SchwachstellenPhishingKI-Sicherheit

KI-Browser als Zielscheibe: Forscher hacken Perplexity Comet in vier Minuten

KI-Browser als Zielscheibe: Forscher hacken Perplexity Comet in vier Minuten
Zusammenfassung

Sicherheitsforscher haben demonstriert, wie sich der KI-gestützte Browser „Comet" von Perplexity in weniger als vier Minuten in eine Phishing-Falle locken lässt. Die Angreifer nutzten dabei eine innovative Technik aus, die das ständige „Geplauder" von KI-Agenten ausnutzt – jene Verbalisierungen, in denen die künstliche Intelligenz ihre Gedanken, Bedenken und geplanten Aktionen preisgibt. Durch das Abfangen dieser Kommunikation zwischen Browser und den Backend-Servern konnten Forscher mittels eines Generative Adversarial Networks eine bösartige Webseite so iterativ optimieren, dass Comets KI-Agent alle Sicherheitsalarm-Signale ignorierte und schließlich sensible Nutzerdaten eingab. Dies ist besonders besorgniserregend, da sich perfektionierte Angriffe auf alle Nutzer des gleichen KI-Browser-Modells auswirken – die Zielscheibe verschiebt sich von einzelnen Benutzern zur KI selbst. Für deutsche Unternehmen und Behörden, die zunehmend auf agentenbasierte KI-Browser setzen, offenbaren sich erhebliche Sicherheitsrisiken bei der Automatisierung von Aufgaben über mehrere Webseiten hinweg. Besonders kritisch sind solche Systeme beim Zugriff auf sensible Daten, da eine Kompromittierung der KI einen Massenangriff ermöglicht.

Das Geschäftsmodell autonomer KI-Browser verspricht Effizienz: Die Systeme sollen selbstständig mehrere Websites durchsuchen, Informationen sammeln und komplexe Aufgaben ohne ständige menschliche Überwachung erledigen. Doch genau diese Autonomie wird zur Achillesferse. Sicherheitsforscher Shaked Chen von Guardio bezeichnete das Phänomen treffend als „Agentic Blabbering” – die KI-Browser erzählen buchstäblich, was sie sehen, was sie planen und welche Signale sie für verdächtig oder sicher halten.

Die Angreifer nutzen diese Selbstreflexion gegen das System selbst. Indem sie die “Gedanken” des Browsers abfangen und in ein generatives Adversarial Network (GAN) einspeisen, können sie iterativ Phishing-Seiten optimieren, bis die KI diese nicht mehr als Bedrohung erkennt. Das Ergebnis: Ein perfekt auf das spezifische KI-Modell zugeschnittener Angriff, der zuverlässig funktioniert.

Das macht die Attacke exponentiell gefährlicher als traditionelle Phishing. Ist eine Seite einmal gegen ein bestimmtes Modell optimiert, funktioniert sie bei allen Millionen Nutzern, die denselben Browser verwenden. Das Ziel hat sich verschoben – weg vom Menschen, hin zur Maschine.

Perplexity Comet ist nicht allein betroffen. Trail of Bits demonstrierte bereits vier Prompt-Injection-Techniken, um private Nutzerdaten aus Gmail zu extrahieren. Zenity Labs enthüllte zwei Zero-Click-Angriffe, die über manipulierte Meeting-Einladungen Dateien exfiltrieren oder 1Password-Konten hijacken können – zusammengefasst unter dem Begriff “PerplexedComet”. Das Unternehmen hat diese Lücken inzwischen geschlossen, doch das grundlegende Problem bleibt.

Sicherheitsforscher Stav Cohen beschreibt das Kernproblem als “Intent Collision”: Die KI-Browser mergen gutartige Nutzeranfragen nahtlos mit versteckten Anweisungen aus unsicheren Webseiten zusammen, ohne verlässlich zwischen beiden zu unterscheiden.

OpenAI warnte im Dezember 2025, dass solche Schwachstellen in agentic Browsern wahrscheinlich niemals vollständig zu beheben sind. Die Branche muss dringend neue verteidigungsmechanismen entwickeln – von automatisierter Angriffserkennung bis zu System-Level-Schutzmaßnahmen.

Ähnliche Artikel