So entstehen versteckte Befehle für KI Assistenten, die Nutzer in falscher Sicherheit wiegen. Ein Proof-of-Concept von LayerX zeigt, wie Schriftarten und CSS diese Lücke ausnutzen.
Forscher von LayerX belegen mit einem Testaufbau, dass KI-Assistenten Webseiten oft nur als strukturierten Text aus dem DOM prüfen, während der Browser für Menschen eine andere, manipulierte Ansicht rendert. So können Angreifer die sichtbare Bedeutung verändern, ohne den Quellcode scheinbar zu ändern. Solche versteckte Befehle für KI Assistenten führen zu falschen Antworten, riskanten Empfehlungen und Vertrauensverlust.
Wie funktionieren versteckte Befehle für KI Assistenten
Schriftarten als Angriffsfläche
Die Technik nutzt eine benutzerdefinierte Schrift, die Zeichen per Glyphen-Austausch ummappt. Dazu kommt CSS, das harmlosen Text im HTML unsichtbar macht, zum Beispiel durch extrem kleine Schrift oder eine passende Farbe. Der schädliche Befehl liegt im HTML kodiert vor, wirkt für die KI sinnlos, wird aber vom Browser korrekt decodiert und klar angezeigt. Dadurch werden versteckte Befehle für KI Assistenten im Rendering sichtbar, bleiben aber für die maschinelle Prüfung verborgen.DOM vs. gerenderte Ansicht
Die KI sieht die Seite als Textstruktur und liest nur den harmlosen Teil. Der Nutzer sieht die echte, gefährliche Anweisung im Browser. Dieses Auseinanderfallen von DOM und Rendering ist der Kern der Schwachstelle. LayerX beschreibt: Im Rendering-Layer kann ein Angreifer die menschlich sichtbare Bedeutung ändern, ohne das DOM anzupassen.So läuft der Angriff ab
Social Engineering als Zünder
Das Opfer landet auf einer scheinbar seriösen Seite mit einer Belohnung. Die Seite fordert auf, einen Befehl auszuführen, etwa für eine Reverse-Shell. Fragt der Nutzer die KI nach der Sicherheit, gibt sie Entwarnung, weil sie nur den versteckten, harmlosen HTML-Text bewertet.PoC: Bioshock-Easter-Egg
LayerX hat eine Demo-Seite erstellt, die ein Bioshock-Easter-Egg verspricht. Im DOM steht harmloser Inhalt, der für den Menschen verborgen ist. Der gefährliche Befehl ist kodiert, die Schrift remappt ihn beim Rendern zurück und macht ihn lesbar. Die KI ignoriert ihn, weil er im Quelltext nicht als Klartext auftaucht. So erscheinen auf der Seite praktisch versteckte Befehle für KI Assistenten, die den Nutzer täuschen, während die KI nichts Verdächtiges erkennt.Betroffene Tools und Wirksamkeit
Nach Angaben von LayerX funktionierte der Ansatz (Stand Dezember 2025) gegen mehrere populäre Assistenten: ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou und Genspark. Die Tests zeigen, dass das Problem grundlegend ist: KI-Assistenten bewerten die Seite anders als der Mensch sie sieht.Reaktionen der Anbieter
LayerX meldete den Befund am 16. Dezember 2025. Viele Anbieter stuften den Report als „out of scope“ ein, weil Social Engineering nötig ist. Microsoft nahm den Report an, eröffnete einen MSRC-Fall und habe das Problem „vollständig adressiert“. Google stufte den Fall erst hoch ein, senkte die Priorität später und schloss ihn mit dem Hinweis, es entstehe kein „signifikanter Nutzerschaden“ und der Angriff sei „stark von Social Engineering abhängig“.Erkennung und Gegenmaßnahmen
Was Anbieter tun sollten
– Rendering mitprüfen: LLMs sollten die gerenderte Seite und das DOM vergleichen. – Schriftarten als Risiko behandeln: Custom Fonts als potenzielle Angriffsfläche bewerten. – Parser erweitern: Auf Kombinationen wie gleiche Vorder-/Hintergrundfarbe, nahezu transparente Elemente und extrem kleine Schriftgrößen prüfen.Was Nutzer beachten sollten
– KI-Ratschläge nicht blind vertrauen, vor allem bei Befehlen zur Ausführung im System. – Alarmzeichen ernst nehmen: Seiten, die Belohnungen versprechen und Terminal-Befehle einfordern. – Sichtbares und Quelltext-basiertes Urteil unterscheiden: Eine KI kann das Render-Bild übersehen.Warum das wichtig ist
Der Angriff zeigt, dass eine rein textbasierte Analyse von Webseiten nicht reicht. Angreifer trennen menschliche Wahrnehmung und maschinelle Prüfung. Wer sich allein auf Assistenten verlässt, übersieht im Zweifel manipulative Darstellungstricks. Anbieter sollten daher Rendering, Fonts und CSS-Overlay-Techniken systematisch berücksichtigen. Nutzer wiederum sollten misstrauisch bleiben, wenn Webseiten zum Ausführen von Kommandos drängen. Am Ende zählt: Wachsamkeit und bessere Technik gehören zusammen. Wenn Tools DOM und Rendering gegeneinander prüfen, schrumpft die Lücke. Bis dahin gilt, versteckte Befehle für KI Assistenten als reales Risiko einzuordnen und Entscheidungen nicht nur an eine Maschinenmeinung zu knüpfen.For more news: Click Here
FAQ
Q: Was sind versteckte Befehle für KI Assistenten und wie funktionieren sie?
A: Versteckte Befehle für KI Assistenten sind Anweisungen, die im HTML kodiert und für die maschinelle Analyse bedeutungslos erscheinen, aber im Browser für den Nutzer lesbar gerendert werden. Angreifer nutzen dazu benutzerdefinierte Schriftarten und CSS, sodass die KI nur den harmlosen DOM‑Text sieht, während der Nutzer eine gefährliche Anweisung angezeigt bekommt.
Q: Welche Techniken setzen Angreifer ein, um solche Angriffe mit versteckten Befehlen für KI Assistenten umzusetzen?
A: Bei diesen Angriffen werden benutzerdefinierte Fonts mit Glyphen‑Substitution und CSS‑Tricks wie extrem kleine Schriftgrößen, passende Farben oder nahezu transparente Elemente kombiniert, sodass der schädliche Befehl im Rendering sichtbar, aber im DOM unscheinbar bleibt; dies ist eine typische Methode für versteckte Befehle für KI Assistenten. Der Browser decodiert den kodierten Befehl und zeigt ihn dem Nutzer, während das Analyse-Tool nur den harmlosen HTML‑Text sieht.
Q: Warum erkennen KI‑Assistenten die sichtbaren Befehle nicht, obwohl sie für Nutzer angezeigt werden?
A: Weil viele Assistenten Webseiten als strukturierten Text aus dem DOM analysieren und nicht die gerenderte Ansicht prüfen, erscheinen die kodierten Befehle im HTML als sinnloser Text. Diese Trennung von DOM und Rendering ermöglicht genau die versteckten Befehle für KI Assistenten, die dem Nutzer gefährliche Anweisungen anzeigen, ohne dass die KI sie bewertet.
Q: Gegen welche KI‑Assistenten war der LayerX‑PoC erfolgreich?
A: LayerX berichtet, dass der PoC (Stand Dezember 2025) gegen mehrere populäre Assistenten wirksam war. Zu den genannten Systemen zählen ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou und Genspark, was die Gefahr durch versteckte Befehle für KI Assistenten unterstreicht.
Q: Welche Gegenmaßnahmen empfehlen die Forscher, um versteckte Befehle für KI Assistenten zu entdecken?
A: Die Forscher empfehlen, dass LLMs sowohl die gerenderte Seite als auch das textbasierte DOM analysieren und die beiden Ansichten vergleichen, um Inkonsistenzen aufzudecken. Außerdem sollten Anbieter Schriftarten als potenzielle Angriffsfläche betrachten und Parser erweitern, um gleiche Vorder-/Hintergrundfarben, nahezu transparente Elemente und extrem kleine Schriftgrößen zu prüfen.
Q: Wie sollten Nutzer reagieren, wenn eine Webseite zur Ausführung von Systembefehlen auffordert?
A: Nutzer sollten KI‑Ratschlägen nicht blind vertrauen und besonders misstrauisch sein, wenn Webseiten Belohnungen versprechen und zur Ausführung von Terminalbefehlen auffordern. Im Zweifel ist Vorsicht geboten, denn versteckte Befehle für KI Assistenten können die Darstellung manipulieren und zur Ausführung gefährlicher Kommandos verleiten.
Q: Wie reagierten Anbieter auf die Meldung von LayerX und welche Rolle spielte Microsoft?
A: LayerX meldete den Befund am 16. Dezember 2025, viele Anbieter stuften das Problem als „out of scope“ ein, weil Social Engineering beteiligt ist. Microsoft war die Ausnahme, nahm die Meldung an, eröffnete einen MSRC‑Fall und adressierte das Problem laut LayerX vollständig, während Google die Priorität später herunterstufte und den Report schloss, was die Debatte um versteckte Befehle für KI Assistenten weiter befeuert.
Q: Warum ist die Diskrepanz zwischen DOM‑Analyse und Rendering ein ernstes Sicherheitsproblem?
A: Weil Angreifer die menschlich sichtbare Bedeutung einer Seite verändern können, ohne das DOM anzupassen, liefert eine rein textbasierte Analyse falsche Ergebnisse, riskante Empfehlungen oder trügerische Entwarnungen. Diese Lücke ermöglicht versteckte Befehle für KI Assistenten, die Nutzer täuschen und das Vertrauen in Assistenzsysteme erheblich schädigen.
Contents
