KI-Browser wie Atlas von OpenAI und Comet von Perplexity versprechen Komfort. Sie bergen jedoch erhebliche Cybersicherheitsrisiken und bieten Hackern ein neues Betätigungsfeld.
KI-gestützte Webbrowser konkurrieren mit traditionellen Browsern wie Google Chrome und Brave und zielen darauf ab, Milliarden von täglichen Internetnutzern für sich zutrac.
Vor wenigen Tagen veröffentlichte OpenAI Atlas, während Comet von Perplexity bereits seit Monaten verfügbar ist. KI-gestützte Browser können Texte eingeben und durch Webseiten klicken. Nutzer können sie beispielsweise anweisen, einen Flug zu buchen, E-Mails zusammenzufassen oder sogar Formulare auszufüllen.
KI-gestützte Browser sind im Grunde so konzipiert, dass sie als digitale Assistenten fungieren und autonom im Web navigieren. Sie gelten als der nächste große Schritt in der Online-Produktivität.
Sicherheitsforscher weisen auf Schwachstellen in KI-Browsern hin
Die meisten Verbraucher sind sich jedoch der Sicherheitsrisiken nicht bewusst, die mit der Nutzung von KI-Browsern einhergehen. Solche Browser sind durch ein neues Phänomen namens Prompt Injection anfällig für ausgeklügelte Hackerangriffe.
Hacker können KI-gestützte Webbrowser ausnutzen, um sich Zugang zu den Sitzungen angemeldeter Nutzer zu verschaffen und unbefugte Aktionen durchzuführen. Beispielsweise können Hacker auf E-Mails und Social-Media-Konten zugreifen oder sogar Bankdaten einsehen und Geld transferieren.
Laut aktuellen Forschungsergebnissen von Brave können Hacker versteckte Anweisungen in Webseiten oder sogar Bilder einbetten. Analysiert ein KI-System diese Inhalte und entdeckt die versteckten Anweisungen, kann es dazu verleitet werden, sie wie legitime Benutzerbefehle auszuführen. KI-Webbrowser können nicht zwischen echten und gefälschten Benutzerbefehlen unterscheiden.
von Brave experimentierten mit Perplexitys Comet und testeten dessen Reaktion auf Prompt-Injection. Dabei stellte sich heraus, dass Comet unsichtbaren Text in Screenshots verarbeiten kann. Dieser Ansatz ermöglicht es Angreifern, Browser-Tools zu kontrollieren und Benutzerdaten problemlos trac
Die Entwickler von Brave bezeichneten diese Sicherheitslücken als eine „systemische Herausforderung für die gesamte Kategorie der KI-gestützten Browser“
Die sofortige Injektion ist schwer zu beheben
Sicherheitsforscher und Ingenieure sagen, dass das Einschleusen von Eingabeaufforderungen schwierig zu beheben ist. Das liegt daran, dass KI-Modelle nicht erkennen, woher die Anweisungen stammen. Sie können nicht zwischen echten und gefälschten Eingabeaufforderungen unterscheiden.
Herkömmliche Software kann zwischen sicheren Eingaben und Schadcode unterscheiden, große Sprachmodelle (LLMs) hingegen haben damit Schwierigkeiten. LLMs verarbeiten alles, einschließlich Benutzeranfragen, Webseitentexte und sogar versteckte Daten, und behandeln dies als eine einzige große Konversation.
Deshalb ist die Eingabe von Prompt-Code gefährlich. Hacker können gefälschte Anweisungen leicht in harmlos aussehenden Inhalten verstecken und so sensible Informationen stehlen.
KI-Unternehmen räumen ein, dass die sofortige Injektion eine ernsthafte Bedrohung darstellt
Perplexity erklärte , dass solche Angriffe nicht auf Code oder gestohlenen Passwörtern basieren, sondern den Denkprozess der KI manipulieren. Das Unternehmen hat mehrere Verteidigungsebenen um Comet herum aufgebaut, um Prompt-Injection-Angriffe zu verhindern. Es verwendet Modelle des maschinellen Lernens, die Bedrohungen in Echtzeit erkennen, und hat Schutzmechanismen integriert, die die KI auf die Nutzerabsicht fokussieren. Darüber hinaus verlangt der Browser für sensible Aktionen wie das Senden einer E-Mail oder den Kauf eines Artikels eine obligatorische Nutzerbestätigung.
Sicherheitsexperten raten dringend davon ab, KI-gestützte Browser für sensible Konten oder persönliche Daten zu verwenden, bis wesentliche Verbesserungen implementiert sind. Nutzer können KI-Browser zwar weiterhin nutzen, haben jedoch keinen Zugriff auf die entsprechenden Tools, deaktivierte automatisierte Aktionen und sollten die Nutzung vermeiden, wenn sie in Online-Banking-Konten, E-Mails oder Gesundheits-Apps eingeloggt sind.
Der Chief Information Security Officer (CISO) von OpenAI, Dane Stuckey, räumte die Gefahren von Prompt Injection ein und schrieb auf X: „Ein aufkommendes Risiko, das wir sehr sorgfältig erforschen und mindern, sind Prompt Injections, bei denen Angreifer bösartige Anweisungen auf Websites, in E-Mails oder anderen Quellen verstecken, um den Agenten zu einem unbeabsichtigten Verhalten zu verleiten.“
Er erklärte, OpenAI wolle erreichen, dass die Nutzer dem ChatGPT-Agenten genauso vertrauen wie ihrem kompetentesten, vertrauenswürdigsten und sicherheitsbewusstesten Kollegen oder Freund. Stuckey sagte, das Team von OpenAI arbeite intensiv daran, dies zu erreichen
