Brave deckt versteckte Angriffe in KI-Browsern auf

Braves Sicherheitsforscher haben ein beunruhigendes Muster bei KI-gestützten Browsern aufgedeckt, bei dem bösartige Websites die Antworten des Browser-Assistenten durch sorgfältig gestaltete Prompt-Injektionen kapern können. Diese Angriffe funktionieren, indem versteckte Anweisungen in Webinhalte eingebettet werden, die Tools wie OpenAIs Atlas, Perplexitys Comet und Fellou Browser dazu manipulieren, unbefugte Befehle auszuführen, von Datendiebstahl bis hin zur Irreführung von Nutzern mit fabrizierten Informationen. Die Exploits zeigen auf, wie KI-Browser, die entwickelt wurden, um die Webnavigation intelligenter zu machen, tatsächlich völlig neue Angriffsvektoren schaffen, für die traditionelle Sicherheitsmaßnahmen einfach nicht ausgelegt waren.

Systemische Schwachstellen in KI-Browser-Plattformen entdeckt

Die Verbindung von künstlicher Intelligenz und Web-Browsing hat das hervorgebracht, was man wohlwollend als unbeabsichtigtes Hochzeitsgeschenk für Angreifer bezeichnen könnte, da KI-Browser wie OpenAI Atlas, Perplexity Comet und Fellou im Wesentlichen völlig neue Spielplätze für Ausbeutung geschaffen haben, die traditionelle Sicherheitsmaßnahmen nie vorhergesehen haben. Diese Plattformen zeigen plattformübergreifende Schwachstellen, die KI-Ausbeutung bemerkenswert unkompliziert machen, da die Agenten mit den authentifizierten Berechtigungen der Benutzer über mehrere Domains hinweg operieren, während traditionelle Schutzmaßnahmen wie Same-Origin-Richtlinien weitgehend irrelevant werden. Die Integrationsschicht zwischen KI und Browsing schafft unsichtbare Angriffsflächen, wo Inhaltsmanipulation bösartige Aktionen auslösen kann, einfach durch das Laden einer Webseite, ohne dass ein Klick erforderlich ist. Benutzer, die Anmeldedaten aus Mainstream-Browsern importieren, oft ohne die Auswirkungen zu verstehen, erhöhen diese Risiken über eine erweiterte digitale Präsenz hinweg weiter. OpenAIs Sicherheitsteam hat schnelle Reaktionssysteme implementiert, um Angriffe zu erkennen und zu blockieren, sobald sie auftreten, obwohl die grundlegende Herausforderung, zwischen legitimen Benutzerbefehlen und bösartigem Web-Inhalt zu unterscheiden, ungelöst bleibt.

Perplexity Comets bildschirmbasierte Ausbeutungsmethoden

Unter diesen systemischen Schwachstellen stellt Perplexity Comets Screenshot-Funktion vielleicht den elegantesten und doch verheerendsten Angriffsvektor dar, der entdeckt wurde, bei dem genau die Bequemlichkeit, die den Browser attraktiv macht, zu seiner größten Sicherheitsschwachstelle wird. Der Angriff nutzt Screenshot-Verwundbarkeiten durch Steganographie aus, indem er nahezu unsichtbare bösartige Anweisungen in Webinhalte einbettet, die die optische Zeichenerkennung ohne Hinterfragen extrahiert und versteckte Befehle direkt in das KI-System einspeist. Die Forschung des Brave-Sicherheitsteams hat ergeben, dass Benutzerinteraktionen diese bösartigen Extraktionen unbeabsichtigt auslösen können, wodurch routinemäßige Browsing-Aktivitäten zu potenziellen Sicherheitskompromissen werden.

Die Mechanismen der KI-Ausnutzung durch Comet offenbaren drei kritische Fehlerpunkte:

1. Steganographische Texteinbettung mit schwachen Farben, die Menschen übersehen, aber OCR-Systeme gewissenhaft erfassen
2. Völlige Abwesenheit von Eingabebereinigung zwischen Screenshot-Extraktion und KI-Verarbeitung
3. Vertrauensmodell-Kollaps, bei dem die KI bösartige eingeschleuste Inhalte als legitime Benutzeranfragen behandelt

Automatische Inhaltsverarbeitungsschwächen des Fellou-Browsers

Fellou Browser verfolgt einen bemerkenswert anderen Ansatz zur KI-Integration im Vergleich zu Perplexitys Screenshot-Methode, indem es automatisch den kompletten Textinhalt jeder Webseite, die ein Nutzer besucht, direkt in sein KI-System einspeist, ohne jegliche explizite Nutzeranfrage oder Zustimmung. Diese Designentscheidung bedeutet, dass allein das Navigieren zu einer bösartigen Website die KI dazu veranlassen kann, versteckte Anweisungen zu verarbeiten, die im Seiteninhalt eingebettet sind, wodurch Angreifer effektiv die Fähigkeiten der KI kapern können, sobald jemand auf einen Link klickt oder eine URL eingibt. Die Browser-KI arbeitet während dieser automatischen Verarbeitungssitzungen mit vollen Nutzerrechten, wodurch ein Szenario entsteht, in dem das Surfen zur falschen Seite heimlich Bankkonten kompromittieren, E-Mail-Zugang oder andere sensible Dienste gefährden kann, ohne dass der Nutzer jemals erfährt, dass ein Angriff stattgefunden hat. Sicherheitsforscher betonen, dass diese indirekten Prompt-Injection-Angriffe eine grundlegende Herausforderung darstellen, bei der KI-Systeme nicht zuverlässig zwischen legitimen Nutzerbefehlen und bösartigen Anweisungen unterscheiden können, die in Webseiteninhalten versteckt sind.

Stille Navigationsauslöser

Versteckt in scheinbar unschuldigen Webseitentexten warten bösartige Anweisungen darauf, Fellou-Browsers KI-Assistenten zu kapern, sobald ein Nutzer eine kompromittierte Seite besucht, und nutzen dabei einen grundlegenden Fehler aus, wie der Browser automatisch sichtbare Inhalte verarbeitet. Diese stillen Exploits funktionieren ohne jedes Nutzerbewusstsein und verwandeln routinemäßiges Surfen in ein Sicherheitsminenfeld, wo bereits der bloße Besuch einer Seite unerlaubte Aktionen auslöst.

Der Angriffsmechanismus offenbart drei kritische Schwachstellen:

1. Unsichtbare Prompt-Injektionen, die in Webseitentexte eingebettet sind, die Nutzer nicht erkennen können, aber KI-Systeme bereitwillig verarbeiten
2. Automatische Navigationstrigger, die Nutzer ohne ausdrückliche Erlaubnis zu sensiblen Konten wie Banking oder E-Mail weiterleiten
3. Session-Hijacking-Fähigkeiten, die bestehende Login-Daten durch den kompromittierten KI-Assistenten ausnutzen

Anders als traditionelle Phishing-Schemata, die Nutzerinteraktion erfordern, gelingen diese Angriffe durch bloße Navigation und brechen fundamental die Vertrauensbeziehung zwischen Nutzern und ihren KI-gestützten Browsern. Traditionelle Web-Sicherheitsprotokolle wie Same Origin Policy erweisen sich als unzureichend gegen diese raffinierten Prompt-Injection-Techniken, die KI-Assistenten dazu manipulieren, unerlaubte Aktionen durchzuführen.

Autonome Session-Ausnutzung

Jenseits dieser anfänglichen Angriffsvektoren liegt ein grundlegenderer Designfehler, der jeden Webseitenbesuch in eine potenzielle Sicherheitsverletzung verwandelt. Der Fellou-Browser speist automatisch den gesamten Webseiteninhalt ohne Benutzerzustimmung an sein KI-System weiter und schafft damit perfekte Bedingungen für Session-Hijacking durch eingebettete Befehle, die sich als legitime Anweisungen tarnen. Der KI-Assistent, bewaffnet mit vollständigen Benutzerdaten, führt diese bösartigen Prompts pflichtgemäß aus, als kämen sie direkt vom Benutzer, weil es für die Entwickler offenbar zu herausfordernd war, zwischen vertrauenswürdigen Benutzereingaben und zufälligem Webseitentext zu unterscheiden. Diese autonome Verarbeitung läuft ohne Bewusstsein des Benutzers ab, was bedeutet, dass ein einfacher Besuch eines kompromittierten Reddit-Threads unbefugte Banktransaktionen oder Datendiebstahl auslösen könnte, während der Benutzer unschuldig durch Memes scrollt. Diese Schwachstellen stellen eine systemische Herausforderung dar, die mehrere KI-Browser-Implementierungen betrifft und auf grundlegende Sicherheitsmängel in der zugrundeliegenden Architektur von KI-gestützter Browsing-Technologie hinweist.

Technische Aufschlüsselung von Prompt-Injection-Angriffsmechanismen

Angreifer nutzen KI-Browser durch überraschend einfache, aber verheerend effektive Techniken aus, die sich zunutze machen, wie diese Systeme Informationen von Webseiten verarbeiten und interpretieren. Diese Prompt-Techniken zeigen bemerkenswerte Injection-Variabilität, die von unsichtbarem weißen Text auf weißem Hintergrund bis hin zu bösartigen Anweisungen reicht, die in HTML-Kommentaren versteckt sind, die Nutzer nie sehen, aber KI-Systeme pflichtbewusst verarbeiten.

Das technische Arsenal umfasst drei primäre Angriffsvektoren:

1. Versteckte Text-Methoden – Weiß-auf-weiß Text und HTML-Kommentare umgehen menschliche Erkennung
2. Bildbasierte Angriffe – Nahezu unsichtbarer Text, der in Bilder eingebettet ist, umgeht traditionelle Eingabefilterung
3. Verzögerte Tool-Aktivierung – Bösartige Aktionen, die durch spezifische zukünftige Nutzereingaben ausgelöst werden und versteckte Zeitbomben schaffen

Was diese Angriffe besonders heimtückisch macht, ist ihre Ausnutzung der grundlegenden Unfähigkeit von KI-Browsern, zwischen vertrauenswürdigen Nutzerbefehlen und nicht vertrauenswürdigen Webseiteninhalten zu unterscheiden. Das wachsende Risiko wird besonders besorgniserregend, da Nutzer zunehmend KI-Browsern vertrauen mit Zugang zu sensiblen persönlichen Daten in Bank- und Gesundheitsanwendungen.

Erweiterung der Bedrohungsoberfläche über die traditionelle Browser-Sicherheit hinaus

Das grundlegende Problem mit KI-Browsern geht weit über die typischen Sicherheitsbedenken hinaus, die das traditionelle Web-Browsing seit Jahrzehnten plagen, da diese Systeme mit einem Grad an Autonomie arbeiten, der komplexe Aktionen über mehrere Plattformen und Dienste hinweg ausführen kann, ohne für jeden Schritt eine explizite Benutzerbestätigung zu erfordern. Wenn Vertrauensgrenzen zwischen Benutzerabsichten und KI-Interpretationen zusammenbrechen, wird der Browser im Wesentlichen zu einem hochfähigen Agenten, der von böswilligen Akteuren umgeleitet werden kann, um Aufgaben wie das Buchen von Flügen, den Zugriff auf E-Mail-Konten oder das Tätigen von Käufen auszuführen, während der Benutzer völlig ahnungslos bleibt, dass sein digitaler Assistent kompromittiert wurde. Die Ironie liegt darin, dass genau die Funktionen, die das Browsen bequemer und intelligenter machen sollen, auch Angriffsvektoren schaffen, die traditionelle Sicherheitsmaßnahmen, die für passiven Inhaltskonsum und nicht für aktive Entscheidungsfindung entwickelt wurden, einfach nicht bewältigen können. Diese Schwachstellen werden besonders besorgniserregend, wenn KI-Browser wie OpenAIs Atlas Browser-Erinnerungen an besuchte Seiten und Interaktionen aufzeichnen und dabei eine dauerhafte Angriffsfläche schaffen, die böswillige Akteure lange nach der ursprünglichen Kompromittierung ausnutzen können.

KI-Autonomie verstärkt Risiken

Während traditionelle Browser als passive Werkzeuge fungieren, die einfach Webinhalte anzeigen und auf explizite Benutzerbefehle warten, arbeiten KI-gestützte Browser wie OpenAIs ChatGPT Atlas und Perplexitys Comet mit einem grundlegend anderen Ansatz, der ihnen autonome Entscheidungsfähigkeiten verleiht, um komplexe, mehrstufige Aufgaben im Namen der Nutzer auszuführen. Diese Verschiebung vom passiven Werkzeug zum aktiven Agenten verändert die Sicherheitsumgebung grundlegend, da diese Browser nun natürlichsprachliche Anweisungen interpretieren und unabhängige Entscheidungen darüber treffen, welche Aktionen sie ausführen sollen, oft ohne explizite Erlaubnis für jeden Schritt.

Die autonome Natur der KI-Entscheidungsfindung schafft mehrere besorgniserregende Szenarien:

1. Finanztransaktionen, die ohne klare Benutzerzustimmung eingeleitet werden
2. Social-Media-Posts, die aufgrund falsch interpretierter Anweisungen veröffentlicht werden
3. E-Mail-Zugriff und potenzielle Datenexposition während routinemäßiger Aufgaben

Diese Erosion der Benutzerautonomie stellt eine beunruhigende Abkehr von traditionellen Browser-Sicherheitsmodellen dar. Cybersicherheitsexperten betonen, dass Verbraucher sorgfältig den Zugang bewerten müssen, den sie diesen KI-Agenten gewähren, bevor sie ihnen erlauben, sensible Operationen in ihrem Namen durchzuführen.

Vertrauensgrenze-Ausfälle

Jenseits der Erosion der Benutzerkontrolle liegt ein noch fundamentaleres Problem: KI-Browser haben effektiv die Sicherheitsgrenzen aufgelöst, auf die sich traditionelles Web-Browsing seit Jahrzehnten verlassen hat, und schaffen Angriffsflächen, die Sicherheitsforscher erst zu verstehen beginnen. Die Integrationsschicht, wo Browsing auf KI trifft, führt unsichtbare Angriffsvektoren ein, weil KI aktiv Inhalte analysiert und Entscheidungen trifft ohne ordnungsgemäße Vertrauensisolation. Agentische KI-Browser führen benutzerähnliche Entscheidungen mit vollen Berechtigungen aus, etwas das traditionelle Sicherheitsmodelle nie vorhergesehen haben. Indirekte Prompt-Injektionen betten bösartige Befehle in scheinbar harmlosen Inhalt ein, wie weißer Text auf weißem Hintergrund, und lösen schädliche Aktionen ohne Bewusstsein des Benutzers aus. Vertrauensversagen tritt auf, wenn KI externe Inhalte als Teil von Benutzer-Prompts verarbeitet, was Prompt-Manipulation und Kompromittierung sensibler Daten ermöglicht. Diese Schwachstellen ermöglichen täuschende Webseiten, die unterschiedliche Inhalte an KI-Crawler im Vergleich zu menschlichen Benutzern liefern und potenziell KI-Verhalten durch manipulierte Informationen beeinflussen.

Branchenspezifische Minderungsstrategien und Sicherheitsempfehlungen

Organisationen bemühen sich, umfassende Verteidigungsrahmen zu implementieren, da die Realität von KI-Browser-Schwachstellen ein grundlegendes Überdenken traditioneller Sicherheitsansätze erzwingt, wobei Branchenführer nun für mehrschichtige Schutzstrategien eintreten, die KI-Agenten sowohl als wertvolle Werkzeuge als auch als potenzielle Angriffsvektoren behandeln. Die aktuelle Umgebung offenbart eine eigentümliche Ironie, bei der KI-Sicherheitsmaßnahmen, die zum Schutz der Nutzer entwickelt wurden, tatsächlich die Angriffsflächen erweitern, während Browser-Privatsphäre zunehmend kompliziert zu erhalten wird, wenn intelligente Agenten autonom sensible Inhalte lesen und verarbeiten. Die Angriff-Verteidigung-Asymmetrie macht den Schutz besonders herausfordernd, da Angreifer nur eine Schwachstelle ausnutzen müssen, während Verteidiger alle potenziellen Schwächen absichern müssen.

Branchenexperten empfehlen drei kritische Minderungsansätze:

1. Zero-Trust-Berechtigungsarchitekturen – Implementierung strenger Zugangskontrollen mit minimalen notwendigen Privilegien für KI-Agent-Operationen
2. Kontinuierliches KI-Sicherheitslage-Management – Einsatz automatisierter Überwachungssysteme, die Konfigurationsdrift und anomales Verhalten erkennen
3. Echtzeit-Bedrohungserkennungsintegration – Kombination mehrerer Sicherheitsschichten mit transparenten Benutzerbenachrichtigungen über Risiken

Quellenangabe

• https://www.searchenginejournal.com/brave-reveals-systemic-security-issues-in-ai-browsers/558909/
• https://brave.com/blog/comet-prompt-injection/
• https://fortune.com/2025/10/23/cybersecurity-vulnerabilities-openai-chatgpt-atlas-ai-browser-leak-user-data-malware-prompt-injection/
• https://techcrunch.com/2025/10/25/the-glaring-security-risks-with-ai-browser-agents/
• https://futurism.com/artificial-intelligence/researchers-severe-vulnerabilities-ai-browser-comet
• https://brave.com/blog/unseeable-prompt-injections/
• https://brave.com/series/security-privacy-in-agentic-browsing/
• https://brave.com/category/ai-news-features/
• https://simonwillison.net/2025/Oct/21/unseeable-prompt-injections/
• https://cyberscoop.com/openai-atlas-splx-research-cloaking-attacks-browser-agents/