KI-Browser-Agenten umgehen Schutzmechanismen
Eine aktuelle Studie der University of Washington warnt vor erheblichen Cybersicherheitsrisiken bei KI-gestützten Browsern mit autonomen Agenten. Während diese neuen Browserfunktionen wie automatische Recherche, Buchung und Kalenderpflege ermöglichen, haben die Forschenden nachgewiesen, dass die leistungsfähigsten Systeme fundamentale Schutzmechanismen umgehen können. Die Ergebnisse wurden kürzlich auf dem Agents in the Wild Workshop in Rio de Janeiro präsentiert. Ein zentrales Sicherheitskonzept des modernen Internets, die Same-Origin-Policy, wurde in der Untersuchung gezielt unterlaufen. Diese seit 1995 etablierte Richtlinie verhindert, dass verschiedene Websites auf Daten einer anderen Domain zugreifen. Trotz ihres Alters bleibt sie eine Basis der Webbrowsersicherheit. Die UW-Forschenden analysierten sieben populäre agentic Browser und stellten fest, dass vier davon die Same-Origin-Policy schwächen. In diesen Fällen können bösartige Webseiten durch Prompt-Injection-Angriffe Daten aus anderen, eigentlich isolierten Tabs stehlen. Ein Proof-of-Concept-Angriff gelang erfolgreich auf ChatGPT Atlas, ähnliche Schwachstellen wurden für Chrome mit Gemini, Claude for Chrome und Perplexity Comet identifiziert. Der am wenigsten riskante getestete Browser, Firefox AI Mode, wies zugleich die stärksten Funktionsbeschränkungen auf. Die Angriffsmethoden basieren auf Techniken, die menschliche Nutzer umgehen, aber KI-Agenten manipulieren. Durch versteckte Anweisungen in eingebetteten Inhalten können die Agenten dazu gebracht werden, vertrauliche Informationen automatisch an schadhafte Seiten zu übermitteln. Zusätzlich wurde Memory Poisoning beobachtet: Agenten konsolidieren verarbeitete Daten in ihrem Zwischenspeicher. Werden sie durch Malware zu einem späteren Zeitpunkt mit veränderten Informationen konfrontiert, kann dies zu ungewollten Datenlecks führen, da die Herkunft der Informationen im Gedächtnis des Agenten verwischt wird. Die Forschenden David Kohlbrenner und Franziska Roesner betonen, dass diese Systeme noch nicht produktionsreif seien. Selbst technisch versierte Nutzer dürften das Vertrauen in den vollständigen Schutz ihrer Zugangsdaten, etwa von E-Mail oder Bankkonten, vorerst aufgeben. Die Kontaktierung der betroffenen Hersteller zeigte eine geteilte Reaktion: Während Google, Microsoft und Brave in Austausch traten, blieben Anthropic und Firefox eine Rückmeldung schuldig. Perplexity und OpenAI lehnten die Prüfung der Studie offiziell ab. Derzeit existiert kein etablierter Weg, um die gefundenen Sicherheitslücken zu schließen, ohne die gewünschten Automatisierungsfunktionen drastisch einzuschränken. Der Wettbewerbsdruck im KI-Markt treibe die schnelle Markteinführung voran, was die Sicherheit vorübergehend zurückstufen lasse. Nach drei Jahrzehnten konsequenter Weiterentwicklung der Same-Origin-Policy stellen agentic Browser eine signifikante Rückschreibung der Web-Sicherheitsstandards dar. Die Forschenden appellieren an einen vorsichtigeren, sicherheitsorientierten Entwicklungsansatz, bis klare Architekturstandards für den Schutz autonomer KI-Systeme etabliert sind.
