Der Kern des von Guardio beschriebenen Angriffs besteht darin, die Neigung von KI-Browsern, ihre Handlungen durchzudenken und zu kommentieren, gegen das Modell selbst zu wenden und so dessen Schutzmechanismen auszuhebeln. “Die KI arbeitet jetzt in Echtzeit, inmitten unübersichtlicher und dynamischer Seiten, während sie fortlaufend Informationen anfragt, Entscheidungen trifft und ihr Handeln kommentiert”, erklärt Shaked Chen. “Kommentieren ist dabei noch untertrieben – sie plappert, und das viel zu viel.”

Nach Chens Worten legt der Browser offen, was er sieht, was seiner Einschätzung nach geschieht, was er als Nächstes plant und welche Signale er für verdächtig oder sicher hält. Genau diese Selbstauskünfte nutzten die Forscher als Trainingssignal. “Wenn man beobachten kann, was der Agent als verdächtig markiert, wo er zögert und vor allem was er denkt und ausplaudert, lässt sich das als Trainingssignal verwenden”, so Chen. “Der Betrug entwickelt sich so lange weiter, bis der KI-Browser zuverlässig in die Falle tappt, die eine andere KI für ihn gestellt hat.”

Die Idee läuft auf eine Art “Betrugsmaschine” hinaus, die eine Phishing-Seite immer wieder optimiert und neu erzeugt, bis der agentische Browser keine Einwände mehr hat und das ausführt, was der Angreifer beabsichtigt – etwa die Eingabe der Zugangsdaten eines Opfers auf einer gefälschten Seite, die für einen Rückerstattungsbetrug gebaut wurde.

Besonders gefährlich ist dabei, dass eine einmal gegen einen bestimmten KI-Browser erfolgreich angepasste Seite gegen alle Nutzer wirkt, die denselben Agenten einsetzen. “Wenn Ihr KI-Browser erklärt, warum er gestoppt hat, bringt er Angreifern bei, wie sie ihn umgehen”, schreibt Guardio. Betrugsmaschen würden künftig nicht mehr nur im laufenden Betrieb angepasst, sondern offline gegen genau das Modell trainiert, auf das sich Millionen verlassen, bis sie beim ersten Kontakt fehlerfrei funktionierten.

Die Untersuchung baut auf früheren Techniken wie VibeScamming und Scamlexity auf, die zeigten, dass sich Vibe-Coding-Plattformen und KI-Browser über versteckte Prompt-Injektionen dazu bringen lassen, Betrugsseiten zu erzeugen oder schädliche Aktionen auszuführen.

Parallel dazu demonstrierte Trail of Bits vier Prompt-Injection-Techniken gegen Comet, mit denen sich private Informationen aus Diensten wie Gmail abgreifen lassen, indem der KI-Assistent des Browsers missbraucht und die Daten an einen Server des Angreifers übertragen werden, sobald der Nutzer eine von Angreifern kontrollierte Seite zusammenfassen lässt. Zenity Labs beschrieb zudem zwei Zero-Click-Angriffe auf Comet, die über indirekte Prompt-Injektionen in Besprechungseinladungen lokale Dateien an einen externen Server ausleiten (PerplexedComet) oder das 1Password-Konto eines Nutzers übernehmen, sofern die Passwortmanager-Erweiterung installiert und entsperrt ist. Diese unter dem Namen PerplexedBrowser zusammengefassten Schwachstellen hat das Unternehmen inzwischen behoben.

Laut Sicherheitsforscher Stav Cohen beruht der Angriff auf einer als “Intent Collision” bezeichneten Technik: Der Agent verschmilzt eine harmlose Nutzeranfrage mit von Angreifern kontrollierten Anweisungen aus nicht vertrauenswürdigen Webdaten zu einem einzigen Ausführungsplan, ohne beide zuverlässig auseinanderhalten zu können.

Prompt-Injection-Angriffe bleiben eine grundlegende Sicherheitsherausforderung für große Sprachmodelle, da sich solche Schwachstellen womöglich nicht vollständig beseitigen lassen. OpenAI merkte im Dezember 2025 an, dass diese Schwächen in agentischen Browsern “wahrscheinlich nie” gänzlich gelöst würden, die Risiken sich aber durch automatisierte Angriffserkennung, adversariales Training und neue Schutzmechanismen auf Systemebene verringern ließen.