Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Ein Klick, der alles verrät: : Wie CometJacking den KI-Browser Perplexity aushebelt : Analysten decken Angriffstechnik auf, die den KI-Browser Comet in ein Werkzeug für Datenklau verwandelt

Ein einziger Klick genügt: Die neue Angriffsmethode „CometJacking“ zeigt, wie Angreifer den KI-Browser Comet von Perplexity über manipulierte Links dazu bringen können, vertrauliche Informationen aus E-Mail-, Kalender- oder Cloud-Diensten zu exfiltrieren. Nicht einmal ein Passwort ist nötig.

Bedrohungen
Lesezeit 3 Min.

Sicherheitsforscher von LayerX haben eine neue Angriffsmethode entdeckt, die zeigt, wie anfällig Browser mit künstlicher Intelligenz sein können. Der Angriff namens CometJacking nutzt scheinbar harmlose Links, um im Hintergrund versteckte Befehle in den Perplexity-Browser Comet einzuschleusen. Diese Befehle bringen den Browser dazu, vertrauliche Daten aus verknüpften Diensten wie Gmail oder Google Calendar automatisch auszulesen und weiterzuleiten.

„CometJacking zeigt, wie eine einzige, präparierte Internetadresse einen KI-Browser von einem vertrauenswürdigen Co-Piloten in eine Insider-Bedrohung verwandeln kann“, erklärt Michelle Levy, Leiterin der Sicherheitsforschung bei LayerX.

Der Angriff im Detail

Das Angriffsszenario ist ebenso raffiniert wie simpel. Über einen manipulierten Link – etwa in einer Phishing-E-Mail oder auf einer präparierten Webseite – wird der Browser dazu gebracht, nicht die eigentlich erwartete Seite zu öffnen, sondern einen versteckten Befehl auszuführen. Der Angriff läuft über fünf Schritte:

  • Ein Opfer klickt auf einen speziell gestalteten Link.
  • Der Link nutzt das Parameterfeld „collection“, um dem Browser eine Anweisung zu geben.
  • Der KI-Assistent innerhalb von Comet greift auf gespeicherte Daten aus E-Mail oder Kalender zu.
  • Die Daten werden mit einfachen Base64-Kodierungstricks verschleiert.
  • Anschließend werden sie an einen Server unter der Kontrolle des Angreifers gesendet.

Damit ist kein Diebstahl von Zugangsdaten nötig. Der Browser verfügt bereits über die Berechtigungen, auf die verknüpften Dienste zuzugreifen – und führt die Anweisung des manipulierten Links im Vertrauen aus.

Umgehung der Sicherheitsmechanismen

Den Analysten zufolge funktioniert der Angriff, weil einfache Verschleierungsverfahren die bestehenden Sicherheitskontrollen aushebeln. Der Browser prüft zwar, ob eine Webseite schädliche Inhalte enthält, schützt jedoch nicht den internen Assistenten: Dieser interpretiert Befehle und greift auf gespeicherte Daten zu, ohne ausreichend abgesichert zu sein.

„Das Problem ist nicht nur der Datendiebstahl, sondern die Übernahme des Assistenten, der bereits die Zugriffsrechte besitzt“, so Levy. „Unsere Untersuchung zeigt, dass schon minimale Verschleierung ausreicht, um Daten aus elektronischer Post, Kalendern und angeschlossenen Diensten mit nur einem Klick abzufangen. Browser mit künstlicher Intelligenz brauchen Sicherheitskonzepte, die auch Eingabeaufforderungen an den Assistenten und Zugriffe auf gespeicherte Daten schützen – nicht nur die sichtbaren Webseiteninhalte.“

Perplexitys Reaktion – und ihre Grenzen

Perplexity selbst stufte die Entdeckung laut LayerX als „nicht sicherheitsrelevant“ ein. Diese Einschätzung sehen die Forscher kritisch: Zwar handelt es sich nicht um eine klassische Schwachstelle im Code, doch die Gefahr liegt in der Art, wie der Browser mit Befehlen und Berechtigungen umgeht.

Das Beispiel verdeutlicht ein strukturelles Problem: KI-native Anwendungen erweitern die Angriffsfläche deutlich. Sie agieren selbstständig, verarbeiten natürliche Sprache und haben Zugriff auf sensible Datenquellen – eine Kombination, die sich leicht missbrauchen lässt.

Ein Déjà-vu mit neuen Mitteln

Bereits im August 2020 hatten Guardio Labs eine ähnliche Angriffstechnik beschrieben: Unter dem Namen Scamlexity zeigten sie, wie KI-Browser durch manipulierte Befehle dazu gebracht werden konnten, unbemerkt mit Phishing-Seiten oder gefälschten Online-Shops zu interagieren.

CometJacking geht nun einen Schritt weiter. Statt den Nutzer nur auf eine schädliche Webseite zu leiten, nutzt der Angriff die KI-Agentenlogik selbst als Einfallstor – und verwandelt den Browser in ein Werkzeug zur Datenexfiltration.

Der Browser als neues Kommandozentrum

„KI-Browser sind das nächste Schlachtfeld im Unternehmensumfeld“, warnt Or Eshed, Geschäftsführer von LayerX. „Wenn ein Angreifer den Assistenten über einen simplen Link steuern kann, wird der Browser zu einem Kommando- und Kontrollpunkt innerhalb des Unternehmensnetzwerks. Organisationen müssen dringend Mechanismen einführen, um bösartige Agenten-Prompts zu erkennen und zu neutralisieren, bevor aus diesen Proof-of-Concepts breit angelegte Kampagnen werden.“

Sicherheit durch Design gefordert

Gefordert ist ein grundsätzliches Umdenken beim Schutz KI-gestützter Anwendungen. Klassische Sicherheitsmechanismen, die lediglich Webseiteninhalte analysieren, greifen hier zu kurz. Notwendig sei ein „Security-by-Design“-Ansatz, der auch den internen Dialog zwischen Benutzer, Browser und KI-Agent absichert.

Dies betrifft insbesondere den Umgang mit Speicherzugriffen, Prompt-Interpretation und die Autorisierung externer Befehle. Nur so lassen sich Szenarien verhindern, in denen ein Browser mit Zugriff auf geschäftskritische Systeme durch eine manipulierte Internetadresse zu einem unfreiwilligen Insider wird.

Fazit

CometJacking ist kein gewöhnlicher Browser-Exploit, sondern ein Warnsignal für eine neue Generation von Angriffen auf KI-gestützte Werkzeuge. Während klassische Schutzmechanismen an der Oberfläche bleiben, zeigt sich hier, dass die eigentliche Gefahr in der tiefen Integration der KI-Assistenten liegt. Sicherheit darf sich künftig nicht mehr nur auf Inhalte beschränken – sie muss den denkenden Kern selbst schützen.

 

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.