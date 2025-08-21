Anzeige
Gekauft, geklickt, betrogen: KI-Browser im Sicherheitstest durchgefallen

Eine neue Browser-Generation verspricht, uns online lästige Aufgaben abzunehmen. Eine aktuelle Studie zeigt nun: Diese intelligenten Helfer könnten zur größten Gefahr für unsere digitale Sicherheit werden.

Von Dieter Petereit
3 Min.
Gekauft, geklickt, betrogen: KI-Browser im Sicherheitstest durchgefallen

Eine neue Studie offenbart die Risiken, die entstehen, wenn die KI für uns surft. (KI-generiertes Bild: Midjourney / t3n)

Die Vision klingt verlockend: Ein Browser, der nicht nur Informationen anzeigt, sondern als autonomer Agent für uns handelt. Er soll Produkte suchen und kaufen, E-Mails sortieren und beantworten oder Reisen planen. Das Unternehmen Perplexity AI aus San Francisco im US-Bundesstaat Kalifornien bietet mit ihrem Comet-Browser bereits einen solchen Assistenten an. Doch eine Untersuchung des auf Browsersicherheit spezialisierten Unternehmens Guardio aus Tel Aviv in Israel deckt nun eine fundamentale Schwachstelle dieser Technologie auf.

In ihrem Bericht mit dem Titel „Scamlexity“ kommen die Sicherheitsforscher Nati Tal und Shaked Chen zu einem ernüchternden Ergebnis: Die künstliche Intelligenz ist oft weitaus anfälliger für Betrugsversuche als ein menschlicher Nutzer. Die KI wird dabei vom Werkzeug zur Schwachstelle.

Phishing leicht gemacht: Die KI im Praxistest

Um ihre These zu untermauern, führten die Forscher:innen von Guardio drei konkrete Experimente mit dem Comet-Browser von Perplexity durch. Zuerst konfrontierten sie den KI-Agenten mit einem gefälschten Onlineshop, der sich als Walmart ausgab. Der Auftrag an die KI lautete, eine Apple Watch zu kaufen. Trotz offensichtlicher Merkmale einer Fälschung, wie einem verfremdeten Logo und einer inkonsistenten URL, führte der Browser den Kaufvorgang autonom durch und gab dabei hinterlegte Zahlungsdaten preis.

In einem zweiten Szenario testeten sie die Reaktion auf eine klassische Phishing-Mail, die angeblich von der Bank Wells Fargo stammte und einen Link zu einer echten, aktiven Phishing-Seite enthielt. Die KI klickte ohne Warnung auf den Link und half sogar dabei, die Anmeldedaten in die gefälschte Maske einzutragen. Der entscheidende Punkt hierbei ist, wie die Forscher betonen, dass der menschliche Nutzer die verräterischen Anzeichen wie die Absenderadresse oder die verdächtige URL nie zu Gesicht bekommt.

„PromptFix“: Wenn der Betrug direkt mit der KI spricht

Am beunruhigendsten dürfte der dritte Test sein, den Guardio „PromptFix“ nennt. Dabei wurde eine Webseite mit einem versteckten Befehl, einer sogenannten Prompt-Injection, präpariert. Für den Menschen unsichtbar, wies dieser Befehl die KI an, eine Datei herunterzuladen. Der Trick: Der Befehl war in eine Erzählung verpackt, die der KI vorgaukelte, sie würde ihrem Nutzer helfen, ein „KI-freundliches“ CAPTCHA zu lösen. Die KI, deren oberstes Ziel die Erfüllung von Aufgaben ist, folgte der Anweisung.

Dieses Vorgehen demonstriert eine neue Qualität der Bedrohung. Betrüger müssen nicht mehr den Menschen psychologisch manipulieren, sondern können direkt die Handlungsebene der KI ansteuern. Guardio fasst die Gefahr treffend zusammen: „Und wenn Sicherheit vom Zufall abhängt, ist es keine Sicherheit.“

Ein branchenweites Problem

Auch wenn der Test sich auf Perplexity Comet konzentrierte, ist das Problem keineswegs auf diesen einen Anbieter beschränkt. Die Anfälligkeit liegt in der grundlegenden Architektur aktueller Sprachmodelle. Branchengrößen wie Microsoft aus Redmond, Google aus Mountain View und OpenAI aus San Francisco arbeiten mit Hochdruck an eigenen, noch leistungsfähigeren KI-Agenten, die tief in Browser und Betriebssysteme integriert werden sollen.

Die Skalierbarkeit stellt dabei die größte Gefahr dar. Kriminelle müssten nicht mehr Millionen von Nutzer:innen einzeln täuschen. Es würde genügen, die Schwachstelle eines einzigen weitverbreiteten KI-Modells auszunutzen, um potenziell Millionen von Geräten gleichzeitig zu kompromittieren. Wie Engadget bemerkt, stehen wir hier am Anfang einer Entwicklung, die neue Sicherheitsarchitekturen erfordert.

Die Forscher:innen von Guardio plädieren daher dafür, dass Sicherheit von Anfang an in die KI-Modelle integriert werden muss („Security by Design“). Bestehende Schutzmechanismen wie Google Safe Browsing seien für diese neue Art von Bedrohung offensichtlich nicht ausreichend. Für Nutzer:innen bedeutet dies vorerst, bei der Übergabe von Aufgaben an KI-Agenten, insbesondere wenn es um sensible Daten oder Zahlungen geht, äußerste Vorsicht walten zu lassen.

