Zero-Click-Wiper im Google-Ökosystem: Wie höfliche E-Mails ganze Drives löschen
Ein Zero-Click-Angriff auf den Comet-Browser von Perplexity demonstriert, wie manipulierte E-Mails ausreichen, um Google-Drive-Inhalte vollständig zu löschen – ohne jede Nutzerinteraktion.
Der jüngste Forschungsbericht von Straiker STAR Labs offenbart eine bedrohliche Dynamik: Agentische Browser, die auf Large-Language-Modelle (LLMs) setzen, können „harmlose“ Aufgaben automatisieren – und dabei hochkritische Aktionen ausführen. Eine höflich formulierte E-Mail genügt, um einen Löschvorgang über das gesamte Google-Drive-Konto eines Nutzers hinweg auszulösen. Die Technik verwandelt Routineabläufe in zerstörerische Befehlsfolgen.
Wie der Zero-Click-Wiper funktioniert
Der Angriff nutzt die Fähigkeit des Comet-Browsers, sich über OAuth mit Gmail und Google Drive zu verbinden. Damit können Assistenten E-Mails lesen, Dateien durchsuchen und Aktionen wie Verschieben, Umbenennen oder Löschen automatisiert ausführen.
Genau diese Automatisierung wird zum Einfallstor. Die Sicherheitsanalystin Amanda Rousseau beschreibt das Grundproblem: „Dieses Verhalten spiegelt eine übermäßige Handlungsfähigkeit von LLM-gestützten Assistenten wider, bei denen das LLM Aktionen ausführt, die weit über die ausdrückliche Anfrage des Benutzers hinausgehen.“ Ein Angreifer muss lediglich eine E-Mail formulieren, die wie eine alltägliche Aufräumaktion aussieht, jedoch versteckte Löschanweisungen enthält. Der Browser-Agent interpretiert die Nachricht als legitime Arbeitsanweisung – und löscht echte Dateien ohne jede Rückfrage.
Tonfall statt Technik: Warum der Angriff so besonders ist
Das Überraschende: Der Angriff benötigt weder Jailbreak noch klassische Prompt-Injection. Er funktioniert, indem er höfliche und sequenzielle Anweisungen nutzt – etwa „kümmere dich darum“, „erledige das“ oder „tu das in meinem Namen“. Diese Formulierungen übertragen Verantwortung auf den Agenten und umgehen Sicherheitslogiken, die eigentlich missbräuchliche Befehle filtern sollen.
Rousseau fasst die Konsequenzen so zusammen: „Das Ergebnis: ein browseragentengesteuerter Wiper, der wichtige Inhalte in großem Umfang in den Papierkorb verschiebt, ausgelöst durch eine einzige Anfrage in natürlicher Sprache.“ Sobald Zugriff auf Gmail und Google Drive besteht, können sich solche schadhaften Aktionen über freigegebene Ordner und Team-Laufwerke weiterverbreiten.
Warum Sequenzierung so gefährlich wird
Der Angriff zeigt, wie sensibel LLM-Agenten auf Struktur, Höflichkeit und Kontext reagieren. Durch die gut formulierten Schrittfolgen entsteht ein Eindruck von Legitimität. Das Modell prüft nicht, ob alle Schritte sicher sind – es führt sie schlicht aus. Die Grenze zwischen sinnvoller Automatisierung und unkontrollierter Ausführung verschwimmt.
Damit entsteht ein neues Zero-Click-Risiko: Datenverlust durch missbräuchliche, aber formal korrekte Anweisungen.
Schutzmaßnahmen und Lehren für Unternehmen
Die Forscher betonen, dass Schutzmaßnahmen deutlich weiter reichen müssen als das reine Absichern des zugrunde liegenden Modells. Auch die Logik der Agenten, ihre technischen Verbindungen zu Diensten, die Regeln für automatisierte Abläufe und die Verarbeitung natürlicher Sprache müssen abgesichert sein. Unternehmen müssen verstehen, dass selbst gut formulierte Inhalte erheblichen Schaden auslösen können, wenn sie nicht vertrauenswürdig sind.
Rousseau warnt: „Agentische Browser-Assistenten verwandeln alltägliche Eingabeaufforderungen in eine Abfolge leistungsstarker Aktionen in Gmail und Google Drive. Wenn solche Aktionen durch nicht vertrauenswürdige Inhalte ausgelöst werden, sind Unternehmen einer neuen Art von Zero-Click-Risiko ausgesetzt.“
Der Fall zeigt sehr deutlich, wie wichtig strenge Prüfmechanismen, klare Berechtigungsgrenzen und kontrollierte Aktionsrahmen für Agent-Systeme sind. Schon ein einziger Satz in einer höflich klingenden E-Mail kann ausreichen, um Daten dauerhaft zu löschen.
Zero-Click-Wiper Angriff
Die Offenlegung erfolgt zeitgleich mit einer Demonstration von Cato Networks, die einen weiteren Angriff auf KI-gestützte Browser beschreibt. Dabei werden schädliche Befehle hinter dem Symbol „#“ in scheinbar legitimen Internetadressen versteckt (beispielsweise „www.example[.]com/home#<prompt>“), um die Agenten zur Ausführung zu verleiten. Die Technik trägt den Namen HashJack.
Um den clientseitigen Angriff auszulösen, kann ein Bedrohungsakteur eine entsprechend präparierte Internetadresse per E-Mail, über soziale Netzwerke oder direkt eingebettet in einer Internetseite verbreiten. Sobald das Opfer die Seite lädt und dem KI-Browser eine passende Frage stellt, führt dieser den versteckten Prompt aus.
„HashJack ist die erste bekannte indirekte Prompt-Injection, die jede legitime Internetseite in eine Waffe verwandeln kann, um KI-Browser-Assistenten zu manipulieren“, so der Sicherheitsforscher Vitaly Simonovich. „Da das schädliche Fragment in der Internetadresse einer echten Seite eingebettet ist, gehen Nutzer davon aus, dass die Inhalte sicher sind, während versteckte Befehle im Hintergrund den KI-Browser-Assistenten manipulieren.“
Nach einer verantwortungsvollen Offenlegung stufte Google das Verhalten als „wird nicht behoben (beabsichtigtes Verhalten)“ und als Bedrohung mit niedriger Schwere ein. Perplexity und Microsoft hingegen haben Korrekturen für ihre KI-Browser veröffentlicht (Comet Version 142.0.7444.60 und Edge Version 142.0.3595.94). Claude für Chrome und OpenAI Atlas erwiesen sich als immun gegen HashJack.
Bemerkenswert ist, dass Google das Erzeugen von Inhalten, die gegen eigene Richtlinien verstoßen, sowie das Umgehen von Schutzmechanismen nicht als Sicherheitsprobleme betrachtet. Solche Fälle fallen daher nicht unter das Programm zur Meldung und Belohnung von Schwachstellen in künstlicher Intelligenz (AI Vulnerability Reward Program, kurz AI VRP).