{"id":317530,"date":"2025-10-27T07:12:17","date_gmt":"2025-10-27T06:12:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317530"},"modified":"2025-10-27T08:14:01","modified_gmt":"2025-10-27T07:14:01","slug":"sicherheitsprobleme-perplexity-comet-browser-copilot-teams-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/27\/sicherheitsprobleme-perplexity-comet-browser-copilot-teams-und-mehr\/","title":{"rendered":"Sicherheit: AI-Browser und Copilot-Schwachstellen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Der von Perplexity vorgestellte Comet-Browser ist quasi eine perfekte \u00dcberwachungsl\u00f6sung und verursacht jede Menge Sicherheitsprobleme, Fall von geht gar nicht. \u00c4hnliches gilt f\u00fcr weitere AI-Browser. Sicherheitsforscher haben einen Meermaid-Angriff auf den Microsoft 365 Copilot demonstriert, und bei Microsoft Teams k\u00f6nnen Angreifer Anmeldetokens abgreifen. Daf\u00fcr \u00fcberwachst MS Teams ab Dezember 2025, wer wie lange im Home-Office gearbeitet hat.\u00a0Ich fasse mal einige Meldungen in einem Sammelbeitrag zusammen.<\/p>\n<p><!--more--><\/p>\n<h2>AI-Browser als Sicherheitsdesaster?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/5b2a408fc5864406aa1fd28f122f0705\" alt=\"\" width=\"1\" height=\"1\" \/>Vorige Woche hat OpenAI ja seinen Atlas KI-Browser f\u00fcr macOS vorgestellt. Die Medien \u00fcberschlagen sich mit Artikeln \u00fcber den Angriff von ChatGPT Atlas auf Google Chrome &#8211; nachfolgend einige Schlagzeilen der Google-Suche.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/hjRmYPpr\/image.png\" alt=\"OpenAI Atlas-KI-Browser\" width=\"640\" height=\"327\" \/><\/p>\n<p>Es wird nicht weniger als eine \"Revolution\" suggeriert und es ist von einem neuen Browser-Krieg die Rede. So ganz spontan ging mir \"haben die den Verstand mit dem Hut an der Garderobe abgegeben\" bei diesen Schlagzeilen durch den Kopf. Ein Browser, der alles, was Du tust, sieht, \u00fcberwachst und in ein LLM einspeist? Gut, einem anderen Browser muss ich auch vertrauen, dass die Daten beim Online-Banking sicher sind und auf dem Rechner bleiben. Aber bei einem AI-Browser wandern die Daten per Definition zur Verarbeitung in das Large Language Modell (LLM).<\/p>\n<h3>Perplexity Comet-Browser kann Screenshots anfertigen<\/h3>\n<p>Von Perplexity gibt es ja den Comet-Browser. Im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/25\/perplexity-comet-browser-prompt-injection-als-sicherheitsrisiko\/\" rel=\"bookmark\">Perplexity Comet Browser Prompt Injection als gro\u00dfes Sicherheitsrisiko<\/a> hatte ja bereits im August 2025 \u00fcber die Risiken berichtet.<\/p>\n<p><a href=\"https:\/\/x.com\/cyb3rops\/status\/1981383972949999839\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/8CZ5Rpxg\/image.png\" alt=\"Perpexity Comet-Browser als Risiko\" width=\"532\" height=\"559\" \/><\/a><\/p>\n<p>In obigem <a href=\"https:\/\/x.com\/cyb3rops\/status\/1981383972949999839\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> weist Sicherheitsexperte Florian Roth drauf hin, dass der Comet-Browser von Perplexity jetzt auch Screenshots der besuchten Seiten anfertigen und diese analysieren kann. Erinnert sich noch jemand an den Aufschrei, als Microsoft Recall einf\u00fchrte? So etwas ist die perfekte \u00dcberwachungsmaschine, und Brave hat es in einer<a href=\"https:\/\/x.com\/brave\/status\/1980667351000584627\" target=\"_blank\" rel=\"noopener\"> Serie von Tweets<\/a> aufgedr\u00f6selt.<\/p>\n<ul>\n<li>Der KI-Assistent von Perplexity Comet kann Screenshots von Websites erstellen und diese f\u00fcr Benutzer analysieren.<\/li>\n<li>Der Comet-Browser befolgt jedoch auch Anweisungen, die auf einer Webseite versteckt sind, wenn Screenshots erstellt werden.<\/li>\n<\/ul>\n<p>Wer halbwegs sicher sein will, sollte einen weiten Bogen um AI-Browser und KI-Assistenten machen und die Berechtigungen zum Zugriff auf Daten begrenzen.<\/p>\n<h3>Spoofing von Atlas-, Comet- und weiteren AI-Browsernutzern<\/h3>\n<p>Der obige Sicherheitssplitter zum Comet-Browser von Perpexity l\u00e4sst sich auf weitere AI-Browser ausweiten. Sicherheitsforscher haben gezeigt, welche Risiken bei AI-Browsern vorhanden sind. Dazu haben die Forscher\u00a0drei realistische Angriffsszenarien erstellt, in denen ein Angreifer ein sogenanntes \"AI Sidebar Spoofing\" missbrauchen k\u00f6nnte.<\/p>\n<p>Das Ergebnis: Die Browser Atlas von OpenAI und Comet von Perplexity sind anf\u00e4llig f\u00fcr Angriffe, die die integrierte KI-Sidebar\u00a0 manipulieren und Benutzer dazu verleiten k\u00f6nnen, b\u00f6swillige Anweisungen zu befolgen. Angreifer k\u00f6nnen die Techniken\u00a0nutzen, um Kryptow\u00e4hrung zu stehlen, auf die Gmail- und Google Drive-Dienste eines Opfers zuzugreifen und ein Ger\u00e4t zu kapern.\u00a0Die Kollegen von Bleeping Computer haben es gerade im Artikel\u00a0<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/spoofed-ai-sidebars-can-trick-atlas-comet-users-into-dangerous-actions\/\" target=\"_blank\" rel=\"noopener\">Spoofed AI sidebars can trick Atlas, Comet users into dangerous actions<\/a> aufgegriffen.<\/p>\n<blockquote><p>In diesem Kontext ein Hinweis auf den bereits einige Tage alten <a href=\"https:\/\/www.heise.de\/news\/Prompts-Telefon-Standort-Social-Media-LLMs-sammeln-massiv-persoenlich-Daten-10466018.html\" target=\"_blank\" rel=\"noopener\">heise-Beitrag hier<\/a>, der darauf hinweist, dass\u00a0LLM-Betreiber umfangreich pers\u00f6nliche Daten sammeln und diese auch weiter geben.<\/p><\/blockquote>\n<h3>KI-Assistenten auch inhaltlich ein Flop<\/h3>\n<p>Nun werden die AI-Browser ja als Revolution gefeiert, die den Leuten das Leben erleichtern. Wer alle Bedenken \u00fcber Bord wirft und den Verstand mit dem Hut an der Garderobe abgibt, k\u00f6nnte die Werkzeuge nutzen. Zuf\u00e4llig bin ich die Tage bei ArsTechnica auf den Beitrag\u00a0<a href=\"https:\/\/arstechnica.com\/features\/2025\/10\/we-let-openais-agent-mode-surf-the-web-for-us-heres-what-happened\/\" target=\"_blank\" rel=\"noopener\">We let OpenAI's \"Agent Mode\" surf the web for us\u2014here's what happened<\/a> gesto\u00dfen. Beim Querlesen hatte ich (abseits vom Sinn des Ganzen) nicht das Gef\u00fchl, dass die Ergebnisse der Br\u00fcller waren. Es wurde irgend etwas von den AI-Agenten gemacht, aber nichts richtig.<\/p>\n<p>The Register hat in <a href=\"https:\/\/www.theregister.com\/2025\/10\/24\/bbc_probe_ai_news\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> einen Test der BBC aufgegriffen. Deren Ergebnis: KI-Chatbots verf\u00e4lschen fast die H\u00e4lfte aller\u00a0 Zusammenfassungen von Nachrichten. Google Gemini soll die schlechtesten Ergebnisse liefern. Und dies, obwohl Zusammenfassungen durch KI doch als der gro\u00dfe Wurf, der massiv Zeit erspart, gefeiert wird. Noch Fragen?<\/p>\n<blockquote><p>Weil es gerade so sch\u00f6n passt, da viele Nutzer wirklich am Verstand zweifeln lassen. Ars Technica hat es in <a href=\"https:\/\/arstechnica.com\/security\/2025\/10\/this-browser-claims-perfect-privacies-protection-but-it-acts-like-malware\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> aufgegriffen. Es gibt den \"Universe Browser\", der millionenfach heruntergeladen wird und mit chinesischen Online-Gl\u00fccksspiel-Websites verkn\u00fcpft ist. Der Anbieter wirbt damit dass der Browser \"Verletzungen ihrer Privatsph\u00e4re vermeiden\" k\u00f6nne, der schnellste Browser sei und vor \"Gefahren sch\u00fctze\".<\/p>\n<p>Nach den neuen Erkenntnissen des Sicherheitsanbieters Infoblox\u00a0leitet der Browser\u00a0den gesamten Internetverkehr \u00fcber Server in China und installiert heimlich mehrere Programme, die unbemerkt im Hintergrund laufen. Laut den Sicherheitsforscher enthalten die \"versteckten\" Elemente Funktionen, die denen von Malware \u00e4hneln \u2013 darunter Keylogging, heimliche Verbindungen und die \u00c4nderung der Netzwerkverbindungen eines Ger\u00e4ts. Passt doch &#8211; versprich etwas und die Leute h\u00fcpfen.<\/p><\/blockquote>\n<h2>Sneaky Mermaid-Angriff auf Copilot zum Datenklau<\/h2>\n<p>In Microsoft 365 gab es eine sogenannte Prompt Injection-Schwachstelle, \u00fcber die Angreifer sensitive Daten abziehen konnten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/50BSfk09\/image.png\" alt=\"Copilot Prompt Injection-Schwachstelle\" width=\"536\" height=\"772\" \/><\/p>\n<p>Der Angriff war m\u00f6glich, wenn ein Benutzer Microsoft Copilot auffordert, eine b\u00f6swillig erstellte Excel-Tabelle zusammenzufassen.\u00a0Versteckte Anweisungen, die in wei\u00dfem Text \u00fcber mehrere Bl\u00e4tter eingebettet sind, verwenden progressive Aufgabenmodifikationen und verschachtelte Befehle, um das Verhalten des Copiloten zu manipulieren. So konnten vertrauliche Daten &#8211; auch in E-Mails- abgezogen werden.<\/p>\n<p>Microsoft will diese Schwachstelle inzwischen gepatcht haben. Cyber Security News hat es in <a href=\"https:\/\/cybersecuritynews.com\/copilot-prompt-injection-vulnerability-2\/#google_vignette\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> aufgegriffen. The Register geht in <a href=\"https:\/\/www.theregister.com\/2025\/10\/24\/m365_copilot_mermaid_indirect_prompt_injection\/\" target=\"_blank\" rel=\"noopener\">diesem Beitra<\/a>g auf das Thema ein.<\/p>\n<h2>Gaming Copilot sendet ungefragt Daten<\/h2>\n<p>Bei Golem habe ich in<a href=\"https:\/\/www.golem.de\/news\/gaming-copilot-windows-11-sendet-ungefragt-spieldaten-an-microsoft-2510-201455.html\" target=\"_blank\" rel=\"noopener\"> diesem Artikel<\/a> gelesen, dass der in Windows 11 enthaltene Gaming Copilot ungefragt Spielinhalte aufzeichnet und diese f\u00fcr KI-Trainings an Microsoft \u00fcbermittelt. Das sei teils standardm\u00e4\u00dfig eingeschaltet, hei\u00dft es. Irgendwo las ich zum Wochenende eine Stellungnahme Microsofts, dass die Daten nicht zum KI-Training sondern nur zur Verbesserung des Diensts genutzt w\u00fcrden.<\/p>\n<h2>Phishing mit Copilot-Studio<\/h2>\n<p>Die Kollegen von Bleeping Computer gehen in nachfolgendem <a href=\"https:\/\/x.com\/BleepinComputer\/status\/1982123103380488371\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> und in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> auf eine\u00a0neue Phishing-Technik namens \"CoPhish\" ein.<\/p>\n<p><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/GhX2ZJcG\/image.png\" alt=\"Copilot-Studio Phishing\" width=\"530\" height=\"556\" \/><\/a><\/p>\n<p>Die Phishing-Technik missbraucht Microsoft Copilot Studio-Agenten, um betr\u00fcgerische OAuth-Zustimmungsanfragen \u00fcber legitime und vertrauensw\u00fcrdige Microsoft-Domains zu versenden. Laut BleepingComputer plant Microsoft, dies in einem zuk\u00fcnftigen Update zu beheben.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der von Perplexity vorgestellte Comet-Browser ist quasi eine perfekte \u00dcberwachungsl\u00f6sung und verursacht jede Menge Sicherheitsprobleme, Fall von geht gar nicht. \u00c4hnliches gilt f\u00fcr weitere AI-Browser. Sicherheitsforscher haben einen Meermaid-Angriff auf den Microsoft 365 Copilot demonstriert, und bei Microsoft Teams k\u00f6nnen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/10\/27\/sicherheitsprobleme-perplexity-comet-browser-copilot-teams-und-mehr\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,7263,426,7459],"tags":[8393,8692,4328,3836,5595],"class_list":["post-317530","post","type-post","status-publish","format-standard","hentry","category-ai","category-cloud","category-sicherheit","category-software","tag-copilot","tag-i","tag-sicherheit","tag-software","tag-teams"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=317530"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/317530\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=317530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=317530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=317530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}