Die Sicherheit von KI-gestützten Browsern steht aktuell auf dem Prüfstand,…
Das Problem liegt in der Art und Weise, wie Comet mit externen Eingaben umgeht. Der Browser, der als agentenbasiertes System konzipiert ist, soll Nutzer bei komplexen Aufgaben unterstützen, indem er eigenständig…
Lutz Magnus Feldhege
March 5th, 2026
Die Sicherheit von KI-gestützten Browsern steht aktuell auf dem Prüfstand, nachdem Forscher eine gravierende Schwachstelle in Perplexitys Comet-Browser aufgedeckt haben. Mit einer scheinbar harmlosen Kalendereinladung gelang es ihnen, das System so zu manipulieren, dass es lokale Dateien auslas und sogar vollständige 1Password-Konten übernehmen konnte. Dieser Vorfall unterstreicht die Risiken, die mit der zunehmenden Autonomie von KI-Agenten einhergehen – insbesondere, wenn sie auf sensible Nutzerdaten zugreifen können.
Das Problem liegt in der Art und Weise, wie Comet mit externen Eingaben umgeht. Der Browser, der als agentenbasiertes System konzipiert ist, soll Nutzer bei komplexen Aufgaben unterstützen, indem er eigenständig Aktionen ausführt. Doch genau diese Autonomie macht ihn anfällig für gezielte Angriffe. Die Forscher nutzten eine präparierte Kalendereinladung, um Comet dazu zu bringen, schädliche Befehle auszuführen. Dabei wurden nicht nur lokale Dateien ausgelesen, sondern auch die Anmeldedaten für 1Password kompromittiert. Besonders brisant: Der Angriff erforderte keine Interaktion des Nutzers, sondern funktionierte allein durch das Öffnen der Einladung.
Die Schwachstelle wirft grundsätzliche Fragen zur Sicherheit von KI-Agenten auf. Während herkömmliche Browser durch Sandboxing und strenge Zugriffsbeschränkungen geschützt sind, arbeiten agentenbasierte Systeme wie Comet mit erweiterten Rechten, um ihre Aufgaben zu erfüllen. Diese Flexibilität ist gleichzeitig ihre Achillesferse. Ein Angreifer, der die Logik des Systems versteht, kann es dazu bringen, Aktionen auszuführen, die eigentlich nicht vorgesehen sind. Im Fall von Comet reichte ein manipulierter Kalendereintrag aus, um diese Logik zu unterwandern.
Für Nutzer bedeutet dies, dass sie bei der Verwendung solcher KI-Tools besonders vorsichtig sein müssen. Kalendereinladungen, Links oder andere externe Eingaben sollten nicht ungeprüft an KI-Agenten weitergegeben werden. Perplexity hat nach eigenen Angaben bereits Maßnahmen ergriffen, um die Schwachstelle zu schließen. Dennoch bleibt die Frage, wie viele ähnliche Lücken in anderen KI-Systemen noch unentdeckt sind. Die Forscher betonen, dass solche Angriffe nicht auf Comet beschränkt sind, sondern prinzipiell jedes System treffen können, das auf agentenbasierte Automatisierung setzt.
Die Entwicklung zeigt, dass die Sicherheit von KI-Agenten nicht nur eine technische, sondern auch eine konzeptionelle Herausforderung ist. Solange diese Systeme mit erweiterten Rechten arbeiten, um ihre Aufgaben zu erfüllen, werden sie ein attraktives Ziel für Angreifer bleiben. Unternehmen wie Perplexity stehen daher vor der Aufgabe, ihre Sicherheitsmodelle grundlegend zu überdenken – ohne dabei die Funktionalität ihrer Produkte einzuschränken. Für Nutzer bleibt vorerst nur, wachsam zu bleiben und sensible Daten nicht ungeschützt in die Hände von KI-Agenten zu legen.