AI-Browser werden zur Sicherheitsgefahr
Prompt Injection: Die Achillesferse der KI
Die neuen KI-gestützten Browser sollten das Surfen revolutionieren. Stattdessen schaffen sie eine gefährliche Angriffsfläche: Cyberkriminelle nutzen deren Autonomie für ausgeklügelte Phishing-Attacken, die sogar Zwei-Faktor-Authentifizierung aushebeln können.
Sicherheitsforscher schlagen Alarm. Die intelligenten “agentischen” Browser, die eigentlich Nutzern helfen sollen, lassen sich durch Techniken wie “Prompt Injection” und Interface-Spoofing manipulieren. Das Fatale: Die KI-Assistenten können nicht zwischen echten Nutzeranweisungen und versteckten, bösartigen Befehlen unterscheiden.
Analysen von Sicherheitsunternehmen wie Guardio und Brave zeigen die Dimension des Problems. KI-Browser lassen sich dazu verleiten, betrügerische Websites zu besuchen, automatisch Nutzerdaten einzugeben oder schädliche Dateien herunterzuladen – alles durch unsichtbare Kommandos in Webseiten-Code.
Das größte Sicherheitsloch liegt in der Funktionsweise selbst. Prompt Injection schleust bösartige Anweisungen in Webinhalte ein, die der KI-Browser als legitime Nutzerbefehle interpretiert. Anders als Menschen können die Algorithmen nicht zwischen sichtbarem Content und versteckten, manipulativen Kommandos unterscheiden.
Sicherheitsexperten demonstrierten das Problem an mehreren AI-Browser-Plattformen, darunter OpenAIs ChatGPT Atlas und Perplexitys Comet. Ein gefälschtes CAPTCHA mit verstecktem Prompt brachte einen KI-Browser dazu, einen “AI-Bypass-Button” zu klicken – was einen Malware-Download auslöste.
Die Ironie: Gerade die hilfreiche Natur der KI macht sie so verwundbar. “Prompt Injection ist eine systemische Herausforderung für die gesamte Kategorie KI-gestützter Browser”, warnen Brave-Experten.
Von Passwort-Diebstahl bis OTP-Umgehung
Besonders gefährlich wird es, wenn Kriminelle diese KI-Schwächen mit modernen Phishing-Methoden kombinieren. Manipulierte Browser leiten Nutzer zu “Adversary-in-the-Middle”-Websites – dynamische Proxies, die in Echtzeit zwischen Opfer und echtem Dienst agieren.
Das Perfide System funktioniert so: Der getäuschte KI-Browser führt Nutzer zu einer pixelgenauen Kopie ihrer Bank oder E-Mail-Seite. Während der Nutzer Benutzername und Passwort eingibt, leiten die Angreifer diese Daten parallel an den echten Dienst weiter. Das löst die Zusendung des Einmalpassworts aus.
Gibt der nichtsahnende Nutzer auch diesen Code ein, kapern die Kriminellen die komplette Session. Selbst zeitkritische OTPs werden so wirkungslos – eine dramatische Verschlechterung der Sicherheitslage.
Anzeige: Übrigens: Angriffe treffen nicht nur den PC – auch Smartphones sind ein beliebtes Ziel für Phishing und Datenklau. Viele Android-Nutzer übersehen die 5 wichtigsten Schutzmaßnahmen, die Konten bei WhatsApp, Online‑Banking und PayPal absichern. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps deutlich sicherer machen – inklusive Checklisten und praxiserprobten Einstellungen. Jetzt kostenloses Android‑Sicherheitspaket anfordern
Wenn KI gegen KI kämpft
Diese Angriffswelle zeigt eine beunruhigende Entwicklung: Kriminelle setzen generative KI ein, um grammatikalisch perfekte Phishing-Mails und -Websites in Massen zu produzieren. Gleichzeitig nutzen sie die Schwächen der KI-Browser aus, die darauf programmiert sind, zu vertrauen und zu befolgen.
SquareX Labs demonstrierte kürzlich “AI Sidebar Spoofing” – eine gefälschte, aber visuell identische KI-Seitenleiste. Nutzeranfragen werden an echte KI-Modelle weitergeleitet, aber die Antworten manipuliert. Fragt jemand nach Login-Anweisungen, liefert die falsche Seitenleiste Links zu Phishing-Seiten.
Sicherheitslücke ohne schnelle Lösung
“Prompt Injection bleibt ein ungelöstes Sicherheitsproblem”, räumt OpenAI-Sicherheitschef Dane Stuckey ein. Die Sicherheitsframeworks der neuen Browser seien noch unreif im Vergleich zu etablierten Browsern wie Chrome oder Firefox.
Das Problem: KI-Modelle neigen dazu, zu schnell zu vertrauen und ohne vollständigen Kontext zu handeln. Ein perfekte Lösung ist nicht in Sicht, die Branche steht vor einem neuen Wettrüsten zwischen KI-gestützter Verteidigung und KI-basierten Angriffen.
Experten raten Unternehmen und sicherheitsbewussten Nutzern zu äußerster Vorsicht bei KI-Browsern. Browser-Erweiterungen sollten deaktiviert oder streng überwacht werden. Noch wichtiger: Der Umstieg auf phishing-resistente Authentifizierung wie FIDO2-Hardware-Schlüssel oder Geräte-basierte Passkeys, die sich nicht in Echtzeit abfangen lassen.
Die Grenze zwischen digitalem Assistenten und Gegner hängt künftig allein von der Sicherheit der zugrundeliegenden Systeme ab.
