Neue Webbrowser mit integrierter Künstlicher Intelligenz versprechen, das Surfen im Internet zu revolutionieren. Sie können Webseiten zusammenfassen, Reisen buchen und E-Mails verfassen. Doch diese Bequemlichkeit hat einen hohen Preis: Eine grundlegende Sicherheitslücke macht sie zu einem potenziellen Risiko für persönliche Daten, wie aktuelle Forschung und reale Angriffe zeigen.
Wichtige Erkenntnisse
- KI-gestützte Browser können Anweisungen von Nutzern nicht von schädlichen Befehlen auf Webseiten unterscheiden.
- Diese Schwachstelle, bekannt als „Prompt Injection“, ermöglicht es Angreifern, den Browser zu kapern und auf private Daten zuzugreifen.
- Reale Demonstrationen haben gezeigt, wie E-Mail-Adressen, Passwörter und andere sensible Informationen gestohlen werden können.
- Experten warnen, dass diese Technologie die seit Jahrzehnten etablierten Sicherheitsprinzipien von Webbrowsern untergräbt.
Die neue Generation der Browser
Unternehmen wie Perplexity, OpenAI und Opera bringen eine neue Art von Browsern auf den Markt, die oft als „agentische Browser“ bezeichnet werden. Im Kern dieser Programme arbeitet ein Sprachmodell (LLM), ähnlich dem, das auch ChatGPT antreibt. Der Browser wird so zu einem persönlichen Assistenten, der komplexe Aufgaben mit einfachen Sprachbefehlen erledigen kann.
Anstatt sich durch mehrere Webseiten zu klicken, kann ein Nutzer beispielsweise den Befehl geben: „Finde ein italienisches Restaurant in meiner Nähe, reserviere einen Tisch für zwei Personen für heute Abend und sende mir eine Bestätigung per E-Mail.“ Der Browser führt diese Schritte selbstständig aus. Diese Funktionalität soll den Umgang mit dem Internet grundlegend vereinfachen.
Was sind agentische Browser?
Agentische Browser nutzen Künstliche Intelligenz, um im Auftrag des Nutzers zu handeln. Sie können Informationen von verschiedenen Webseiten kontextualisieren, mehrstufige Aktionen automatisieren und dabei auf angemeldete Konten wie E-Mail oder Kalender zugreifen. Beispiele hierfür sind Perplexity Comet, OpenAI Atlas und Opera Neon.
Das Kernproblem: Eine fatale Vertrauenslücke
Die größte Schwäche dieser Technologie liegt in ihrer Funktionsweise. Ein Sprachmodell kann nicht zwischen vertrauenswürdigen Anweisungen des Nutzers und potenziell bösartigen Inhalten auf einer Webseite unterscheiden. Für die KI ist alles nur Text, den es zu verarbeiten gilt. Genau hier setzen Angreifer mit einer Methode namens Prompt Injection an.
Bei einem solchen Angriff werden versteckte Befehle im Text einer Webseite, in Kommentaren oder sogar in Bildern platziert. Besucht ein Nutzer mit einem KI-Browser diese Seite und bittet beispielsweise um eine Zusammenfassung, liest die KI auch die versteckten Anweisungen des Angreifers. Sie interpretiert diese als Teil des ursprünglichen Auftrags und führt sie aus.
Dadurch wird die grundlegende Trennung zwischen der Steuerungsebene (Nutzerbefehle) und der Datenebene (Webinhalte) aufgehoben – ein Sicherheitsprinzip, das seit Jahrzehnten die Basis für sicheres Surfen im Internet bildet.
„Wenn Sie in sensiblen Konten wie Ihrer Bank oder Ihrem E-Mail-Anbieter in Ihrem Browser angemeldet sind, könnte das einfache Zusammenfassen eines Reddit-Beitrags dazu führen, dass ein Angreifer Geld oder Ihre privaten Daten stehlen kann.“
Reale Angriffe zeigen die konkrete Gefahr
Dass es sich hierbei nicht um eine theoretische Gefahr handelt, haben Sicherheitsexperten bereits mehrfach demonstriert. Die Angriffe sind oft erschreckend einfach durchzuführen und haben weitreichende Konsequenzen.
Der Reddit-Angriff auf Comet
Forscher des Browser-Herstellers Brave zeigten in einer Demonstration, wie sie den KI-Browser Comet manipulieren konnten. Sie versteckten einen schädlichen Befehl in einem Reddit-Kommentar. Als ein Nutzer den Browser bat, den Reddit-Thread zusammenzufassen, führte die KI die versteckten Anweisungen aus:
- Sie gab die E-Mail-Adresse des Nutzers preis.
- Sie versuchte, sich in das Konto des Nutzers einzuloggen.
- Sie schickte dem Angreifer den zur Anmeldung benötigten Einmal-Code (OTP).
Was ist „CometJacking“?
Sicherheitsforscher von LayerX demonstrierten einen Angriff namens „CometJacking“. Dabei reichte ein Klick auf eine speziell präparierte URL aus, um den Comet-Browser dazu zu bringen, sensible Daten aus früheren Interaktionen des Nutzers zu sammeln und an den Server des Angreifers zu senden. Der Vorgang tarnte sich als normale Web-Navigation.
Datenlecks als direkte Folge
Die Prompt-Injection-Schwachstelle führt direkt zu einem weiteren Problem: Datenlecks. Traditionelle Browser verhindern durch Sicherheitsmechanismen wie die Same-Origin-Policy, dass eine Webseite auf Daten einer anderen zugreifen kann. Ihr Online-Banking ist also von Ihrem Social-Media-Profil isoliert.
Ein KI-Assistent, der Zugriff auf alle geöffneten Tabs und angemeldeten Dienste hat, überbrückt diese Barrieren. Ein Angreifer kann die KI anweisen, Daten aus einem Tab (z.B. E-Mails) zu kopieren und in einem anderen Tab (z.B. ein Kontaktformular auf der Webseite des Angreifers) einzufügen. Persönliche Informationen, Anmeldedaten und Sitzungs-Token können so offengelegt werden.
Selbst Browser-Hersteller wie Opera räumen ein, dass das Risiko einer erfolgreichen Prompt-Injection-Attacke aufgrund der unvorhersehbaren Natur von KI-Modellen „nicht vollständig auf null reduziert werden kann“.
Sicherheit versus Innovation: Ein ungelöstes Dilemma
Die Einführung von agentischen KI-Browsern stellt die Branche vor eine große Herausforderung. Auf der einen Seite steht der enorme Fortschritt in der Benutzerfreundlichkeit. Auf der anderen Seite steht ein fundamental neues Sicherheitsrisiko, für das es noch keine umfassende Lösung gibt.
Einige Unternehmen gehen daher vorsichtig vor. Brave hat beispielsweise die Einführung eigener agentischer Funktionen verzögert, bis robustere Schutzmechanismen entwickelt sind. Andere, wie der Sicherheitssoftware-Anbieter Norton, verzichten bei ihrem Browser bewusst auf solche weitreichenden KI-Funktionen, da ein Datenleck dem Kerngeschäft des Unternehmens schaden würde.
Die aktuelle Situation erinnert an die Anfangszeit des Internets, in der ein falscher Klick ausreichen konnte, um sich Schadsoftware einzufangen. Nutzer sollten sich der Risiken bewusst sein und bei der Verwendung von KI-Browsern Vorsicht walten lassen, insbesondere wenn sie gleichzeitig bei sensiblen Diensten angemeldet sind. Die Bequemlichkeit eines digitalen Assistenten muss sorgfältig gegen die Gefahr abgewogen werden, dass dieser Assistent von Dritten manipuliert werden kann.
