AegisUI erkennt Verhaltensanomalien in UI-Protokollen von KI-Agenten

KI‑Agenten, die in Echtzeit Benutzeroberflächen aus strukturierten Protokolldaten zusammenbauen, werden immer häufiger in Produktionssystemen eingesetzt. Dabei kann ein Payload zwar allen Schema‑Checks entsprechen, dennoch ein versteckter Befehl Schaden anrichten – ein Button mit der Beschriftung „Rechnung anzeigen“ könnte im Hintergrund ein Konto löschen oder ein Widget könnte heimlich auf ein internes Gehaltsfeld zugreifen. Solche Verhaltensanomalien bleiben bei herkömmlichen syntaktischen Prüfungen unentdeckt.

Um diese Lücke zu schließen, hat das Forschungsteam AegisUI entwickelt. Das Framework generiert systematisch strukturierte UI‑Payloads, injiziert realistische Angriffe und extrahiert aus jedem Payload 18 numerische Merkmale, die strukturelle, semantische, Bindungs‑ und Sitzungsaspekte abdecken. Insgesamt wurden 4.000 markierte Payloads – 3.000 harmlos, 1.000 bösartig – über fünf Anwendungsdomänen und fünf Angriffsfamilien (Phishing‑Interfaces, Datenleckage, Layout‑Missbrauch, manipulative UI und Workflow‑Anomalien) erstellt.

Die Leistungsfähigkeit von drei Anomalie‑Detektoren wurde anhand eines 80/20‑Split‑Tests bewertet. Der Random‑Forest‑Classifier erzielte die besten Ergebnisse (Genauigkeit 0,931, Präzision 0,980, Recall 0,740, F1‑Score 0,843, ROC‑AUC 0,952). Der semi‑überwachte Autoencoder folgte mit einem F1‑Score von 0,762 und einer ROC‑AUC von 0,863, ohne dass bösartige Trainingsdaten erforderlich waren – ein entscheidender Vorteil bei neuen Systemen ohne Angriffs‑Historie. Der Isolation‑Forest zeigte die schlechteste Performance.

Die Analyse pro Angriffsart zeigte, dass Layout‑Missbrauch am leichtesten erkannt wird, während manipulative UI‑Angriffe schwieriger zu identifizieren sind. AegisUI demonstriert damit, dass gezielte Feature‑Extraktion und robuste Klassifikatoren die Sicherheit von KI‑gestützten UI‑Systemen signifikant erhöhen können. Die Ergebnisse legen nahe, dass Random‑Forest‑Modelle in produktiven Umgebungen eingesetzt werden sollten, während Autoencoder besonders nützlich sind, wenn keine Angriffsbeispiele vorliegen.