CometJacking: Wenn KI-Browser zur kritischen Sicherheitslücke werden

Der Launch trotz bekannter Risiken

Am 21. Oktober 2025 geschah etwas Bemerkenswertes: OpenAI veröffentlichte seinen agentischen Browser ChatGPT Atlas für macOS – obwohl das Unternehmen öffentlich einräumte, dass Prompt-Injection ein „ungelöstes Sicherheitsproblem an der Forschungsgrenze“ bleibt. Nur zwei Tage später kündigte Microsoft, Hauptinvestor von OpenAI, einen nahezu identischen KI-Browser an. Zwei der mächtigsten Tech-Konzerne brachten innerhalb von 48 Stunden Produkte mit bekannten fundamentalen Sicherheitslücken auf den Markt. Denn vom bereits länger veröffentlichten vergleichbar funktionierenden Agentic Browser „Comet“ von Perplexity, ist das hohe Sicherheitsrisiko bekannt, ohne Lösung bisher. (Comet ist aus meiner Sicht eigentlich extrem „cool“ und zeigt, was inzwischen möglich ist. Ich benutze ihn aber nicht mehr für agentische Aufgaben mit Zugang zu kritischen Arbeitsbereichen. Faustregel: alles was ein Passwort braucht, ist tabu.)

Die Reaktion der Sicherheits-Community war unmittelbar und deutlich. Nur wenige Stunden nach dem Atlas-Launch demonstrierten Forscher erfolgreich Prompt-Injection-Angriffe. Der KI-Sicherheitsforscher P1njc70r zeigte, wie er ChatGPT durch versteckte Anweisungen in einem Google Doc manipulieren konnte. Entwickler CJ Zafir deinstallierte Atlas nach eigenen Tests sofort wieder mit der Begründung: „Prompt-Injections sind real“.

Diese Entscheidung, Produkte mit fundamentalen Sicherheitslücken zu veröffentlichen, ist keine Ausnahme, sondern ein Muster. Bereits seit August 2025 dokumentieren unabhängige Sicherheitsforscher schwerwiegende Schwachstellen in Perplexitys Comet-Browser – dem bis dahin bekanntesten agentischen Browser mit geschätzt 4-6 Millionen Nutzern. Die Antwort von Perplexity auf diese Meldungen war problematisch: Sicherheitsberichte wurden als „nicht anwendbar“ zurückgewiesen, Fixes blieben unvollständig.

Was wir erleben, ist der Launch einer neuen Browser-Kategorie unter Bedingungen, die Bruce Schneier, einer der weltweit führenden Sicherheitsexperten, so beschreibt: „Es ist ein existenzielles Problem, bei bem, soweit ich sagen kann, die meisten Menschen, die diese Technologien entwickeln, einfach so tun, als gäbe es es nicht“.

Um zu verstehen, warum diese Entwicklung so besorgniserregend ist, müssen wir einen Schritt zurückgehen und uns anschauen, was agentische Browser überhaupt sind – und warum sie so fundamental anders und gefährlicher sind als alles, was wir bisher im Browser kannten.

Was sind agentische Browser überhaupt?

Bevor wir in die Sicherheitsprobleme eintauchen, sollten wir verstehen, was diese Browser so fundamental anders macht.

Ein herkömmlicher Browser wie Chrome oder Firefox ist im Kern ein Anzeigeprogramm. Er lädt Webseiten, stellt sie dar, wartet auf Ihre Klicks. Sie sind der Akteur, der Browser ist das Werkzeug.

Ein agentischer Browser dreht diese Beziehung um. Er ist mit einem Large Language Model (LLM) – etwa GPT-4, Claude oder Gemini – ausgestattet und kann autonom handeln. Sie sagen ihm in natürlicher Sprache, was Sie wollen, und er führt es aus: Formulare ausfüllen, zwischen Websites navigieren, E-Mails verfassen, Termine buchen, Preise vergleichen.

Der Browser wird vom passiven Werkzeug zum aktiven Assistenten – einem „Agenten“, der stellvertretend für Sie handelt.

Die Akteure im Markt

Der Markt entwickelt sich rasant. Zu den bekanntesten agentischen Browsern gehören:

Comet von Perplexity: Der prominenteste Vertreter, kostenlos verfügbar seit Oktober 2025, mit geschätzt 4-6 Millionen Nutzern. Comet basiert auf Chromium und kann Webseiten zusammenfassen, automatisiert einkaufen und mit verbundenen Diensten wie Gmail oder Google Calendar interagieren.

ChatGPT Atlas (früher Operator) von OpenAI: Im Januar 2025 für Pro-Nutzer eingeführt, nutzt ein spezielles Modell, das über Screenshots und Maus-/Tastatureingaben mit grafischen Oberflächen interagieren kann – allerdings nur in einer isolierten Cloud-Umgebung.

Fellou: Ein Browser mit Fokus auf komplexe Workflows, der im Hintergrund weiterarbeiten kann, während Sie normal weiterbrowsen.

Opera Neon: Operas experimenteller Ansatz mit verschiedenen Modi für unterschiedliche Automatisierungsstufen.

Chrome mit Gemini: Google hat seit Oktober 2025 still Gemini-Integration für geschätzt 3 Milliarden Android-Nutzer ausgerollt.

Diese Browser repräsentieren eine fundamentale Verschiebung: vom menschenzentrierten Web, in dem wir aktiv navigieren, zum „agentischen Web“, in dem KI-Assistenten stellvertretend für uns handeln.

Die Brave-Studie: Versteckte Befehle übernehmen die Kontrolle

Im August 2025 veröffentlichte das Sicherheitsteam von Brave Software eine detaillierte Analyse des Perplexity Comet Browsers. Die Forscher Artem Chaikin und Shivan Kaul Sahib demonstrierten, wie versteckte Anweisungen auf Webseiten die Browser-KI zu nicht autorisierten Aktionen bringen können – ein klassischer Fall von „indirekter Prompt-Injection“.

Wie der Angriff funktioniert

Die Schwachstelle liegt in der Art, wie Comet Webinhalte verarbeitet. Wenn Sie den Browser bitten, eine Seite zusammenzufassen, übergibt er den Seiteninhalt direkt an sein KI-Modell – ohne dabei zwischen Ihren Anweisungen und potenziell schädlichem Web-Content zu unterscheiden.

Ein Angreifer kann bösartige Befehle in Webinhalte einbetten – etwa als weißen Text auf weißem Hintergrund (für Sie unsichtbar, aber von der KI lesbar), in HTML-Kommentaren, hinter „Spoiler“-Tags auf Reddit oder in versteckten Meta-Tags. Wenn die KI diese Inhalte verarbeitet, behandelt sie alles als potenzielle Nutzeranweisung.

Der Reddit-Proof-of-Concept

In ihrer Demonstration zeigten die Brave-Forscher einen besonders beunruhigenden Angriff über einen Reddit-Post. Ein Nutzer besucht einen Thread, in dem ein Kommentar hinter einem „Spoiler“-Tag versteckte Befehle enthält. Wenn der Nutzer auf „Seite zusammenfassen“ klickt, liest der Comet-Assistent diese Befehle und führt sie aus – völlig automatisch.

Die Anweisungen in der Demonstration befahlen dem Assistenten:

1. Zur Perplexity-Account-Seite zu navigieren und die E-Mail-Adresse zu extrahieren
2. Zu einer manipulierten Domain zu navigieren und ein Einmal-Passwort anzufordern
3. Zu Gmail zu navigieren und das empfangene Passwort auszulesen
4. Beide Informationen durch Antworten auf den Reddit-Kommentar zu exfiltrieren

Mit dieser Kombination könnte der Angreifer das Perplexity-Konto komplett übernehmen. Der gesamte Angriff erfolgt automatisiert – ohne jegliche weitere Nutzerinteraktion.

Warum traditionelle Sicherheitsmechanismen versagen

Das Beunruhigende: Dieser Angriff umgeht praktisch alle etablierten Web-Sicherheitskonzepte. Wenn ein KI-Assistent bösartigen Anweisungen aus Web-Content folgt, werden Schutzmechanismen wie Same-Origin-Policy oder Cross-Origin Resource Sharing nutzlos. Die KI operiert mit Ihren vollen Berechtigungen über alle authentifizierten Sessions hinweg – Banking-Konten, E-Mails, Cloud-Speicher, Unternehmens-Systeme.

Anders als traditionelle Web-Schwachstellen ermöglicht dieser Angriff Cross-Domain-Zugriff durch einfache, natürlichsprachliche Anweisungen. Die bösartigen Befehle können sogar in Inhalte eingefügt werden, die der Angreifer nicht selbst kontrolliert – etwa in Reddit-Kommentaren.

Perplexitys problematische Reaktion

Brave meldete die Schwachstelle am 25. Juli 2025 an Perplexity. Am 27. Juli bestätigte Perplexity das Problem und implementierte einen Fix. Doch beim erneuten Testen stellte sich heraus, dass der Fix unvollständig war. Am 13. August schien die Schwachstelle gepatcht. Nach der öffentlichen Veröffentlichung am 20. August musste Brave jedoch ein Update hinzufügen: Bei weiteren Tests war die Angriffsart immer noch nicht vollständig mitigiert.

Dieser mehrfache Fehlschlag unterstreicht ein fundamentales Problem: Prompt-Injection ist kein einfacher Bug, der mit einem Patch behoben werden kann, sondern ein systemisches Sicherheitsproblem der zugrunde liegenden LLM-Technologie.

Im Oktober 2025 publizierte Brave neue Angriffsvektoren – diesmal Prompt-Injection über Screenshots, die Comet verarbeitet. Die Forscher demonstrierten „Unseeable Injections“: Prompt-Injection über extrem blasse Textfarben in Screenshots, die für das menschliche Auge praktisch unsichtbar sind, aber von KI-Vision-Modellen gelesen werden. Dies zeigt, dass die Angriffsfläche kontinuierlich wächst und schneller neue Vektoren entdeckt werden, als Perplexity sie beheben kann.

CometJacking: Der LayerX-Angriff über manipulierte URLs

Parallel zur Brave-Forschung entdeckte LayerX eine noch einfachere Angriffsmethode, die sie „CometJacking“ tauften. Anders als Braves Ansatz nutzt CometJacking manipulierte URL-Parameter, um die Browser-KI direkt zu übernehmen – ganz ohne bösartige Seiteninhalte.

Die Anatomie von CometJacking

Die LayerX-Forscher entdeckten, dass Comet URL-Parameter direkt als KI-Anweisungen interpretiert. Insbesondere der „collection“-Parameter zwingt Perplexity dazu, auf sein internes Gedächtnis zuzugreifen – dort, wo sensible Daten wie E-Mail-Entwürfe oder Kalenderinformationen gespeichert sein könnten.

Eine bösartige URL könnte Anweisungen enthalten, nach Daten in Gmail oder Calendar zu suchen, die Ergebnisse zu kodieren (Base64) und per POST-Request an einen vom Angreifer kontrollierten Server zu senden.

Die fünf Schritte des Angriffs

Der Köder: Ein Angreifer sendet dem Nutzer einen Link – per E-Mail, Messenger oder versteckt auf einer Webseite.

Der versteckte Befehl: An das Ende der URL ist ein versteckter Befehl angehängt, der die KI instruiert.

Die Übernahme: Die KI folgt den Anweisungen und steht unter Kontrolle des Angreifers.

Die Tarnung: Die gestohlenen Daten werden durch Base64-Kodierung verschleiert, um Sicherheitschecks zu umgehen.

Der Abtransport: Die verschleierten Daten werden an den Angreifer-Server gesendet.

Perplexitys Zurückweisung

LayerX reichte seine Ergebnisse am 27. August 2025 bei Perplexity ein. Die Antwort war ernüchternd: Perplexity erwiderte, dass sie keine Sicherheitsauswirkung identifizieren könne und markierte den Bericht als „nicht anwendbar“.

Diese Zurückweisung ist besonders besorgniserregend angesichts der klaren Demonstrationen sowohl von LayerX als auch von Brave. Die Weigerung, das Problem anzuerkennen, deutet auf ein grundsätzliches Missverständnis der Bedrohungslage hin.

OpenAIs Atlas: Launch trotz bekannter Schwachstellen

Die Entscheidung von OpenAI, ChatGPT Atlas am 21. Oktober 2025 zu veröffentlichen, obwohl das Unternehmen öffentlich einräumte, dass Prompt-Injection ein „ungelöstes Sicherheitsproblem an der Forschungsgrenze“ bleibt, löste heftige Debatten in der Cybersecurity-Community aus. [Zu Prompt-Injection finden Sie in diesem Blog bereits einige Artikel: LINK.]

OpenAIs Reaktion und Sicherheitsmaßnahmen

Nur wenige Stunden nach dem Launch demonstrierten Sicherheitsforscher erfolgreich Prompt-Injection-Angriffe gegen Atlas. In einem ausführlichen Post adressierte Dane Stuckey, Chief Information Security Officer von OpenAI, die Sicherheitsbedenken direkt. Seine Stellungnahme ist bemerkenswert, weil sie einerseits die Schwere des Problems anerkennt, andererseits aber die Launch-Entscheidung zu rechtfertigen versucht.

Stuckey beschrieb Prompt-Injection als ein „aufkommendes Risiko“, bei dem „Angreifer bösartige Anweisungen in Websites, E-Mails oder anderen Quellen verstecken, um den Agenten dazu zu bringen, sich auf unbeabsichtigte Weise zu verhalten“. Die Ziele reichen von harmlosen Manipulationen bis hin zu schwerwiegenden Konsequenzen: „Ein Angreifer könnte versuchen, den Agenten dazu zu bringen, private Daten abzurufen und zu leaken, etwa sensible Informationen aus Ihren E-Mails oder Zugangsdaten“.

Besonders bedeutsam ist sein Eingeständnis: „Prompt-Injection bleibt ein Sicherheitsproblem an der Forschungsgrenze, das noch ungelöst ist, und unsere Gegner werden erhebliche Zeit und Ressourcen aufwenden, um Wege zu finden, ChatGPT-Agenten für diese Angriffe anfällig zu machen“.

OpenAI hat laut Stuckey mehrere Verteidigungsebenen implementiert: umfangreiches Red-Teaming, neuartige Trainingsmethoden, überlappende Schutzmaßnahmen und schnelle Reaktionssysteme. Zudem wurden nutzerkontrollierte Sicherheitsfeatures eingeführt: ein Logged-Out-Modus, Watch Mode und Bestätigungspflicht für kritische Aktionen.

Das Dilemma: Auch 99% sicher ist eine noch zu hohe Durchfallquote

Sicherheitsforscher Simon Willison kritisierte OpenAIs Ansatz scharf und brachte das Kernproblem auf den Punkt: „In der Anwendungssicherheit ist 99% eine Durchfallquote“.

Seine Argumentation: „Wenn es einen Weg gibt, die Guardrails zu umgehen, egal wie obskur, wird ein motivierter adversarialer Angreifer das herausfinden. Das ‚Gegner werden erhebliche Zeit und Ressourcen aufwenden‘-Argument beunruhigt mich – es impliziert, dass OpenAI darauf setzt, dass Angriffe schwierig genug sind, um abzuschrecken. Aber in der realen Welt reicht ein einziger erfolgreicher Angriff, um ein Template für Tausende weitere zu schaffen“.

Seine Gesamtbewertung ist vernichtend: „Ich erwarte stark, dass das gesamte Konzept eines agentischen Browser-Extensions fundamental fehlerhaft ist und nicht sicher gebaut werden kann“.

Die Brave-Koinzidenz

Besonders brisant: Am selben Tag, an dem OpenAI Atlas ankündigte, veröffentlichte das Sicherheitsteam von Brave Software eine umfassende Analyse zu Prompt-Injection-Schwachstellen in agentischen Browsern. Obwohl der Brave-Bericht Atlas nicht namentlich erwähnte, war die Botschaft klar: „Was wir gefunden haben, bestätigt unsere ursprünglichen Bedenken: Indirekte Prompt-Injection ist kein isoliertes Problem, sondern eine systemische Herausforderung für die gesamte Kategorie KI-gestützter Browser“.

Die zeitliche Überschneidung dieser Veröffentlichungen ist kaum zufällig. Sie unterstreicht, dass die Sicherheitsrisiken agentischer Browser der gesamten Branche bekannt sind – und dass einige Akteure bewusst entschieden haben, trotz dieser Risiken zu launchen.

Warum agentische Browser besonders anfällig sind

Die dokumentierten Angriffe auf Comet und Atlas sind keine isolierten Probleme einzelner Produkte. Sie sind symptomatisch für fundamentale Sicherheitsherausforderungen, die alle agentischen Browser betreffen.

Das fundamentale Problem: Vertrauen und Kontext

Das Kernproblem liegt in der Art, wie Large Language Models mit Eingaben umgehen. LLMs unterscheiden nicht inhärent zwischen „vertrauenswürdigen“ Anweisungen vom Nutzer und „nicht vertrauenswürdigen“ Inhalten von Webseiten. Beide werden als natürlichsprachlicher Text verarbeitet.

Während ein herkömmlicher Browser klare Grenzen zwischen verschiedenen Sicherheitskontexten hat, operiert ein agentischer Browser mit einem vereinheitlichten Kontext. Die KI hat legitimerweise Zugriff auf alle geöffneten Tabs, alle eingeloggten Sessions und alle verbundenen Dienste.

Diese Kombination ist explosiv: Ein System, das nicht zwischen vertrauenswürdigen und nicht vertrauenswürdigen Eingaben unterscheiden kann, erhält gleichzeitig weitreichende Berechtigungen über alle Nutzerkonten hinweg.

Authentifizierte Sessions als Angriffsfläche

Traditionelles Phishing zielt darauf ab, Nutzernamen und Passwörter zu stehlen. Bei agentischen Browsern ist das nicht mehr nötig – der Angreifer muss nur den Agenten übernehmen, der bereits eingeloggt ist.

Der Browser wird dadurch selbst zur „Insider-Bedrohung“. Mit den gleichen Berechtigungen, die es dem Agenten erlauben, in Ihrem Namen E-Mails zu lesen, kann ein gekaperter Agent auch sensible Daten exfiltrieren oder unerwünschte Transaktionen durchführen.

Fehlende technische Lösungen

Das vielleicht beunruhigendste: Es gibt derzeit keine zuverlässige technische Lösung für Prompt-Injection. Anders als bei klassischen Sicherheitslücken wie SQL-Injection, die durch Parametrisierung gelöst werden können, ist Prompt-Injection ein fundamentales Problem der Art, wie LLMs funktionieren.

Wie der CISO von OpenAI öffentlich einräumte: „Prompt-Injection bleibt ein ungelöstes Sicherheitsproblem an der Grenze der Forschung“.

Der Sicherheitsforscher Bruce Schneier fasst es prägnant zusammen: „Prompt-Injection ist nicht nur ein kleines Sicherheitsproblem. Es ist eine fundamentale Eigenschaft der aktuellen LLM-Technologie“.

Sind andere agentische Browser genauso betroffen?

Die kurze Antwort: Ja. Die Sicherheitsforschung zeigt, dass Prompt-Injection eine „systemische Herausforderung für die gesamte Kategorie KI-gestützter Browser“ ist.

Fellou: Anfällig durch automatische Navigation

Brave testete auch den Fellou-Browser und fand ähnliche Schwachstellen. Überraschenderweise reichte es bei Fellou aus, den Browser einfach zu bitten, eine vom Angreifer kontrollierte Website zu besuchen – eine explizite Zusammenfassungsanfrage war nicht einmal nötig.

Google Gemini: Kalender-Einladungen als Angriffsvektor

Forscher von SafeBreach demonstrierten bei der Black Hat 2025 Angriffe auf den Gemini-Assistenten durch manipulierte Kalendereinladungen. Die Einladungen enthielten versteckte Teile, die von der KI verarbeitet wurden und dazu führten, dass Gemini Termine löschte, seinen Stil änderte oder bösartige Websites öffnete.

Opera Neon: Mehrschichtige Verteidigung

Opera Neon ist einer der wenigen Browser, der proaktiv Sicherheitsmaßnahmen implementiert hat: Aufgaben-Isolierung, Prompt-Analyse, Human-in-the-Loop-Bestätigungen und Blacklisting von Hochrisiko-Seiten.

Dennoch räumt Opera ein, dass „das Risiko eines erfolgreichen Prompt-Injection-Angriffs aufgrund der nicht-deterministischen Natur von KI-Modellen nicht vollständig auf Null reduziert werden kann“.

Perplexitys Defense-in-Depth-Strategie

Am 22. Oktober 2025 – einen Tag nach dem Atlas-Launch und während die Diskussion um Sicherheitslücken hochkochte – veröffentlichte Perplexity einen umfassenden Blogpost mit dem Titel „Mitigating Prompt Injection in Comet“. Dieser Post ist bemerkenswert, weil er einerseits detailliert beschreibt, was Perplexity unternimmt, andererseits aber auch einräumt, dass das Problem fundamental ungelöst bleibt.

Perplexitys vierschichtige Verteidigungsstrategie umfasst:

Layer 1 – Echtzeit-Prompt-Injection-Klassifizierung: Machine-Learning-Klassifikatoren analysieren jeden Content, bevor der Assistent handelt. Das System erkennt versteckte HTML/CSS-Anweisungen, bildbasierte Injections, Content-Confusion-Angriffe und Goal-Hijacking.

Layer 2 – Sicherheitsverstärkung durch strukturierte Prompts: An kritischen Entscheidungspunkten werden Sicherheitserinnerungen eingebaut. Externer Content wird explizit als „nicht vertrauenswürdig“ markiert.

Layer 3 – Nutzerbestätigung für sensible Aktionen: Für Aktionen wie das Senden von E-Mails oder Ändern des Kalenders pausiert Comet für Nutzerbestätigung.

Layer 4 – Transparente Benachrichtigungen: Wenn Sicherheitssysteme eine potenzielle Prompt-Injection blockieren, wird der Nutzer informiert.

Trotz dieser umfassenden Maßnahmen räumt Perplexity ein: „Bösartige Prompt-Injection bleibt ein ungelöstes Problem in der gesamten Branche, und eines, das weiterhin Innovation, Anpassung und Zusammenarbeit erfordern wird“.

Ist ein System überhaupt gegen Prompt-Injection schützbar?

Die kurze Antwort aus Sicht der führenden Sicherheitsexperten: Nein, nicht mit der aktuellen LLM-Technologie.

Das fundamentale Problem

Prompt-Injection ist keine Software-Schwachstelle im klassischen Sinne, die durch einen Patch behoben werden kann. Es ist eine intrinsische Eigenschaft der Art und Weise, wie Large Language Models funktionieren:

• LLMs verarbeiten alles als natürlichsprachlichen Text und können nicht inhärent zwischen „vertrauenswürdigen Anweisungen“ und „nicht vertrauenswürdigem Content“ unterscheiden
• Anders als bei SQL-Injection oder Cross-Site-Scripting gibt es keine klare Grenze zwischen Code und Daten in einem LLM-Kontext
• Alle bisherigen Mitigation-Versuche können mit genügend Aufwand umgangen werden

Der Stand der Forschung

Verschiedene akademische und industrielle Ansätze wurden versucht: Prompt Templates, Spotlighting und Delimiters, AI Prompt Shields, Reinforcement Learning from Human Feedback, Context Isolation. Doch Studien zeigen, dass selbst mit Microsofts Spotlighting-Technik über 50 Prozent der Angriffe erfolgreich sind.

Warum Defense-in-Depth nicht ausreicht

Sowohl OpenAI als auch Perplexity setzen auf „Defense-in-Depth“ – mehrschichtige Verteidigungen. Das Problem mit diesem Ansatz:

• Adversariale Asymmetrie: Ein Verteidiger muss alle möglichen Angriffsvektoren schließen; ein Angreifer muss nur einen finden
• Nicht-Determinismus: LLMs verhalten sich nicht-deterministisch – der gleiche Angriff funktioniert manchmal, manchmal nicht
• Evolutionärer Druck: Jede neue Schutzmaßnahme wird von Angreifern studiert und umgangen

Expertenwarnung: „Katastrophisches Design“

Bruce Schneier, einer der weltweit führenden Sicherheitsexperten, formulierte es deutlich: „Wir wissen einfach nicht, wie wir uns gegen diese Angriffe verteidigen sollen. Wir haben null agentische KI-Systeme, die gegen diese Angriffe sicher sind. Jede KI, die in einer adversarialen Umgebung arbeitet – und damit meine ich, dass sie auf nicht vertrauenswürdige Trainingsdaten oder Eingaben stoßen könnte – ist anfällig für Prompt-Injection. Es ist ein existenzielles Problem, das, soweit ich sagen kann, die meisten Menschen, die diese Technologien entwickeln, einfach so tun, als gäbe es es nicht“.

Diese Einschätzung wird von anderen Experten geteilt. George Chalhoub vom UCL Interaction Centre: „Es wird immer einige Restrisiken bei Prompt-Injections geben, weil das einfach die Natur von Systemen ist, die natürliche Sprache interpretieren und Aktionen ausführen“.

Johann Rehberger, KI-Sicherheitsforscher: „Auf hoher Ebene bleibt Prompt-Injection eine der wichtigsten aufkommenden Bedrohungen in der KI-Sicherheit und beeinträchtigt Vertraulichkeit, Integrität und Verfügbarkeit von Daten, und die Bedrohung hat keine perfekte Mitigation – ähnlich wie Social-Engineering-Angriffe gegen Menschen“.

Aktuelle Expertenempfehlungen: Nutzen oder nicht nutzen?

Die überwältigende Mehrheit der unabhängigen Sicherheitsexperten rät zur äußersten Vorsicht oder gar zur vollständigen Vermeidung agentischer Browser für sensible Aufgaben.

Klare Warnungen

Tom’s Guide: „Für jetzt ist es wahrscheinlich am besten, Ihren schicken neuen KI-Browser nicht mit sensiblen Aufgaben zu betrauen. Stattdessen sollten Sie diese selbst angehen“.

Visory (IT-Security-Beratung): „Gehen Sie mit KI-Browsern vorsichtig um. Vermeiden Sie ihre Nutzung in regulierten oder sensiblen Umgebungen. Bleiben Sie vorerst bei etablierten Browsern wie Chrome, Edge oder Firefox“.

Malwarebytes: „Seien Sie vorsichtig mit Berechtigungen: Gewähren Sie nur Zugriff auf sensible Informationen oder Systemsteuerungen, wenn es absolut notwendig ist. Begrenzen Sie die Automatisierung sensibler Operationen: Vermeiden Sie die vollständige Automatisierung von High-Stakes-Transaktionen oder -Aktionen ohne manuelle Überprüfung“.

ZDNet: „Es gibt momentan viele ‚Was-wäre-wenn‘ rund um KI-Browser. Agentische Browser-Assistenten können durch nicht vertrauenswürdige Webseiteninhalte prompt-injiziert werden, was Schutzmaßnahmen wie die Same-Origin-Policy völlig nutzlos macht“.

Guardio/Cybernews: Nach Tests, bei denen Comet vollständig automatisiert eine Transaktion auf einer offensichtlich gefälschten Website abschloss, warnen die Forscher: „KI-Browser erben die eingebauten Schwachstellen von KI – die Tendenz, ohne vollen Kontext zu handeln, zu leicht zu vertrauen und Anweisungen ohne die Skepsis auszuführen, die Menschen natürlicherweise anwenden“.

Differentierte Empfehlungen für sichere Nutzung

Für Nutzer, die trotz der Risiken agentische Browser ausprobieren möchten, gibt es Empfehlungen zur Schadensbegrenzung:

Compartmentalisierung: Nutzen Sie agentische Browser in einer Sandbox oder mit einem separaten, „sauberen“ Nutzerprofil. Loggen Sie sich nicht in sensible Konten ein, während Sie den agentischen Browser verwenden.

Logged-Out-Modus: Nutzen Sie Features wie OpenAIs „Logged Out Mode“, die verhindern, dass der Agent auf Ihre authentifizierten Konten zugreift.

Watch Mode aktivieren: Behalten Sie den Agenten aktiv im Blick, wenn er arbeitet, und verwenden Sie keine Hintergrund-Automatisierung für wichtige Aufgaben.

Begrenzen Sie Berechtigungen: Gewähren Sie nur minimale notwendige Zugriffsrechte und importieren Sie nicht Ihre gesamte Password-Keychain.

Strikte Domain-Beschränkungen: Verwenden Sie agentische Features nicht für Banking, E-Mail, Unternehmens-Systeme oder andere kritische Dienste.

Regelmäßige Überwachung: Überprüfen Sie Aktivitätsprotokolle auf ungewöhnliches Verhalten und setzen Sie Multi-Faktor-Authentifizierung für alle verbundenen Konten ein.

Für Unternehmen

Die Empfehlungen sind noch restriktiver:

CloudFactory: „Warum Unternehmen den fundamentalen Fehler des OpenAI Atlas Browsers nicht ignorieren können. Das sind keine Bugs, die gepatcht werden können – sie sind der Funktionsweise von Large Language Models inhärent“.

Seraphic Security: „Agentische Browser sollten als erstklassige Akteure im Bedrohungsmodell behandelt werden. Dies erfordert robuste Policy-Enforcement, umfassende Telemetrie-Sichtbarkeit, Verhaltensüberwachung und Speicher-Isolation“.

Software Analyst: „Die nächste Generation von Enterprise-Browsern und -Erweiterungen wird als agentische Sicherheitskontrollen fungieren: Intent validieren, Speicher isolieren und Zero-Trust-Prinzipien nicht nur auf Menschen, sondern auch auf die KI-Agenten anwenden, die in ihrem Namen handeln“.

Das Schneier-Willison-Urteil

Die vielleicht deutlichste Zusammenfassung der Situation kommt von den beiden prominentesten Kritikern:

Bruce Schneier: „Es ist ein existenzielles Problem, das, soweit ich sagen kann, die meisten Menschen, die diese Technologien entwickeln, einfach so tun, als gäbe es es nicht“. In einem jüngeren Essay über das „OODA-Loop-Problem“ agentischer KI argumentiert er, dass es kein Filtern-Problem ist, sondern ein architektonisches Problem: „Es gibt keine Privilegien-Trennung, und es gibt keine klare Unterscheidung zwischen Daten und Code“.

Simon Willison: Nach der Ankündigung von OpenAIs Atlas schrieb er: „Meine größte Beschwerde über den Launch des ChatGPT Atlas Browsers neulich war der Mangel an Details darüber, wie OpenAI Prompt-Injection-Angriffe adressiert“. Sein Fazit: „Die Sicherheits- und Datenschutzrisiken erscheinen mir immer noch unüberwindbar hoch. Ich würde gerne eine tiefgehende Erklärung der Schritte sehen, die Atlas unternimmt, um Prompt-Injection-Angriffe zu vermeiden. Im Moment sieht es so aus, als wäre die Hauptverteidigung, dass man vom Nutzer erwartet, sorgfältig zu beobachten, was der Agent-Modus die ganze Zeit tut!“

Stimmen aus der Community: Zwischen Euphorie und Warnung

Die Reaktionen auf Atlas waren gespalten, wobei Sicherheitsexperten deutlich kritischer waren als Business-Medien:

Kritische Stimmen:

Fortune titelte: „Cybersecurity-Experten warnen, dass OpenAIs ChatGPT Atlas Sicherheitslücken hat, die sensible Daten leaken, Malware herunterladen oder Schlimmeres ermöglichen könnten“.

National CIO Review schrieb: „ChatGPT Atlas schlägt Alarm über neue KI-Browser-Sicherheitsrisiken“ und betonte, dass „live-Demonstrationen innerhalb von Stunden nach dem Launch funktionierender Prompt-Injection-Beispiele“ die theoretischen Bedenken in praktische Realität verwandelten.

Tom’s Guide warnte: „ChatGPT Atlas sieht sich bereits Betrug und Jailbreaks gegenüber“ und riet Nutzern, bei Kopieren-und-Einfügen-Operationen vorsichtig zu sein, da Clipboard-Injection-Angriffe demonstriert wurden.

Anil Dash (Tech-Blogger) ging noch weiter und nannte Atlas den „Anti-Web-Browser“ – einen Browser, der aktiv gegen das Web kämpft, anstatt es zu unterstützen. Seine Kritik: Atlas ersetzt das Web durch KI-generierte Inhalte, die wie das Web aussehen, zwingt Nutzer zum Raten von Befehlen statt zum Klicken auf Links, und macht den Nutzer zum Agenten für den Browser statt umgekehrt.

Positive oder neutrale Berichterstattung:

Reuters, Axios und CNN fokussierten in ihrer Berichterstattung eher auf die Konkurrenzsituation mit Google Chrome und die Features von Atlas, ohne Sicherheitsaspekte prominent zu behandeln.

BBC hob die Paywall-Problematik hervor: „ChatGPTs neuer Browser hat Potenzial, wenn man bereit ist zu zahlen“. Die wichtigsten Features – Agent Mode, automatisches Booking – sind nur für zahlende Plus- und Pro-Nutzer verfügbar, was die Adoption limitiert.

Fazit: Eine Technologie vor ihrer Zeit?

Die Veröffentlichung von ChatGPT Atlas und die kontinuierlichen Sicherheitsprobleme von Comet illustrieren ein fundamentales Dilemma der modernen Tech-Industrie: Der Druck, innovative Produkte schnell auf den Markt zu bringen, kollidiert mit der Verantwortung, Nutzer vor bekannten Sicherheitsrisiken zu schützen.

Die Fakten sind eindeutig:

• Prompt-Injection ist ein ungelöstes Problem auf fundamentaler Ebene, anerkannt von den CISOs der führenden KI-Unternehmen
• Alle aktuell verfügbaren agentischen Browser – Comet, Atlas, Fellou, Opera Neon – sind anfällig für diese Angriffe, trotz implementierter Schutzmaßnahmen
• Neue Angriffsvektoren werden schneller entdeckt als bestehende geschlossen werden können
• Unabhängige Sicherheitsexperten warnen eindringlich vor der Nutzung für sensible Aufgaben
• Die Launch-Entscheidungen von OpenAI und Perplexity erfolgten trotz klarer Kenntnis dieser Probleme und teilweise gegen die Warnungen von Sicherheitsforschern

Für Nutzer bedeutet das: Agentische Browser mögen verlockende Produktivitätsgewinne versprechen, aber der Preis ist ein dramatisch erhöhtes Sicherheitsrisiko. Wer diese Tools nutzt, sollte sich bewusst sein, dass er im Wesentlichen ein Beta-Produkt mit bekannten fundamentalen Schwachstellen verwendet – ein Experiment, dessen volle Konsequenzen erst in den kommenden Monaten sichtbar werden, wenn Angreifer beginnen, die dokumentierten Schwachstellen in großem Maßstab auszunutzen.

Die Empfehlung kann angesichts der aktuellen Faktenlage nur lauten: Für alles, was Ihnen wichtig ist – Banking, E-Mails, Unternehmens-Systeme, persönliche Daten – bleiben Sie vorerst bei traditionellen Browsern ohne agentische Features. Und wenn Sie experimentieren möchten, tun Sie dies in einer strikt isolierten Umgebung, ohne Zugriff auf authentifizierte Konten oder sensible Informationen.

Die Vision eines vertrauenswürdigen KI-Assistenten, der wie „Ihr kompetentester, vertrauenswürdigster und sicherheitsbewusstester Kollege oder Freund“ agiert, wie OpenAIs CISO es formuliert, bleibt vorerst genau das: eine Vision. Die Realität im Oktober 2025 ist eine Technologie, die ihre grundlegendsten Sicherheitsprobleme noch nicht gelöst hat – und bei der unklar ist, ob sie überhaupt mit der aktuellen LLM-Architektur lösbar sind.

---

Workshop-Hinweis: Wenn Sie verstehen möchten, wie Sie Ihr Unternehmen vor den Risiken agentischer KI schützen können und welche Sicherheitsstrategien heute bereits umsetzbar sind, empfehle ich die Kolleen und Kolleginnen der Transferstelle Cybersicherheit, die als Teil der Initiative Mittelstand-Digital vom Bundesministerium für Wirtschaft und Energie gefördert sind. Ihre Unterstützung ist daher für Sie kostenfrei.

Ich empfehle in diesem Themenfeld auch den Workshop „KI-Lösung ohne Kollateralschaden einführen“ und den Workshop „Responsible AI – wie Sie verantwortungsvolle und ethische KI-Lösungen entwickeln“. Weitere Informationen finden Sie in unserem aktuellen Workshopkatalog oder nehmen Sie unverbindlich Kontakt zu uns auf KONTAKTFORMULAR