Sicherheit: AI-Browser und Copilot-Schwachstellen

Der von Perplexity vorgestellte Comet-Browser ist quasi eine perfekte Überwachungslösung und verursacht jede Menge Sicherheitsprobleme, Fall von geht gar nicht. Ähnliches gilt für weitere AI-Browser. Sicherheitsforscher haben einen Meermaid-Angriff auf den Microsoft 365 Copilot demonstriert, und bei Microsoft Teams können Angreifer Anmeldetokens abgreifen. Dafür überwachst MS Teams ab Dezember 2025, wer wie lange im Home-Office gearbeitet hat. Ich fasse mal einige Meldungen in einem Sammelbeitrag zusammen.

AI-Browser als Sicherheitsdesaster?

Vorige Woche hat OpenAI ja seinen Atlas KI-Browser für macOS vorgestellt. Die Medien überschlagen sich mit Artikeln über den Angriff von ChatGPT Atlas auf Google Chrome – nachfolgend einige Schlagzeilen der Google-Suche.

Es wird nicht weniger als eine "Revolution" suggeriert und es ist von einem neuen Browser-Krieg die Rede. So ganz spontan ging mir "haben die den Verstand mit dem Hut an der Garderobe abgegeben" bei diesen Schlagzeilen durch den Kopf. Ein Browser, der alles, was Du tust, sieht, überwachst und in ein LLM einspeist? Gut, einem anderen Browser muss ich auch vertrauen, dass die Daten beim Online-Banking sicher sind und auf dem Rechner bleiben. Aber bei einem AI-Browser wandern die Daten per Definition zur Verarbeitung in das Large Language Modell (LLM).

Perplexity Comet-Browser kann Screenshots anfertigen

Von Perplexity gibt es ja den Comet-Browser. Im Beitrag Perplexity Comet Browser Prompt Injection als großes Sicherheitsrisiko hatte ja bereits im August 2025 über die Risiken berichtet.

In obigem Tweet weist Sicherheitsexperte Florian Roth drauf hin, dass der Comet-Browser von Perplexity jetzt auch Screenshots der besuchten Seiten anfertigen und diese analysieren kann. Erinnert sich noch jemand an den Aufschrei, als Microsoft Recall einführte? So etwas ist die perfekte Überwachungsmaschine, und Brave hat es in einer Serie von Tweets aufgedröselt.

• Der KI-Assistent von Perplexity Comet kann Screenshots von Websites erstellen und diese für Benutzer analysieren.
• Der Comet-Browser befolgt jedoch auch Anweisungen, die auf einer Webseite versteckt sind, wenn Screenshots erstellt werden.

Wer halbwegs sicher sein will, sollte einen weiten Bogen um AI-Browser und KI-Assistenten machen und die Berechtigungen zum Zugriff auf Daten begrenzen.

Spoofing von Atlas-, Comet- und weiteren AI-Browsernutzern

Der obige Sicherheitssplitter zum Comet-Browser von Perpexity lässt sich auf weitere AI-Browser ausweiten. Sicherheitsforscher haben gezeigt, welche Risiken bei AI-Browsern vorhanden sind. Dazu haben die Forscher drei realistische Angriffsszenarien erstellt, in denen ein Angreifer ein sogenanntes "AI Sidebar Spoofing" missbrauchen könnte.

Das Ergebnis: Die Browser Atlas von OpenAI und Comet von Perplexity sind anfällig für Angriffe, die die integrierte KI-Sidebar  manipulieren und Benutzer dazu verleiten können, böswillige Anweisungen zu befolgen. Angreifer können die Techniken nutzen, um Kryptowährung zu stehlen, auf die Gmail- und Google Drive-Dienste eines Opfers zuzugreifen und ein Gerät zu kapern. Die Kollegen von Bleeping Computer haben es gerade im Artikel Spoofed AI sidebars can trick Atlas, Comet users into dangerous actions aufgegriffen.

In diesem Kontext ein Hinweis auf den bereits einige Tage alten heise-Beitrag hier, der darauf hinweist, dass LLM-Betreiber umfangreich persönliche Daten sammeln und diese auch weiter geben.

KI-Assistenten auch inhaltlich ein Flop

Nun werden die AI-Browser ja als Revolution gefeiert, die den Leuten das Leben erleichtern. Wer alle Bedenken über Bord wirft und den Verstand mit dem Hut an der Garderobe abgibt, könnte die Werkzeuge nutzen. Zufällig bin ich die Tage bei ArsTechnica auf den Beitrag We let OpenAI's "Agent Mode" surf the web for us—here's what happened gestoßen. Beim Querlesen hatte ich (abseits vom Sinn des Ganzen) nicht das Gefühl, dass die Ergebnisse der Brüller waren. Es wurde irgend etwas von den AI-Agenten gemacht, aber nichts richtig.

The Register hat in diesem Beitrag einen Test der BBC aufgegriffen. Deren Ergebnis: KI-Chatbots verfälschen fast die Hälfte aller  Zusammenfassungen von Nachrichten. Google Gemini soll die schlechtesten Ergebnisse liefern. Und dies, obwohl Zusammenfassungen durch KI doch als der große Wurf, der massiv Zeit erspart, gefeiert wird. Noch Fragen?

Weil es gerade so schön passt, da viele Nutzer wirklich am Verstand zweifeln lassen. Ars Technica hat es in diesem Beitrag aufgegriffen. Es gibt den "Universe Browser", der millionenfach heruntergeladen wird und mit chinesischen Online-Glücksspiel-Websites verknüpft ist. Der Anbieter wirbt damit dass der Browser "Verletzungen ihrer Privatsphäre vermeiden" könne, der schnellste Browser sei und vor "Gefahren schütze".

Nach den neuen Erkenntnissen des Sicherheitsanbieters Infoblox leitet der Browser den gesamten Internetverkehr über Server in China und installiert heimlich mehrere Programme, die unbemerkt im Hintergrund laufen. Laut den Sicherheitsforscher enthalten die "versteckten" Elemente Funktionen, die denen von Malware ähneln – darunter Keylogging, heimliche Verbindungen und die Änderung der Netzwerkverbindungen eines Geräts. Passt doch – versprich etwas und die Leute hüpfen.

Sneaky Mermaid-Angriff auf Copilot zum Datenklau

In Microsoft 365 gab es eine sogenannte Prompt Injection-Schwachstelle, über die Angreifer sensitive Daten abziehen konnten.

Der Angriff war möglich, wenn ein Benutzer Microsoft Copilot auffordert, eine böswillig erstellte Excel-Tabelle zusammenzufassen. Versteckte Anweisungen, die in weißem Text über mehrere Blätter eingebettet sind, verwenden progressive Aufgabenmodifikationen und verschachtelte Befehle, um das Verhalten des Copiloten zu manipulieren. So konnten vertrauliche Daten – auch in E-Mails- abgezogen werden.

Microsoft will diese Schwachstelle inzwischen gepatcht haben. Cyber Security News hat es in diesem Artikel aufgegriffen. The Register geht in diesem Beitrag auf das Thema ein.

Gaming Copilot sendet ungefragt Daten

Bei Golem habe ich in diesem Artikel gelesen, dass der in Windows 11 enthaltene Gaming Copilot ungefragt Spielinhalte aufzeichnet und diese für KI-Trainings an Microsoft übermittelt. Das sei teils standardmäßig eingeschaltet, heißt es. Irgendwo las ich zum Wochenende eine Stellungnahme Microsofts, dass die Daten nicht zum KI-Training sondern nur zur Verbesserung des Diensts genutzt würden.

Phishing mit Copilot-Studio

Die Kollegen von Bleeping Computer gehen in nachfolgendem Tweet und in diesem Beitrag auf eine neue Phishing-Technik namens "CoPhish" ein.

Die Phishing-Technik missbraucht Microsoft Copilot Studio-Agenten, um betrügerische OAuth-Zustimmungsanfragen über legitime und vertrauenswürdige Microsoft-Domains zu versenden. Laut BleepingComputer plant Microsoft, dies in einem zukünftigen Update zu beheben.