CometJacking: Angreifer können den Comet-KI-Browser von Perplexity dazu bringen, Daten zu stehlen

by in Cyberangriffe

Der KI-Assistent im Browser soll dir eigentlich den Arbeits-Alltag erleichtern. Aber, mit nur einem Klick kann er auch zu einer Insider-Bedrohung werden. LayerX deckte kürzlich eine neue Angriffsmethode namens „CometJacking“ auf, die sich gezielt gegen den KI-Browser Comet von Perplexity richtet. CometJacking nutzt URL-Parameter, um dem Comet-KI-Browser von Perplexity versteckte Anweisungen zu übermitteln, die Zugriff auf sensible Daten aus verbundenen Diensten wie E-Mail oder Kalender gewähren.

Wie „CometJacking“ deinen KI-Browser zum Spion macht!

Als Nutzer eines AI-Browsers vertraust du normalerweise darauf, dass dein digitaler Co-Pilot sicher ist. Doch CometJacking beweist, wie leicht diese Sicherheit unterwandert werden kann. Dabei werden allerdings keine Anmeldedaten gestohlen. Angreifer nutzen stattdessen autorisierte Zugriffe eines Browsers auf vernetzte Dienste wie dein Gmail-Konto, dein E-Mail-Programm oder deinen Kalender.

Heimtückisch via Prompt-Injection

CometJacking ist im Kern ein raffinierter Prompt-Injection-Angriff, der folgendermaßen funktioniert:

  1. Der Köder: Du erhältst eine unscheinbare URL – vielleicht in einer Phishing-E-Mail oder versteckt auf einer harmlos wirkenden Webseite.
  2. Der Klick: Du klickst darauf, in der Erwartung, zu einem bestimmten Ziel zu gelangen.
  3. Die Sabotage: Anstatt zur Zielseite zu führen, enthält die URL einen versteckten, bösartigen Befehl für den KI-Assistenten von Comet.
  4. Der Diebstahl: Der Agent wird angewiesen, aus seinem internen Speicher (der Zugriff auf deine E-Mails, Kalender etc. hat) sensible Daten zu erfassen.
  5. Die Tarnung: Die Daten werden mit einer einfachen Base64-Kodierung maskiert und unbemerkt an einen Server der Angreifer gesendet.

Warum traditionelle Abwehrmechanismen versagen

Dieser Angriff ist gefährlich, weil er alle herkömmlichen Sicherheitsvorkehrungen umgeht:

  • Kein Credential-Diebstahl: Der Browser hat die Autorisierung bereits, was die klassische Überwachungen des Anmeldeverkehrs nutzlos macht.
  • Bypass von Export-Checks: Triviales Base64-Encoding reicht aus, um die Datenausleitungs-Kontrollen des Browsers zu täuschen.

Das Gefährliche daran: Der Angriff nutzt den collection-Parameter der URL, um den KI-Agenten zu zwingen, in seinem internen Gedächtnis (dem Speicher deiner verbundenen Dienste) nach Informationen zu suchen, anstatt eine harmlose Websuche durchzuführen.

Auch wenn Perplexity die Befunde als nicht sicherheitsrelevant eingestuft hat, muss dir klar sein: AI- bzw. KI-native Tools bringen völlig neue Sicherheitsrisiken mit sich, die herkömmliche Sicherheitsmaßnahmen einfach umgehen können.

Verantwortung im „Enterprise Battleground“

Wenn ein Angreifer einen KI-Assistenten mit einem Link steuern kann, wird der Browser unweigerlich zu einem Command-and-Control-Center. Als Anwender von KI-Browsern solltest du deshalb besonders wachsam sein. CometJacking und ähnliche frühere Angriffe, wie z. B. Scamlexity, zeigen:

  1. Hinterfrage jeden Link: Du solltest URLs und deren Ziel in KI-Browsern noch kritischer prüfen als zuvor.
  2. Fordere Sicherheit-by-Design: Du musst dich auf Browser verlassen können, bei denen die Sicherheit von Agent-Prompts und dem Speicherzugriff von Grund auf mitgedacht wurde.
  3. Handle jetzt: Die Proof-of-Concepts der Sicherheitsforscher sind nur der Anfang. Organisationen müssen dringend Mechanismen implementieren, um bösartige Agent-Prompts zu erkennen und zu neutralisieren, bevor diese Angriffe zur gängigen Praxis werden.

KI-native Browser stellen eine neue Angriffsfläche dar, die traditionelle Sicherheitskonzepte umgeht. Solange diese Tools nicht von Grund auf mit einem Security-by-Design-Ansatz entwickelt werden – der insbesondere die Steuerung des KI-Agenten und den Zugriff auf seinen internen Speicher absichert – bleibt eine manipulierte URL ein wirksames Command-and-Control-Werkzeug in den Händen von Angreifern.

Ob als Nutzer oder als Unternehmen: Du solltest jetzt handeln und Kontrollen zur Erkennung und Neutralisierung bösartiger Agent-Prompts implementieren. Warte nicht, bis Proof-of-Concepts zu weit verbreiteten sind und schwerwiegende Angriffswellen führen, die deine sensibelsten Unternehmens- und Privatdaten gefährden.

Dein KI-Copilot: Freund oder Insider-Feind?
In diesem Beitrag erfährst du, warum traditionelle Abwehrmechanismen versagen und welche Schritte nötig sind, um deine digitalen Assistenten und deine Daten zu schützen: So schützt du sensible Daten vor Angriffen auf KI-Browser

Wir sind darauf spezialisiert, die strategische Sicherheit deiner KI-Anwendungen zu verbessern. Wir helfen dir, die Kontrollmechanismen zu implementieren, die deine Co-Piloten nicht nur effizient, sondern vor allem vertrauenswürdig und sicher machen.

Nimm jetzt Kontakt auf für eine Analyse deiner KI-Sicherheitsarchitektur:

E-Mail: hallo@teufelswerk.net, Tel. +49 4762 3639555
Signal: @cyberhelden.42, Signal-Link: https://signal.me/#u/cyberhelden.42

Abonniere jetzt unsere Cyber-News!

Alle 4 Wochen erhältst du wertvolle Insights, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.

Newsletter abonnieren

Ähnliche Beiträge

Datensicherheit-Cybersicherheit-BombDatensicherheit-Cybersicherheit-Bomb
Datenleck durch Online-Tools: Vertrauliche Daten von Behörden,...
Was als harmloser Helfer im Entwickleralltag beginnt, kann zum massiven...
>>>
WhatsApp SicherheitWhatsApp Sicherheit
Microsofts Copilot verabschiedet sich von WhatsApp –...
Microsoft zieht die Reißleine: Ab 15. Januar 2026 wird der...
>>>
WhatsAppWhatsApp
HackOnChat: WhatsApp-Hijacking erobert die Welt – Betrüger...
HackOnChat ist eine globale Hijacking-Kampagne, die WhatsApp-Konten übernimmt und sich...
>>>
Tagged with: , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert