In Chrome arbeitet die Funktion Gemini Live in einem privilegierten Seitenbereich des Browsers (Side Panel). Daraus erhält sie erweiterte Fähigkeiten, etwa Bildschirminhalte auszulesen und mit lokalen Systemressourcen zu interagieren, um komplexe Aufgaben zu erledigen. Viele Browser binden inzwischen agentische KI-Fähigkeiten direkt in das Surferlebnis ein und führen damit mehrstufige Operationen aus, die zuvor nicht möglich waren oder Erweiterungen und manuelle Schritte erforderten.

Mit diesem erweiterten Funktionsumfang und dem privilegierten Zugriff entstehe laut Weizman jedoch eine “neue und vergrößerte Angriffsfläche”, die sowohl Privat- als auch Unternehmensnutzern neue Risiken bringe und Sicherheitsfolgen schaffe, die es in herkömmlichen Browsern nicht gebe.

Die Forscher fanden den Fehler in einer Erweiterung für das Gemini-Seitenpanel, die über die “declarativeNetRequests”-API auf einen einfachen Berechtigungssatz zugreift. Diese API wahrte keine saubere Sicherheitsgrenze und erlaubte Berechtigungen, mit denen ein Angreifer JavaScript-Code in das neue Gemini-Panel hätte einschleusen können.

Die API-Funktion lässt sich auch legitim nutzen – etwa von AdBlock, um Anfragen zu blockieren, die zu datenschutzschädlicher Werbung führen. In einem gewöhnlichen Browser-Tab wäre sie unbedenklich, so Weizman. Erst durch die spezielle Integration von Gemini in den Browser werde die Funktion potenziell gefährlich: Dieselbe Code-Injektion sei möglich, wenn die App im neuen, vertrauenswürdigen und hochprivilegierten Gemini-Seitenbereich geladen werde, in dem Chrome ihr Zugriff auf mächtige Fähigkeiten verschaffe.

Zu diesen Fähigkeiten zählen laut Weizman das Lesen lokaler Dateien, das Anfertigen von Screenshots sowie der Zugriff auf Kamera und Mikrofon. Wer diesen Kontext abfangen könne, hätte sich ebenfalls Zugang zu diesen Möglichkeiten verschafft.

Die Forscher von Palo Alto demonstrierten im Oktober, wie eine gewöhnliche Erweiterung das Gemini-Panel übernehmen und die genannten Aktionen ausführen kann. Google konnte die Bedingungen des Exploits reproduzieren und behob die Schwachstelle dem Bericht zufolge Anfang Januar.

Das Risiko solcher Lücken steige, je stärker KI in das Design von Browsern einfließe, betonen die Forscher. Grund sei der proaktive Charakter der Technik: Ein solcher Browser zeige Inhalte nicht nur an, sondern handle auch auf ihrer Grundlage. Laut Anupam Upadhyaya, Senior Vice President für Produktmanagement bei Palo Alto Networks’ Prisma SASE, können solche Agenten die authentifizierte Browser-Sitzung eines Nutzers erben und privilegierte Aktionen in Unternehmensanwendungen ausführen, darunter Daten ändern oder Arbeitsabläufe auslösen.

Entwickler agentischer Browser müssten Sicherheit deshalb neu denken und nativ verankern – “kontinuierlich und per Richtlinie durchgesetzt, nicht erst nach dem Rollout aufgesetzt”, so Upadhyaya. Sinnvoll sei eine Echtzeitprüfung von Eingaben, KI-Antworten und dargestellten Inhalten direkt im Browser. Traditionelle Netzwerk- und Endpunktkontrollen seien für diese neue Angriffsfläche nie ausgelegt gewesen; Verteidiger sollten den Browser daher zugleich als primäre Angriffsfläche und als mögliche Steuerungsebene behandeln.