KI-Browser- und Copilot-Schwachstellen Borns IT- und Windows-Blog

Der von Perplexity vorgestellte Comet-Browser ist im Grunde eine perfekte Überwachungslösung und verursacht viele Sicherheitsprobleme, in diesem Fall funktioniert er überhaupt nicht. Das Gleiche gilt für andere KI-Browser. Sicherheitsforscher haben den Mermaid-Angriff auf Microsoft 365 Copilot demonstriert, der es Angreifern ermöglicht, Anmeldetokens von Microsoft Teams zu stehlen. Ab Dezember 2025 erfasst MS Teams, wer wie lange von zu Hause aus gearbeitet hat. Einige der Berichte werde ich in einem Sammelartikel zusammenfassen.

KI-Browser als Sicherheitskatastrophe?

Letzte Woche stellte OpenAI seinen Atlas AI-Browser für macOS vor. Die Medien sind voll von Artikeln über den ChatGPT-Atlas-Angriff auf Google Chrome – hier sind einige Schlagzeilen aus einer Google-Suche.

„Revolution“ wird nur angedeutet und von einem neuen Browserkrieg ist die Rede. Als ich diese Schlagzeilen hörte, dachte ich mir: „Haben sie ihren Hut in der Umkleidekabine auf dem Kopf gelassen“? Ein Browser, der alles, was Sie tun, sieht, überwacht und in ein LLM einspeist? Nun, ich muss mich auch auf einen anderen Browser verlassen, um sicherzustellen, dass meine Online-Banking-Daten sicher sind und auf meinem Computer bleiben. Bei einem KI-Crawler werden die Daten jedoch per Definition zur Verarbeitung in das Large Language Model (LLM) eingespeist.

Perplexity Comet Browser kann Screenshots machen

Perplexity hat den Comet-Browser. Im Artikel Perplexity Comet Browser Prompt Injection als großes Sicherheitsrisiko haben wir bereits im August 2025 über die Risiken berichtet.

Im obigen Tweet weist Sicherheitsexperte Florian Roth darauf hin, dass der Comet-Browser von Perplexity nun auch Screenshots der von Ihnen besuchten Seiten erstellen und analysieren kann. Erinnert sich jemand an den Aufschrei, als Microsoft Recall einführte? So etwas ist die perfekte Überwachungsmaschine, und Brave hat es in einer Reihe von Tweets deutlich gemacht.

• Der KI-Assistent von Perplexity Comet kann Screenshots von Websites erstellen und Benutzer können diese analysieren.
• Allerdings befolgt Comet Browser beim Erstellen von Screenshots auch Anweisungen, die auf einer Webseite verborgen sind.

Wenn Sie einigermaßen sicher sein möchten, sollten Sie KI-Browsern und KI-Assistenten umfangreiche Optionen bieten und deren Datenzugriffsberechtigungen einschränken.

Spoofing von Atlas-, Comet- und anderen KI-Browserbenutzern

Der obige Sicherheitssplitter für den Comet-Browser von Perpexity kann auf andere KI-Browser erweitert werden. Sicherheitsforscher haben die Gefahren von KI-Browsern aufgezeigt. Dazu erstellten die Forscher drei realistische Angriffsszenarien, bei denen ein Angreifer das sogenannte „AI Sidebar Spoofing“ missbrauchen könnte.

Das Ergebnis: Die Browser Atlas von OpenAI und Comet von Perplexity sind anfällig für Angriffe, die die integrierte KI-Seitenleiste manipulieren und Benutzer dazu verleiten können, böswillige Anweisungen zu befolgen. Angreifer können die Techniken nutzen, um Kryptowährungen zu stehlen, auf die Gmail- und Google Drive-Dienste eines Opfers zuzugreifen und ein Gerät zu kapern. Die Kollegen von Bleeping Computer haben sich kürzlich mit dem Thema „Gefälschte KI-Seitenleisten“ beschäftigt, die Atlas- und Comet-Benutzer zu riskanten Aktionen verleiten können.

In diesem Zusammenhang sei hier auf den bereits ein paar Tage alten Heise-Artikel verwiesen, in dem es heißt, dass LLM-Betreiber umfangreiche personenbezogene Daten erheben und übermitteln.

Auch inhaltlich sind die KI-Assistenten ein Flop

Jetzt werden KI-Browser als Revolution gefeiert, die das Leben der Menschen einfacher macht. Wer alle Sorgen über Bord wirft und seinen Verstand mit Hut in der Garderobe lässt, kann Werkzeuge gebrauchen. Durch Zufall bin ich auf den Artikel „Wir lassen den „Agent-Modus“ von OpenAI mit uns navigieren“ gestoßen; Hier ist, was bei ArsTechnica passiert ist. Als ich es las, hatte ich (abgesehen vom Sinn des Ganzen) kein Gefühl dafür, dass Ergebnisse erzielt werden würden. Die KI-Agenten haben etwas getan, aber nichts war richtig.

The Register hat einen BBC-Test zu diesem Artikel durchgeführt. Das Ergebnis: KI-Chatbots verfälschen fast die Hälfte aller Nachrichtenzusammenfassungen. Google Gemini scheint die schlechtesten Ergebnisse zu liefern. Und das, obwohl Zusammenfassungen mithilfe von KI sehr erfolgreich sind und viel Zeit sparen. Sie haben noch Fragen?

Dies ist sehr angemessen, da viele Benutzer ihre eigene geistige Gesundheit in Frage stellen. Ars Technica hat es in diesem Beitrag behandelt. Es gibt den „Universe Browser“, der millionenfach heruntergeladen wird und mit chinesischen Online-Gaming-Websites verlinkt ist. Der Anbieter wirbt damit, dass der Browser „Verletzungen Ihrer Privatsphäre verhindern“ könne, der schnellste Browser sei und „Sie vor Risiken schützt“.

Nach neuen Erkenntnissen des Sicherheitsanbieters Infoblox leitet der Browser den gesamten Internetverkehr über Server in China und installiert heimlich verschiedene Programme, die unbemerkt im Hintergrund laufen. Laut Sicherheitsforschern verfügen die „Stealth“-Elemente über Malware-ähnliche Funktionen, darunter Keylogging, versteckte Verbindungen und das Ändern der Netzwerkverbindungen eines Geräts. Das ist in Ordnung – versprich etwas und die Leute werden aufspringen.

Schurkensirene greift Copilot an, um Daten zu stehlen

In Microsoft 365 bestand eine Instant-Injection-Schwachstelle, die es Angreifern ermöglichte, vertrauliche Daten zu exfiltrieren.

Der Angriff wurde ermöglicht, als ein Benutzer Microsoft Copilot aufforderte, eine in böser Absicht erstellte Excel-Tabelle zusammenzufassen. Versteckte Anweisungen, die auf mehreren Seiten in weißen Text eingebettet sind, nutzen fortschreitende Aufgabenänderungen und verschachtelte Befehle, um das Verhalten des Co-Piloten zu manipulieren. Dadurch konnten vertrauliche Daten extrahiert werden – auch in E-Mails.

Microsoft gibt an, die Schwachstelle inzwischen gepatcht zu haben. Cyber ​​​​​​Security News hat dies in diesem Artikel behandelt. Die Registry geht in diesem Artikel auf das Problem ein.

Gaming Copilot sendet Daten ungefragt

Zu Golem habe ich in diesem Artikel gelesen, dass der in Windows 11 enthaltene Gaming Copilot Spielinhalte ungefragt aufzeichnet und zum KI-Training an Microsoft sendet. Manchmal wird davon ausgegangen, dass dies standardmäßig aktiviert ist. Irgendwo am Wochenende las ich eine Aussage von Microsoft, dass die Daten nicht für das KI-Training, sondern nur zur Verbesserung des Dienstes verwendet würden.

Phishing mit Copilot-Studio

Unsere Kollegen von Bleeping Computer diskutieren im folgenden Tweet und Artikel über eine neue Phishing-Technik namens „CoPhish“.

Die Phishing-Technik nutzt Microsoft Copilot Studio-Agenten aus, um betrügerische OAuth-Autorisierungsanfragen über legitime und vertrauenswürdige Microsoft-Domänen zu senden. Laut BleepingComputer plant Microsoft, das Problem in einem zukünftigen Update zu beheben.