Eine raffinierte Schadsoftware-Kampagne hat sensible KI-Konversationen von fast einer Million Google-Chrome-Nutzern abgegriffen. Sicherheitsforscher warnen vor zwei populären Browser-Erweiterungen, die als Produktivitätstools getarnt sind.
Die bösartigen Add-ons mit über 900.000 Installationen haben private Chat-Protokolle, Unternehmensdaten und Browserverläufe zu Server der Angreifer übertragen. Sie zielten spezifisch auf Interaktionen mit OpenAIs ChatGPT und dem chinesischen KI-Modell DeepSeek ab. Analysten bezeichnen diesen Trend als „Prompt Poaching“ – das gezielte Abfangen wertvoller KI-Datenströme.
Zwei Erweiterungen im Fokus der Angreifer
Berichte von The Hacker News und TechRadar enthüllen Details zu den beiden Chrome-Erweiterungen: „Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI“ und „AI Sidebar with Deepseek, ChatGPT, Claude, and more“. Laut Analysen von OX Security imitieren sie ein legitimes Tool des Entwicklers AITOPIA.
Browser-Erweiterungen können langfristig Zugriff auf Ihre Chat-Verläufe und Unternehmensdaten ermöglichen – genau wie die hier beschriebenen bösartigen Add-ons. Ein kostenloser Cyber‑Security-Report erklärt praxisnah, wie Sie Erweiterungen sicher prüfen, welche Berechtigungen kritisch sind und welche Sofort‑Einstellungen Ihre Privatsphäre schützen. Ideal für IT‑Verantwortliche und alle, die sensible KI‑Konversationen schützen wollen. Jetzt kostenlosen Cyber-Security-Report sichern
Besonders alarmierend: Eine der schädlichen Erweiterungen trug zeitweise das „Featured“-Abzeichen von Google. Dieses Gütesignal sollte eigentlich hohe Sicherheitsstandards bestätigen – und verlieh dem Angriff so einen unverdienten Vertrauensvorschuss.
Die Dimension ist enorm. Mit kombiniert 900.000 Installationen konnten die Angreifer auf einen riesigen Datenpool zugreifen. Die Erweiterungen blieben bis Anfang dieser Woche im Chrome Web Store verfügbar, obwohl das „Featured“-Label mittlerweile entfernt wurde.
Gezielter Angriff auf KI-Plattformen
Anders als generische Spionage-Software konzentriert sich diese Kampagne gezielt auf die boomende Nutzung von Large Language Models (LLMs). Die Malware erkennt, wenn Nutzer chatgpt.com oder deepseek.com besuchen.
Über die Chrome-API tabs.onUpdated extrahiert sie dann den vollständigen Text der Konversationen:
* Nutzer-Eingaben: Fragen und Anweisungen der Nutzer
* KI-Antworten: Die generierten Antworten der Modelle
* Sitzungs-Metadaten: Eindeutige Identifikatoren für dauerhafte Nachverfolgung
Die Einbeziehung von DeepSeek als primäres Ziel markiert eine neue Entwicklung. Das chinesische KI-Modell erlebt derzeit rapide Verbreitung. Durch die Kombination westlicher und chinesischer Plattformen maximierten die Angreifer ihre globale Datenernte – von Software-Code und Vertragsentwürfen bis zu persönlichen Anfragen.
So funktioniert der Datenklau
Technische Analysen zeigen ein ausgeklügeltes Vorgehen: Die gestohlenen Daten werden nicht sofort übertragen, sondern lokal zwischengespeichert. Alle 30 Minuten sendet die Malware die gesammelten Logs gebündelt an Command-and-Control-Server mit den Domains deepaichats[.]com und chatsaigpt[.]com.
Besonders tückisch: Die Persistenz-Mechanismen. Versucht ein Nutzer eine der schädlichen Erweiterungen zu deinstallieren, triggert der Code automatisch eine Aufforderung zur Installation der anderen bösartigen Erweiterung. Dieser „Tag-Team“-Ansatz soll Nutzer im kompromittierten Ökosystem halten.
Die Erweiterungen fordern zudem umfassende Berechtigungen wie „Daten auf allen Websites lesen und ändern“. Sie rechtfertigen dies mit angeblichen „anonymen Analysen“ zur Verbesserung der Nutzererfahrung. Tatsächlich ermöglicht dies den Zugriff auf den gesamten Browserverlauf und interne Unternehmens-URLs.
Warum End-to-End-Verschlüsselung nicht schützt
Die Enthüllung dieser Kampagne fällt in eine Phase mit stark zunehmenden bösartigen Browser-Add-ons. Experten warnen, dass „Prompt Poaching“ zur bevorzugten Taktik von Cyberkriminellen wird, um traditionelle Netzwerkverteidigungen zu umgehen.
Das Problem: Die Daten werden innerhalb des Browsers abgefangen – nachdem die Verschlüsselung für die Anzeige entschlüsselt, aber bevor sie den KI-Anbieter erreicht. End-to-End-Verschlüsselung bietet daher keinen Schutz gegen diesen spezifischen Angriffsvektor.
Google hat die Berichte bestätigt und eine Überprüfung angekündigt. Doch die Verzögerung zwischen Entdeckung und Entfernung hat Hunderttausende Nutzer exponiert gelassen.
Was Nutzer jetzt tun sollten
Sicherheitsfirmen drängen Nutzer zu sofortigen Kontrollen:
1. Überprüfen Sie manuell alle Browser-Erweiterungen
2. Seien Sie extrem misstrauisch gegenüber Erweiterungen, die „GPT-5“-Funktionen versprechen – dieses Modell wurde von OpenAI noch nicht veröffentlicht
3. Vorsicht bei Add-ons, die mehrere KI-Dienste in einer Sidebar bündeln
Betroffene sollten die Erweiterungen sofort entfernen, Browser-Cache und Cookies löschen und Passwörter für alle Dienste ändern, die während der Installation genutzt wurden.
Browser-Erweiterungen als kritische Schwachstelle
Der Erfolg dieser Kampagne zeigt: Browser-Erweiterungen bleiben 2026 eine kritische Schwachstelle in Unternehmensarchitekturen. Mit der zunehmenden Nutzung von KI-Tools für Programmierung, Datenanalyse und Content-Erstellung steigt der Wert der durch diese Schnittstellen fließenden Daten.
Analysten prognostizieren strengere Richtlinien für Extension-Stores, möglicherweise mit obligatorischen Code-Reviews für alle Add-ons mit Zugriff auf bekannten KI-Domains. Unternehmen sollten bereits jetzt Richtlinien implementieren, die die Installation ungeprüfter Erweiterungen auf Firmengeräten einschränken – sonst riskieren sie unbeabsichtigte Datenlecks mit geistigem Eigentum und Geschäftsgeheimnissen.
PS: Wollen Sie sich vor solchen „Prompt Poaching“-Angriffen schützen, ohne sofort in teure Lösungen zu investieren? Der kostenlose Cyber‑Security‑Leitfaden liefert kompakte Sofort‑Checks, Prioritäten für Sicherheits-Hardening und praxiserprobte Schutzmaßnahmen für Unternehmen und Privatnutzer. Kurz, verständlich und zum direkten Umsetzen. Kostenlosen Cyber-Security-Guide herunterladen
