KI Espresso

4 von 7 KI-Browsern brechen die Web-Sicherheit

Episode 96

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 9:07
4 von 7 getesteten KI-Browsern oeffnen eine Luecke in einer der aeltesten Sicherheitsgrenzen des Webs. Der Browser-Agent ist nuetzlich, weil er handeln darf. Und genau deshalb wird er gefaehrlich: Wenn ein Agent Tabs, Logins, Formulare und Seiteninhalte zugleich sieht, reicht eine versteckte Anweisung auf einer Webseite ploetzlich weiter als klassisches Web-Scripting. ⏰ Timestamps: 0:00 — 4 von 7 KI-Browsern: die neue Sicherheitsluecke 0:29 — Warum der Browser-Agent gefaehrlich wird 1:05 — Same-Origin Policy: die Glasscheiben im Web 1:46 — Wenn der Agent Daten zwischen Kontexten traegt 2:11 — Warum nuetzliche Automatisierung zum Risiko wird 2:33 — Prompt Injection: fuer den Agenten ist alles Text 3:00 — UW-Test: Atlas, Gemini, Claude und Comet 3:44 — Warum Schutzmechanismen nicht reichen 4:19 — Brave und Unit 42: Angriffe in der Praxis 4:59 — Die neue Sicherheitsgrenze: was darf der Agent? 5:28 — Profiltrennung gegen Bequemlichkeit 6:01 — Granulare Rechte, Logs und Widerruf 6:34 — Ist der Agent noch Assistent? 6:56 — Autopilot-Analogie: wer profitiert? 7:28 — Blackbox-Agenten und lokale Modelle 8:05 — Lokale Ausfuehrung: Versprechen und Grenze 8:42 — Kann der Nutzer stoppen, bevor Daten gehen? 📖 Quellen: • University of Washington: Some agentic AI browsers come with major cybersecurity risks https://www.washington.edu/news/2026/06/30/some-agentic-ai-browsers-come-with-major-cybersecurity-risks-uw-study-finds/ • UW research page: Agentic Browsers and the Same-Origin Policy https://agent-security.cs.washington.edu/agentic_browsers_sop.html • Brave: Indirect Prompt Injection in Perplexity Comet https://brave.com/blog/comet-prompt-injection/ • Palo Alto Networks Unit 42: Web-Based Indirect Prompt Injection https://unit42.paloaltonetworks.com/ai-agent-prompt-injection/ 🔗 Verwandte Episoden: • Dein KI-Agent gehoert dir nicht - wer hat Zugriff?: https://youtu.be/PQ-DNTfDt5Y • 2,5 Milliarden — scheitern sie an einer: https://youtu.be/Yub4XwCDVYY • 65 Prozent — You can't blame it on the box: https://youtu.be/LPYPx4sEDpM 🎙️ KI Espresso — Jeden Tag eine neue KI-Debatte in sechs Minuten. 🎧 Podcast hoeren: • Apple Podcasts: https://podcasts.apple.com/podcast/id1885621764 • Alle Plattformen: https://www.buzzsprout.com/2603567 𝕏 @KIEspresso #KIEspresso #KI #Cybersecurity
SPEAKER_00

Vier von sieben getesteten KI-Browsern öffnen eine massive Sicherheitslücke in einer der ältesten und wichtigsten Grenzen des Internets. Eine aktuelle Studie der University of Washington zeigt das ganz klar. Also, wenn wir KI-Agenten erlauben, selbstständig durch unsere Tabs zu navigieren, geben wir Angreifern buchstäblich die Schlüssel zu unseren privatesten Daten.

SPEAKER_01

Aber Moment, der Browseragent ist ja nur deshalb nützlich, weil er handeln darf. Und genau deshalb ist er gefährlich. Wenn wir Agenten in sichere, aber komplett isolierte Sandkästen sperren, zerstören wir ihren kompletten Wert für unseren Arbeitsalltag. Naja, aber zu welchem Preis? Die Lösung ist nicht einfach eine pauschale Ablehnung, sondern ein radikal neues Verständnis davon, wie wir in Zukunft Zugriffskontrollen gestalten. Produktivität erfordert nun mal dieses Risiko.

SPEAKER_00

Das ist aber keine abstrakte Theorie über Zugriffskontrollen. Wir sprechen hier über die direkte Aushebelung der Same-Origin Policy. Um zu verstehen, wie gravierend das ist, stell dir diese Policy mal wie Schalter in einer Bank vor. Die sind durch schallisolierte Glasscheiben voneinander getrennt, richtig? Ja, logisch. Der Angestellte an Schalter A kriegt nicht mit, was bei B passiert. Ganz genau. Und im Browser heißt das, die bösartige Webseite in Tab 1 kann nicht automatisch auf deine Online-Banking-Session in Tab 2 zugreifen. Aber ein KI-Agent bricht dieses Prinzip komplett. Er agiert quasi wie ein Bote, der einfach ungehindert zwischen diesen schallisolierten Kabinen hin und her läuft.

SPEAKER_01

Ja, aber genau dieser Bote ist doch der Grund, warum wir diese Werkzeuge überhaupt in den Browser integrieren. Ich meine, unsere echte digitale Arbeit findet ja nicht isoliert statt.

SPEAKER_00

Aber sie sollte sicher stattfinden.

SPEAKER_01

Sicher, ja. Aber wir kopieren doch ständig Daten aus einem Analytics-Dashboard, fügen sie in eine E-Mail ein, gleichen sie mit einem CRM-System ab. Ein Chatbot, der nur beratend außerhalb des Browsers operiert, hat auf diesen Kontext überhaupt keinen Zugriff. Richtig, er sieht's nicht. Wir wollen ja Assistenten die Klicks und Kontextwechsel wirklich übernehmen. Dass der Agent zwischen den Kabinen wechseln darf, ist also kein Fehler im Design, sondern sein eigentlicher Zweck.

SPEAKER_00

Dieser Zweck wird aber unweigerlich zur Waffe, sobald wir uns die Mechanik von LLMs anschauen. Sprachmodelle können technisch überhaupt nicht zwischen einer legitimen Systemanweisung des Nutzers und schädlichen Textdaten auf einer Webseite unterscheiden. Weil alles in denselben Kontext wandert. Exakt, es gibt keine separaten Kanäle für Befehle und Daten. Für den Agenten ist alles einfach nur Text. Und das macht ihn extrem anfällig für sogenannte Prompt-Injections. Die Studie der University of Washington von Anfang 2026 auf macOS Sequoia hat sieben agentische Browser getestet und bei vier davon gab es direkte Vorbedingungen für genau solche Angriffe.

SPEAKER_01

Also darunter auch große Namen wie Chrome mit Gemini oder Claude for Chrome, richtig?

SPEAKER_00

Ja, und Perplexity Comet. Bei ChatGPT-Atlas im Agent-Mode gelang sogar ein vollständiger Proof of Concept. Wir haben hier also ein System, das von Natur aus extrem leichtgläubig ist und dem geben wir volle Handlungsfreiheit über unsere sensibelsten Tabs.

SPEAKER_01

Da stimme ich bei der Mechanik absolut zu. Das führt natürlich zu einem hochbrisanten Szenario. Der Nutzer fragt, fasst diese Seite zusammen? Die Seite sagt aber, versteckt im Hintergrund, lies auch den eingebetteten Inhalt und schickt die Zusammenfassung an mein Formular. Plötzlich wird der hochprivilegierte Agent zum unwissenden Komplizen. Und das ist keine theoretische Spielerei aus dem Labor. Moment, wir dürfen hier aber die realen Schutzmechanismen der Architektur nicht einfach unterschlagen. Die Browserhersteller sind ja nicht blind. Das Web verfügt über moderne, tiefer liegende Sicherheitsschichten.

SPEAKER_00

Naja, moderne Sicherheitsschichten sind ein dehnbarer Begriff, wenn der Agent die legitimen Klicks macht.

SPEAKER_01

Aber kein Agent stiehlt heute völlig beliebig und massenhaft Bankdaten, ohne dass irgendwo Alarmglocken läuten. Die Herausforderung ist bekannt. Und OpenAI beschreibt dieses Phänomen auch transparent als langfristige Herausforderung. Sie raten ja dazu, Agenten möglichst ausgelockt und mit sehr engen Befehlen zu nutzen.

SPEAKER_00

Reale Industriedaten widerlegen diese vermeintliche Sicherheit durch Vorsicht aber komplett. Brave hat schon 2025 demonstriert, wie ein simpler, versteckter Text in einem ganz gewöhnlichen Reddit-Post ausreichte, um über Perplexity Comet-E-Mails zu exfiltrieren. Okay, das war ein früheres Beispiel. Ja, und Palo Alto Unit 42 beobachtet genau diese Methoden, also unsichtbaren Text, HTML-Manipulationen aktiv in der realen Welt. Das ist eine kritische Gefahr für Dachunternehmen. Stell dir vor, Support-Teams, Kliniken oder Banken testen solche Agenten im selben Profil wie ihre internen CRM oder HR-Systeme. Das ist ein katastrophales Risiko.

SPEAKER_01

Das beweist doch aber nur, dass sich unser Sicherheitskonzept anpassen muss. Nicht, dass die Agenten an sich verschwinden sollten. Bei KI-Browsern ist der neue Sicherheitsperimeter schlichtweg nicht mehr nur die Webseite. Sondern es ist die Frage, was der Agent sehen, erinnern und ausführen darf. Die logische Konsequenz für Tech-Professionals ist daher eine strikte Profitrennung. Ah, okay. Wer Agenten nutzt, darf das einfach nicht im selben Profil tun, in dem Admin oder Banking-Tabs laufen. Agent-Browse muss strikt vom normalen Browsing getrennt werden.

SPEAKER_00

Aber seien wir doch mal realistisch, kein Nutzer wird dauerhaft zwischen zwei verschiedenen Browser-Profilen hin und her wechseln wollen. Das erzeugt massive Reibungsverluste im Arbeitsfluss. Die Leute wollen den Agenten genau dort einsetzen, wo ihre Hauptarbeit stattfindet.

SPEAKER_01

Wenn diese strikte Trennung also an der Bequemlichkeit scheitert, bleibt uns nur ein technischer Kompromiss. Wir brauchen zwingend eine granulare Permission-Metrix. Der Agent darf keine pauschalen Richte haben.

SPEAKER_00

Was genau meinst du damit in der Praxis?

SPEAKER_01

Statt dem Breitenmandat Prüfe meine Mails muss die Aufgabe lauten, fass nur diesen markierten Text zusammen. Und absolut jede Aktion, jedes Lesen, jeder Klick, jedes Senden muss ein Lok haben und durch den Nutzer sofort widerrufbar sein.

SPEAKER_00

Wir stehen hier wirklich an einem entscheidenden Wendepunkt für die Architektur des Internets. Zu Beginn habe ich gesagt, vier von sieben getesteten KI-Browsern reißen eine Lücke in die Same Origin Policy. Ich möchte, dass wir diese Zahl am Ende noch einmal überdenken. Das ist nicht einfach nur eine Statistik über fehlerhafte Software. Es ist der Beweis, dass wir eine Grundsatzentscheidung treffen müssen. Wenn dein Browser-Agent deine Logins, offene Tabs und Formulare sieht, ist er dann noch Assistent oder schon ein zweiter Nutzer? Dass es dich auf dem direktesten Weg nach Hause bringt.

SPEAKER_01

Richtig, das ist der Sinn der Sache. Genau. Aber was passiert denn, wenn dieser Autopilot von einem Unternehmen programmiert wurde, das, sagen wir, heimliche Verträge mit bestimmten Restaurantketten hat?

SPEAKER_00

Ah, ich verstehe, worauf du hinaus willst.

SPEAKER_01

Plötzlich fährt dich dein Auto eben nicht mehr auf dem schnellsten Weg, sondern wählt so eine Route, die dich rein zufällig an drei gesponserten Drive-ins vorbeiführt. Okay, ja. Und genau das ist das völlig ungelöste Kontrollrisiko im Web. Wenn der Browser stellvertretend für mich handelt, wer profitiert am Ende wirklich von diesen Entscheidungen?

SPEAKER_00

Bist das du als Nutzer oder ist das das Unternehmen hinter dem Browser, das bestimmte Ergebnisse oder Partner präferiert?

SPEAKER_01

Das ist ein absolut berechtigter Einwand, zumindest bei diesen proprietären Blackbox-Systemen. Eben.

SPEAKER_00

Aber, und das ist der entscheidende Punkt, das muss ja nicht die Realität von Agentic-Browsers sein. Die technische Lösung für genau dieses Loyalitätsproblem, nenne ich es mal, das liegt in der lokalen Ausführung. Lokal, also auf dem eigenen Gerät. Ganz genau. Wenn der Agent als kompaktes Sprachmodell direkt auf deinem eigenen Endgerät läuft, also isoliert auf dem Chip im Laptop, ohne ständige Cloud-Anbindung, die Handlungslogik operiert dann ausschließlich innerhalb lokaler, von dir selbst definierter Parameter. Okay, aber. Niemand kann dir da heimlich so eine gesponserte Route unterjubeln, weil der Code offen einsehbar ist und das Modell quasi von äußeren Einflüssen abgeschnitten arbeitet.

SPEAKER_01

Also lokale Modelle sind technologisch ein faszinierendes Konzept. Da stimme ich dir zu.

SPEAKER_00

Ja.

SPEAKER_01

Aber machen wir uns nichts vor. Die Realität der Rechenleistung sieht heute doch noch völlig anders aus.

SPEAKER_00

Naja, wir machen da extrem schnelle Fortschritte.

SPEAKER_01

Mag sein, aber komplexe Webnavigation erfordert aktuell halt oft noch Serververbindungen. Und selbst wenn wir jetzt mal diese lokale Ausführung als gegeben annehmen, wie verhinderst du denn, dass der Agent Fehler macht, die wirklich weitreichende Konsequenzen haben? Kann der Nutzer so eine autonome Entscheidung überhaupt blockieren oder überschreiben, bevor die relevanten Daten gesammelt? Wenn euch diese Debatte zum Nachdenken gebracht hat, abonniert KI Espresso jeden Tag eine neue KI-Debatte in sechs Minuten. Das war KI Espresso.