{"id":314923,"date":"2025-08-25T11:39:21","date_gmt":"2025-08-25T09:39:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314923"},"modified":"2025-08-25T21:19:50","modified_gmt":"2025-08-25T19:19:50","slug":"perplexity-comet-browser-prompt-injection-als-sicherheitsrisiko","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/25\/perplexity-comet-browser-prompt-injection-als-sicherheitsrisiko\/","title":{"rendered":"Perplexity Comet Browser Prompt Injection als gro\u00dfes Sicherheitsrisiko"},"content":{"rendered":"

\"Copilot\"[English<\/a>]N\u00e4chster Fail aus dem Bereich KI-Agenten. Die Entwickler des Brave-Browser haben eine Schwachstelle im Perplexity Comet Browser\u00a0 offen gelegt. Per Prompt Injection w\u00e4re es m\u00f6glich, sensitive Informationen aus dem Agenten abzurufen und dem Agenten Anweisungen zu geben, im Namen des Benutzers Fake-Bestellungen auszuf\u00fchren. Da zieht eine neue Phalanx an Sicherheitsrisiken ein, und von den AI-Anbietern gibt es Null Schutzma\u00dfnahmen dagegen.<\/p>\n


\nAI-Agenten als Stein der Weisen?<\/h2>\n

\"\"AI-Agenten werden ja \u00fcberall als \"Stein der Weisen\" gehypt. Die erledigen deine Mails, buchen Fl\u00fcge, Hotels, Tische in Restaurants und besorgen auch ein Geburtstagsgeschenk f\u00fcr die Frau, falls Mann keine Zeit hat. Aber wie im wahren Leben, wo unlautere Hausangestellte auf eigene Rechnung arbeiten und den Arbeitgeber betr\u00fcgen, ist die AI auch nicht ohne Fehl und Tadel. Mal ist es die Geschw\u00e4tzigkeit der AI-Agenten, die von Angreifern ausgenutzt werden kann. Mal sind es Schw\u00e4chen in den Agenten, die sich von Angreifern missbrauchen lassen.<\/p>\n

Agressiver Anbieter Perplexity<\/h2>\n

Der AI-Anbieter Perplexity f\u00e4llt einerseits durch aggressives Crawling von Webseiten auf. Ich hatte es hier im Blog nicht thematisiert, aber Perplexity nutzt alle Schweinereien, um Blockaden seines Crawlers durch Webseiten-Direktiven zu umgehen. CloudFlare hatte das in diesem Blog-Beitrag<\/a> beschrieben.<\/p>\n

Perplexity hat zudem den KI-Browser Comet, mit dem Nutzer Aufgaben automatisieren, Fragen stellen, im Internet recherchieren und vieles mehr k\u00f6nnen sollen. Versprochen wird, dass der die Nutzer Zeit sparen. heise hat sich im Juli 2025 in diesem Artikel<\/a> \u00fcber den auf Chromium basierenden Browser, der die Perpexity-Suchmaschine benutzt, ausgelassen.<\/p>\n

Und dann war da noch der Marketing-Stunt, den Google Chrome-Browser zu kaufen (siehe Perplexity will den Google Chrome Browser f\u00fcr 34,5 Milliarden Dollar kaufen<\/a>). Ich w\u00fcrde es mal in Badischer Art so beschreiben: Perplexity ist eher kein (sym)badisches, sondern eher ein unsym(p)badisches Unternehmen.<\/p>\n

Aber Perplexity l\u00e4sst sich gegen andere Anbieter wie OpenAI, Google etc. und deren AI-Bots bzw. Agenten austauschen. Da lauern potentiell die gleichen Risiken.<\/p><\/blockquote>\n

AI-Agent bestellt Fake-Sachen \u00fcber Comet-Browser<\/h2>\n

KI-Agenten, die im Internet surfen und Aufgaben in eines Nutzers ausf\u00fchren k\u00f6nnen, haben zwar ein unglaubliches Potenzial, bringen aber auch neue Sicherheitsrisiken mit sich. Die Entwickler des Brave-Browsers sind k\u00fcrzlich auf eine besorgniserregende Schwachstelle im Comet-Browser von Perplexity gesto\u00dfen. Diese gef\u00e4hrdet die Konten der Nutzer und andere sensible Daten.<\/p>\n

Ich bin \u00fcber nachfolgenden Tweet<\/a> bzw. einen Link auf Techmeme auf den Beitrag\u00a0Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet<\/a> mit den Details gesto\u00dfen, den die Browser-Entwickler von Brave bereits zum 20. August 2025 ver\u00f6ffentlicht haben.<\/p>\n

\"Perplexity<\/a><\/p>\n

So in Kurzfassung: Der Comet-Browser kann Websites f\u00fcr Benutzer zusammenfassen (mir hatte Perplexity.ai in seiner Suchmaschine schon mal halluzinierend angedichtet, dass ich verstorben sei, und ich jetzt aus dem Jenseits blogge, das Teil hat sich aber wieder gefangen und behauptet jetzt das Gegenteil).<\/p>\n

Aber es gibt in Verbindung mit dem Comet-Browser und seinen Agenten ein gravierendes Problem grunds\u00e4tzlicher Natur: Bei der Verarbeitung der Inhalte einer Website kann Comet die Inhalte der Website nicht von legitimen Anweisungen des Benutzers unterscheiden.<\/p>\n

Das bedeutet, dass der Browser Befehle ausf\u00fchren kann, die von einem Angreifer auf der Website versteckt wurden. Diese b\u00f6sartigen Anweisungen k\u00f6nnen wei\u00dfer Text auf wei\u00dfem Hintergrund oder HTML-Kommentare sein. Oder es kann sich um einen Social-Media-Beitrag handeln.<\/p>\n

Das Problem ist l\u00e4nger bekannt, beispielsweise, dass Dokumente aus wissenschaftlichen Arbeiten unsichtbare AI-Prompts enthalten, die AI-Modelle und Bots anweisen, diese zu pushen und positiv zu rezensieren heise hatte dies im Juli 2025 hier thematisiert<\/a>). Aber es geht noch b\u00f6swilliger: Wenn der AI-Teil des Comet-Browers die Befehle beim Zusammenfassen sieht, f\u00fchrt es diese aus, auch wenn sie dem Benutzer schaden k\u00f6nnten. Dies wird als indirekte Prompt-Injection bezeichnet.<\/p>\n

Beispiel f\u00fcr einen indirekten Prompt-Injection-Angriff<\/h3>\n

Die Brave Sicherheitsexperten haben ein realistisches Szenario f\u00fcr einen Angriff per\u00a0indirektem Prompt-Injection-Angriff skizziert.<\/p>\n