Perplexity Comet-Browser: Datenklau durch simple Kalendereinladung bis vorigen Monat möglich

Veröffentlicht am 5. März 2026 von Günter Born

Stop - PixabayIch hoffe, niemand aus der Leserschaft das Blogs mit dem Comet Browser von Perplexity unterwegs. Der AI-Browser fällt mir ja seit seinem Start durch gravierende Schwachstellen auf. Die Tage ging erneut eine Meldung zu einer gravierenden Schwachstelle im Perplexity Comet-Browser durch die Medien. Es reichte eine einfache Kalendereinladung zu schicken, damit die AI-Funktionen Daten des betreffenden Benutzers herausrückten. Ein Alptraum für Sicherheitsexperten.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Der AI-Anbieter Perplexity bewirbt ja seinen Comet Browser als Stein der Weisen – der soll mit integrierten Agenten alles, vom Browsen über Reisebuchungen bis zum Kaffee kochen können. Ich hatte hier im Blog bereits über Sicherheitsrisiken berichtet (siehe Links am Artikelende).

Im Oktober 2026 stießen Sicherheitsforscher von Zenity Labs auf ein fettes Sicherheitsproblem. Sie entdeckten, dass der KI-Browser Comet von Perplexity das lokale Dateisystem des Benutzers ungeschützt ließ. "Wir haben zwei Probleme festgestellt", erklärte Michael Bargury, CTO von Zenity, in einem Interview gegenüber The Register. "Ein Problem war, dass Perplexity dem KI-Agenten keine Beschränkungen auferlegt hatte, auf irgendetwas im Dateisystem zuzugreifen."

Im Browser konnte man der Browser auf das Protokoll file:// und damit auf alle Dateien des Benutzers zugreifen. Normalerweise soll beispielsweise eine JavaScript-Anwendung beim Aufruf einer Website, aufgrund von Cross-Origin-Beschränkungen, nicht einfach diese Zugriffe auf Dateien oder eine andere URL in einem anderen Browser-Tab abfragen können. KI-Browser halten sich jedoch nicht strikt an Cross-Origin-Beschränkungen, so die Erkenntnis der Sicherheitsforscher.

Angreifer konnten eine bösartige Kalendereinladung erstellen und Anweisungen zum Diebstahl von Daten vom Computer des Opfers einbetten. Wurde diese Kalendereinladung im Perplexity Comet geöffnet, konnten die Angreifer ohne die Erlaubnis des Benutzers  oder eine Benachrichtigung auf eine Datei des Benutzers zuzugreifen, sagen die Sicherheitsforscher.

The Register hat das ganze Schlamassel mit weiteren Informationen im Beitrag Until last month, attackers could've stolen info from Perplexity Comet users just by sending a calendar invite dokumentiert. Tolle Zukunftsaussichten, denen sich manche Zeitgenossen mit wachsender Begeisterung entgegen werfen – oder?

Ähnliche Artikel:
Gartner warnt: Blockt aus Sicherheitsgründen alle KI-Browser auf absehbare Zeit
KI-Irrsinn Teil 2: Amazon schickt Unterlassungserklärung an Perplexity AI für Einkäufe über Comet
Perplexity Comet Browser Prompt Injection als großes Sicherheitsrisiko

Dieser Beitrag wurde unter AI, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Perplexity Comet-Browser: Datenklau durch simple Kalendereinladung bis vorigen Monat möglich

  1. Matou sagt:
    5. März 2026 um 16:14 Uhr

    Hallo Günther,

    ich vermute, das soll 2025 richtig heißen: Im Oktober 2026 stießen Sicherheitsforscher von Zenity Labs auf ein fettes Sicherheitsproblem

    vg

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.