Brave warnt: Perplexitys Comet-KI-Browser leitet sensible Daten über Social-Media-Kommentare an Angreifer weiter.
Comet, der neue KI-Browser von Perplexity, sollte eigentlich nur einen Text zusammenfassen. Doch Sicherheitsforscher bei Brave zeigten, dass schon ein unscheinbarer Kommentar auf Reddit genügte, um den Assistenten zur Preisgabe sensibler Daten zu bringen – bis hin zur Übernahme kompletter Nutzerkonten.
Comet: KI-Browser von Perplexity
Die Software Comet ist ein KI-gestützter Browser des Herstellers der KI-Suchmaschine Perplexity. Dieser Browser soll Aufgaben für Nutzer erledigen, wichtige Informationen aus E-Mails finden oder schnelle Recherchen ausführen. Mit diesen Fähigkeiten soll Comet Aufgaben des Nutzers erledigen. Klicks, Navigation, einfache Aktionen und die Suche nach Informationen soll somit einfacher werden.
Wie der Angriff bei Comet funktioniert
Der Angriff funktioniert über sogenanntes „indirect prompt injection“. Angreifer verstecken hier unsichtbare Befehle in Webseiten, Social-Media-Kommentaren oder anderen Inhalten, die von der KI verarbeitet werden. Weil Comet nicht zwischen tatsächlichen Nutzeranweisungen und Seiteninhalt unterscheidet, führt das Modell diese Befehle aus, als kämen sie direkt vom Nutzer selbst.
In der Demo von Brave sollte der KI-Browser einen Reddit-Post zusammenfassen. Ein Kommentar darunter reichte jedoch aus, um Comet zur Perplexity-Account-Seite zu schicken. Von dort aus las der Browser eigenständig die E-Mail-Adresse und verschickte einen Code zur einmaligen Anmeldung. Anschließend öffnete er Gmail, um den Code abzufangen. Der Assistent leitete diese Daten an den Angreifer weiter – alles ausgelöst durch einen einfachen Klick auf „Seite zusammenfassen“.
Gefahr durch Social Media und Kommentare
Normalerweise verhindern Sicherheitsmechanismen, dass Webseiten auf Inhalte anderer Seiten zugreifen können. Doch weil Comet mit denselben Rechten wie der Nutzer arbeitet, greifen diese Schutzmechanismen nicht. Der KI-Assistent kann somit sämtliche private Informationen wie Bankdaten, E-Mails und Cloudspeicher auslesen, und mit Angreifern teilen.
Besonders gefährlich ist, dass Nutzer nicht einmal eine manipulierte Angreifer-Seite besuchen müssen. Schon ein versteckter Befehl in einem Reddit-Kommentar, einem Facebook-Post, einem Tweet oder sogar einem YouTube-Kommentar reicht aus, um den KI-Browser dazu zu bringen, Daten weiterzuleiten.
Patch noch unvollständig
Perplexity meldete Brave zunächst, dass die Lücke behoben sei. Doch in weiteren Tests konnte Brave weiterhin ähnliche Angriffe durchführen und warnte, dass die Schwachstelle bis heute nicht vollständig geschlossen ist.
Brave warnt, dass es bei KI-Browsern momentan noch viele Schutzmechanismen fehlen, die im klassischen Web längst eingebaut sind. Für Nutzer bedeutet das: Wer Comet oder ähnliche KI-Browser ausprobiert, sollte daher genau wissen, worauf man sich einlässt, und dass selbst einfache Funktionen zu einem großen Sicherheitsrisiko werden können.
Comet soll im höchsten Maße personalisierte Werbung ausliefern
Der neue Browser ist aber bereits aus anderen Gründen kritisiert worden. Mehrere Branchenberichte äußern ihre Besorgnis darüber, dass Perplexity Comet eine aggressive Datenpolitik verfolgt. Demnach soll Comet umfangreiche Nutzerdaten für gezielte Werbung sammeln, etwa das Surf‑Verhalten, Suchanfragen, Buchungsmuster, Shopping‑Gewohnheiten und die Besuchsdauer auf Websites. Diese Form der Datenerfassung zielt auf „hyper‑personalized ads“ ab, wie man sie von anderen etablierten Tech‑Konzernen kennt.
