KI-Webbrowser öffnen die Tür zu ungeahnten Sicherheitsrisiken

KI-gesteuerte Browser wie Atlas von OpenAI und Comet von Perplexity versprechen Komfort. Aber sie bringen erhebliche Cybersicherheitsrisiken mit sich und bilden einen neuen Spielplatz für Hacker.

KI-gesteuerte Web-Browser konkurrieren mit traditionellen Browsern wie Google Chrome und Brave und zielen darauf ab, Milliarden täglicher Internetnutzer anzuziehen.

Vor einigen Tagen veröffentlichte OpenAI Atlas, während Perplexitys Comet schon seit Monaten existiert. KI-gesteuerte Browser können tippen und durch Seiten klicken. Benutzer können ihnen sagen, einen Flug zu buchen, E-Mails zusammenzufassen oder sogar ein Formular auszufüllen.

Im Grunde sind KI-gesteuerte Browser darauf ausgelegt, als digitale Assistenten zu fungieren und autonom im Web zu navigieren. Sie werden als der nächste große Sprung in der Online-Produktivität gefeiert.

Sicherheitsforscher weisen auf Schwachstellen in KI-Browsern hin

Aber die meisten Verbraucher sind sich der Sicherheitsrisiken nicht bewusst, die mit der Nutzung von KI-Browsern verbunden sind. Solche Browser sind anfällig für raffinierte Hacks durch ein neues Phänomen namens Prompt-Injection.

Hacker können KI-Web-Browser ausnutzen, Zugriff auf angemeldete Benutzersitzungen erlangen und unbefugte Aktionen durchführen. Zum Beispiel können Hacker auf E-Mails, Social-Media-Konten zugreifen oder sogar Bankdetails einsehen und Gelder bewegen.

Laut einer aktuellen Studie von Brave können Hacker versteckte Anweisungen in Webseiten oder sogar Bilder einbetten. Wenn ein AI Agent diesen Inhalt analysiert und die versteckten Anweisungen sieht, kann er dazu verleitet werden, diese auszuführen, als wären sie legitime Benutzeranweisungen. KI-Web-Browser können nicht zwischen echten und gefälschten Benutzeranweisungen unterscheiden.

Brave-Ingenieure experimentierten mit Perplexitys Comet und testeten seine Reaktion auf Prompt-Injection. Es wurde festgestellt, dass Comet unsichtbaren Text verarbeitet, der in Screenshots versteckt ist. Dieser Ansatz ermöglicht es Angreifern, Browsing-Tools zu kontrollieren und Benutzerdaten mühelos zu extrahieren.

Die Ingenieure von Brave bezeichneten diese Schwachstellen als "systemische Herausforderung für die gesamte Kategorie der KI-gesteuerten Browser."

Prompt-Injection ist schwer zu beheben

Sicherheitsforscher und Ingenieure sagen, dass Prompt-Injection schwer zu beheben ist. Das liegt daran, dass künstliche Intelligenzmodelle nicht verstehen, woher Anweisungen kommen. Sie können nicht zwischen echten und gefälschten Prompts unterscheiden.

Traditionelle Software kann zwischen sicherer Eingabe und bösartigem Code unterscheiden, aber große Sprachmodelle (LLMs) haben damit Schwierigkeiten. LLMs verarbeiten alles, einschließlich Benutzeranfragen, Website-Text und sogar versteckte Daten, und behandeln es als ein großes Gespräch.

Deshalb ist Prompt-Injection gefährlich. Hacker können leicht gefälschte Anweisungen in Inhalten verstecken, die sicher aussehen, und sensible Informationen stehlen.

KI-Unternehmen geben zu, dass Prompt-Injection eine ernsthafte Bedrohung darstellt

Perplexity erklärte, dass solche Angriffe nicht auf Code oder gestohlenen Passwörtern basieren, sondern stattdessen den "Denkprozess" der KI manipulieren. Das Unternehmen hat mehrere Verteidigungsschichten um Comet herum aufgebaut, um Prompt-Injection-Angriffe zu stoppen. Es verwendet maschinelle Lernmodelle, die Bedrohungen in Echtzeit erkennen, und hat Leitplanken-Prompts integriert, die die KI auf die Benutzerabsicht fokussiert halten. Darüber hinaus erfordert der Browser eine obligatorische Benutzerbestätigung für sensible Aktionen wie das Senden einer E-Mail oder den Kauf eines Artikels.

Sicherheitsforscher glauben, dass KI-gesteuerten Browsern nicht mit sensiblen Konten oder persönlichen Daten vertraut werden sollte, bis wesentliche Verbesserungen eingeführt werden. Benutzer können KI-Web-Browser weiterhin nutzen, aber ohne Zugriff auf Tools, mit deaktivierten automatisierten Aktionen, und sollten vermeiden, sie zu verwenden, wenn sie bei Bankkonten, E-Mails oder Gesundheits-Apps angemeldet sind.

Der Chief Information Security Officer (CISO) von OpenAI, Dane Stuckey, erkannte die Gefahren der Prompt-Injection an und schrieb auf X: "Ein aufkommendes Risiko, das wir sehr sorgfältig erforschen und mindern, sind Prompt-Injections, bei denen Angreifer bösartige Anweisungen in Websites, E-Mails oder anderen Quellen verstecken, um zu versuchen, den Agent dazu zu bringen, sich auf unbeabsichtigte Weise zu verhalten."

Er erklärte, dass OpenAIs Ziel darin besteht, Menschen dazu zu bringen, "ChatGPT Agent[s] zu vertrauen, um Ihren Browser zu nutzen, genauso wie Sie Ihrem kompetentesten, vertrauenswürdigsten und sicherheitsbewussten Kollegen oder Freund vertrauen würden." Stuckey sagte, dass das Team bei OpenAI "hart daran arbeitet, das zu erreichen."

Schärfen Sie Ihre Strategie mit Mentoring + täglichen Ideen - 30 Tage kostenloser Zugang zu unserem Handelsprogramm