Perplexity Comet Browser Prompt Injection als großes Sicherheitsrisiko

[English]Nächster Fail aus dem Bereich KI-Agenten. Die Entwickler des Brave-Browser haben eine Schwachstelle im Perplexity Comet Browser  offen gelegt. Per Prompt Injection wäre es möglich, sensitive Informationen aus dem Agenten abzurufen und dem Agenten Anweisungen zu geben, im Namen des Benutzers Fake-Bestellungen auszuführen. Da zieht eine neue Phalanx an Sicherheitsrisiken ein, und von den AI-Anbietern gibt es Null Schutzmaßnahmen dagegen.

AI-Agenten als Stein der Weisen?

AI-Agenten werden ja überall als "Stein der Weisen" gehypt. Die erledigen deine Mails, buchen Flüge, Hotels, Tische in Restaurants und besorgen auch ein Geburtstagsgeschenk für die Frau, falls Mann keine Zeit hat. Aber wie im wahren Leben, wo unlautere Hausangestellte auf eigene Rechnung arbeiten und den Arbeitgeber betrügen, ist die AI auch nicht ohne Fehl und Tadel. Mal ist es die Geschwätzigkeit der AI-Agenten, die von Angreifern ausgenutzt werden kann. Mal sind es Schwächen in den Agenten, die sich von Angreifern missbrauchen lassen.

Agressiver Anbieter Perplexity

Der AI-Anbieter Perplexity fällt einerseits durch aggressives Crawling von Webseiten auf. Ich hatte es hier im Blog nicht thematisiert, aber Perplexity nutzt alle Schweinereien, um Blockaden seines Crawlers durch Webseiten-Direktiven zu umgehen. CloudFlare hatte das in diesem Blog-Beitrag beschrieben.

Perplexity hat zudem den KI-Browser Comet, mit dem Nutzer Aufgaben automatisieren, Fragen stellen, im Internet recherchieren und vieles mehr können sollen. Versprochen wird, dass der die Nutzer Zeit sparen. heise hat sich im Juli 2025 in diesem Artikel über den auf Chromium basierenden Browser, der die Perpexity-Suchmaschine benutzt, ausgelassen.

Und dann war da noch der Marketing-Stunt, den Google Chrome-Browser zu kaufen (siehe Perplexity will den Google Chrome Browser für 34,5 Milliarden Dollar kaufen). Ich würde es mal in Badischer Art so beschreiben: Perplexity ist eher kein (sym)badisches, sondern eher ein unsym(p)badisches Unternehmen.

Aber Perplexity lässt sich gegen andere Anbieter wie OpenAI, Google etc. und deren AI-Bots bzw. Agenten austauschen. Da lauern potentiell die gleichen Risiken.

AI-Agent bestellt Fake-Sachen über Comet-Browser

KI-Agenten, die im Internet surfen und Aufgaben in eines Nutzers ausführen können, haben zwar ein unglaubliches Potenzial, bringen aber auch neue Sicherheitsrisiken mit sich. Die Entwickler des Brave-Browsers sind kürzlich auf eine besorgniserregende Schwachstelle im Comet-Browser von Perplexity gestoßen. Diese gefährdet die Konten der Nutzer und andere sensible Daten.

Ich bin über nachfolgenden Tweet bzw. einen Link auf Techmeme auf den Beitrag Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet mit den Details gestoßen, den die Browser-Entwickler von Brave bereits zum 20. August 2025 veröffentlicht haben.

So in Kurzfassung: Der Comet-Browser kann Websites für Benutzer zusammenfassen (mir hatte Perplexity.ai in seiner Suchmaschine schon mal halluzinierend angedichtet, dass ich verstorben sei, und ich jetzt aus dem Jenseits blogge, das Teil hat sich aber wieder gefangen und behauptet jetzt das Gegenteil).

Aber es gibt in Verbindung mit dem Comet-Browser und seinen Agenten ein gravierendes Problem grundsätzlicher Natur: Bei der Verarbeitung der Inhalte einer Website kann Comet die Inhalte der Website nicht von legitimen Anweisungen des Benutzers unterscheiden.

Das bedeutet, dass der Browser Befehle ausführen kann, die von einem Angreifer auf der Website versteckt wurden. Diese bösartigen Anweisungen können weißer Text auf weißem Hintergrund oder HTML-Kommentare sein. Oder es kann sich um einen Social-Media-Beitrag handeln.

Das Problem ist länger bekannt, beispielsweise, dass Dokumente aus wissenschaftlichen Arbeiten unsichtbare AI-Prompts enthalten, die AI-Modelle und Bots anweisen, diese zu pushen und positiv zu rezensieren heise hatte dies im Juli 2025 hier thematisiert). Aber es geht noch böswilliger: Wenn der AI-Teil des Comet-Browers die Befehle beim Zusammenfassen sieht, führt es diese aus, auch wenn sie dem Benutzer schaden könnten. Dies wird als indirekte Prompt-Injection bezeichnet.

Beispiel für einen indirekten Prompt-Injection-Angriff

Die Brave Sicherheitsexperten haben ein realistisches Szenario für einen Angriff per indirektem Prompt-Injection-Angriff skizziert.

• Ein Comet-Benutzer lässt sich einen Reddit-Thread anzeigen, wobei im Kommentar versteckte Anweisungen enthalten sind.
• Bittet der Benutzer den Comet-Browser um eine Zusammenfassung des Threads, befolgt der AI-Agent im Browser die böswilligen Anweisungen, um beispielsweise die Perplexity-Anmeldedaten des Benutzers zu finden und sie an den Angreifer zu senden.

Dieser Angriff zeigt die Risiken auf, die mit KI-Agenten verbunden sind, die mit vollständiger Benutzerauthentifizierung über mehrere Websites hinweg arbeiten. Dieser Plot lässt sich natürlich ausweiten oder variieren.

Wenn der AI-Agent plötzlich was bestellt

Denkt man den Plot weiter, sollen AI-Agenten ja selbstständig für ihre Benutzer Aufgaben ausführen und zum Beispiel eine Reise buchen. Können AI-Agenten auch dazu gebracht werden, beim Besuch einer gefährlichen Webseite willkürlich Bestellungen auszulösen?

Die Kollegen von Bleeping-Computer haben in diesem Beitrag genau dieses Szenario aufgegriffen und eine Studie von Gardio thematisiert. In der Studie We Put Agentic AI Browsers to the Test – They Clicked, They Paid, They Failed haben sich die Sicherheitsforscher von Gardio Labs AI-Agenten (unter anderem den Comet-Browser) vorgenommen und das Missbrauchspotential untersucht.

Das erschreckende Ergebnis: Die AI-Agenten ließen sich über versteckte Anweisungen auf Fake-Seiten dazu bringen, Bestellungen auszuführen (z.B. eine Apple Watch auf einer Fake-Seite zu bestellen) oder sonstige Aktionen des Angreifers im Namen des Benutzers auszuführen.

Fehlende Sicherheitsfunktionen öffnen die Büchse der Pandora

Möglich ist dies, weil die LLMs und AI-Agenten ohne wirkliche Sicherheitsfunktionen auf die Leute (nützliche Idioten verkneife ich mir hier) losgelassen werden. Wenn ich dann sehe, wie die Branche, Microsoft voran, diese Funktionen der Nutzerschaft zwangsweise überstülpt, braucht es nicht viel Phantasie, sich die Folgen auszumalen.

Es heißt von Brave, dass neue Sicherheitsmaßnahmen erforderlich seien, um das agentenbasierte Surfen sicher zu machen. Ich halte das für weiße Salbe: Im Hase-Igel-Rennen wird eine neue Strecke eröffnet, wo der Anwender definitiv verloren geht. Die AI-Leute werden ihre vermeintlichen Killer AI-Bots und Agenten unters Volk bringen. Die Sicherheitsbranche wird neues Schlangenöl wie geschnitten Brot verkaufen. Und die Cyberkriminellen reiben sich die Hände. Der Nutzer bleibt wie so oft bei diesem Handel auf der Strecke, ist aber sein Geld für die AI-Produkte, das Schlangenöl, sowie im Rahmen der kriminellen Aktivitäten los – einfach eine Win-Win-Situation, außer für einen.

Guardio betonte gegenüber Bleeping Computer, dass ihre Tests nur an der Oberfläche der Sicherheitsprobleme kratzen, die durch das Aufkommen von agentenbasierten KI-Browsern entstehen. Die Sicherheitsforscher gehen davon aus, das neue Bedrohungen die üblichen menschenzentrierten Angriffsmodelle ersetzen dürften.

Bleeping Computer zitiert Guardio mit "Im Zeitalter von KI gegen KI müssen Betrüger nicht mehr Millionen von Menschen täuschen, sondern nur noch ein KI-Modell knacken. Sobald ihnen das gelingt, kann derselbe Exploit endlos skaliert werden. Und da sie Zugriff auf dieselben Modelle haben, können sie ihre bösartige KI gegen die KI des Opfers ‚trainieren', bis der Betrug einwandfrei funktioniert."

Aber was weiß ich als Hinterwäldler schon von der Welt, sind doch immer nur die gleichen rantenden Köpfe, die sich diesem Fortschritt verweigern. Halt ewig Gestrige, die das Potential nicht erkennen wollen …