Die Tech-Welt ist begeistert von einer neuen Generation von Browsern. Tools wie der von Perplexity oder der neue ChatGPT Atlas von OpenAI versprechen, unser Surferlebnis zu revolutionieren. Sie agieren nicht mehr nur als passive Anzeigetools, sondern als proaktive, „agentische“ Assistenten, die Webseiten zusammenfassen, Aktionen ausführen und tief in unsere Arbeitsabläufe integriert werden können.

Doch bei aller Euphorie übersehen viele ein grundlegendes Sicherheitsproblem, das so neu ist wie die Technologie selbst. Aus diesem Grund haben wir uns entschieden, diese neuen KI-Browser vorerst nicht zu installieren und raten insbesondere im Unternehmensumfeld zur Vorsicht. Der Grund hat einen Namen: Indirect Prompt Injection.

Was ist eine „Indirect Prompt Injection“?

Vergessen Sie komplexen Schadcode oder Viren. Bei einer „Indirect Prompt Injection“ wird die Künstliche Intelligenz selbst zum Einfallstor. Der Angriff erfolgt nicht durch das Ausnutzen einer technischen Schwachstelle im herkömmlichen Sinne, sondern durch die Manipulation der Anweisungen (Prompts), die die KI aus für sie vertrauenswürdigen, aber von Dritten kontrollierten Quellen verarbeitet.

Man kann es sich wie Phishing 2.0 auf Autopilot vorstellen. Statt einen Nutzer dazu zu verleiten, auf einen Link zu klicken und seine Daten manuell einzugeben, wird die KI direkt und für den Nutzer unsichtbar dazu gebracht, schädliche Aktionen auszuführen. Diese Angriffe werden auch als „Man-in-the-Prompt“-Attacken bezeichnet, da sich der Angreifer zwischen die Absicht des Nutzers und die Ausführung durch die KI schaltet.

„CometJacking“: Ein Weckruf mit technischen Details

Forscher des Browser-Herstellers Brave haben diese Gefahr kürzlich eindrucksvoll demonstriert. [1][2] Bei ihren Untersuchungen tauften sie eine spezifische Angriffsmethode „CometJacking“, benannt nach Perplexity’s KI-Browser Comet. [3]

Die Sicherheitsforscher zeigten, wie einfach es ist, einen KI-Browser zu kompromittieren. Dabei nutzten sie verschiedene Vektoren:

• Versteckte Anweisungen im Webseiten-Inhalt: Bösartige Prompts wurden direkt im HTML-Code von Webseiten platziert. Diese Anweisungen können für den menschlichen Betrachter völlig unsichtbar sein – versteckt in winzigen Schriftgrößen, unsichtbarem Markup oder durch CSS verborgenen Elementen. Wenn die KI eine solche Seite analysiert, führt sie die versteckten Befehle aus. [4]
• Angriff über URL-Parameter: Eine noch direktere Methode, die von Sicherheitsforschern bei LayerX aufgedeckt wurde, nutzt manipulierte Links. [5] Ein Angreifer kann einen Link erstellen, der einen schädlichen Prompt direkt im URL-Parameter (`collection`) enthält. [6] Klickt der Nutzer darauf, weist der Prompt den KI-Agenten an, nicht das Web zu durchsuchen, sondern auf seinen internen Speicher oder verbundene Dienste wie Google Mail zuzugreifen, die Daten zu entwenden und an einen vom Angreifer kontrollierten Server zu senden. [7]

Die Folgen sind alarmierend und konkret nachgewiesen. Die Forscher konnten den KI-Browser dazu bringen:

• Private Daten zu exfiltrieren, wie z.B. Inhalte aus E-Mails oder Kalendereinträgen. [8]
• Sensible Daten wie Anmeldeinformationen aus dem Gedächtnis des Agenten auszulesen.
• Daten zu kodieren (z.B. mit Base64), um Sicherheitsmechanismen zur Erkennung von Datenlecks zu umgehen, und diese dann unbemerkt zu versenden. [7]

OpenAI’s Atlas: Die Gefahr wird Mainstream

Was im Rahmen einer Forschungsstudie mit Perplexity’s Comet aufgedeckt wurde, ist kein isoliertes Problem. Es ist eine systemische Herausforderung für die gesamte Kategorie der KI-gestützten Browser. Mit dem neuen ChatGPT Atlas bringt OpenAI eine ähnliche Funktionalität nun potenziell zu Millionen von Nutzern.

Bezeichnenderweise warnt sogar OpenAI in seinen eigenen Versionshinweisen eindringlich: „Do not use Atlas for regulated or production data.“ Diese Warnung ist keine leere Floskel, sondern das Eingeständnis, dass selbst die Entwickler das aktuelle Risiko kennen. Die Technologie ist noch nicht reif für den Einsatz in Umgebungen, in denen sensible oder geschäftskritische Daten verarbeitet werden.

Eine neue Ära der Cybersicherheit: Schutz der KI vor dem Kontext

Wir treten in eine neue Ära der IT-Sicherheit ein. Bisher war es die primäre Aufgabe des Browsers, den Nutzer vor bösartigen Webseiten zu schützen. Jetzt muss der Browser zusätzlich die KI vor bösartigen Anweisungen schützen, die aus dem Kontext dieser Webseiten stammen.

Die Bedrohung verlagert sich von der reinen Code-Ausführung (Exploits) zur Kontext-Manipulation. Es geht nicht mehr nur darum, ob ein Programm schädlich ist, sondern ob die Absicht eines KI-Agenten durch irreführende Informationen manipuliert werden kann. Ein einziger erfolgreicher Prompt-Injection-Angriff könnte ausreichen, um ganze Unternehmenssysteme zu kompromittieren, sobald KI-Agenten beginnen, Finanzen, Workflows und Transaktionen autonom zu verwalten.

Unser Fazit: Potenzial ja, aber noch nicht sicher genug

Agentische KI-Browser sind ohne Zweifel ein faszinierender Blick in die Zukunft des Internets. Ihr Potenzial, komplexe Aufgaben zu automatisieren, ist enorm. Aus professioneller Sicherheitssicht ist diese Zukunft jedoch noch nicht da.

Solange es keine robusten und standardisierten Mechanismen gibt, die eine KI davor schützen, bösartige, versteckte Anweisungen auszuführen, sind diese Tools ein unkalkulierbares Risiko. Die Angriffsfläche ist zu groß und die potenziellen Schäden sind zu hoch.

Wir werden die Entwicklung genau beobachten, aber vorerst bleiben wir bei bewährten und sicheren Lösungen und raten jedem Unternehmen, dasselbe zu tun.

---

Quellen

1. Brave: „Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet“ (20. August 2025)
2. Red-Team News: „CometJacking: How Indirect Prompt Injection Compromised Perplexity’s AI Browser“
3. The Hacker News: „CometJacking: One Click Can Turn Perplexity’s Comet AI Browser Into a Data Thief“ (4. Oktober 2025)
4. Red-Team News: „CometJacking: How Indirect Prompt Injection Compromised Perplexity’s AI Browser“
5. LayerX: „CometJacking: How One Click Can Turn Perplexity’s Comet AI Browser Against You“ (4. Oktober 2025)
6. BleepingComputer: „CommetJacking attack tricks Comet browser into stealing emails“ (3. Oktober 2025)
7. LayerX: „CometJacking: How One Click Can Turn Perplexity’s Comet AI Browser Against You“ (4. Oktober 2025)
8. The Hacker News: „CometJacking: One Click Can Turn Perplexity’s Comet AI Browser Into a Data Thief“ (4. Oktober 2025)