{"id":32918,"date":"2025-11-26T15:02:35","date_gmt":"2025-11-26T13:02:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32918"},"modified":"2025-11-26T15:02:35","modified_gmt":"2025-11-26T13:02:35","slug":"ai-sidebar-spoofing-atlas-comet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ai-sidebar-spoofing-atlas-comet\/32918\/","title":{"rendered":"Gef\u00e4lschte Seitenleisten in KI-Browsern"},"content":{"rendered":"

Cybersicherheitsforscher haben eine neue Angriffsmethode enth\u00fcllt: Sie hat KI-Browser zum Ziel und wird als AI Sidebar Spoofing<\/a> (F\u00e4lschung von KI-Seitenleisten) bezeichnet. Dieser Angriff nutzt eine Gewohnheit, die unter Nutzern immer mehr zunimmt: Sie vertrauen den Anweisungen, die sie von KI erhalten, ohne daran zu zweifeln. Die Forscher implementierten AI Sidebar Spoofing erfolgreich in zwei g\u00e4ngige KI-Browser: Comet von Perplexity und Atlas von OpenAI.<\/p>\n

F\u00fcr ihre Experimente verwendeten die Forscher zun\u00e4chst Comet, best\u00e4tigten jedoch sp\u00e4ter, dass der Angriff auch im Atlas-Browser erfolgreich war. In diesem Artikel erkl\u00e4ren wir am Beispiel von Comet, wie sich KI-Seitenleisten f\u00e4lschen lassen. Das Gesagte gilt jedoch ebenso f\u00fcr Atlas.<\/p>\n

Wie funktionieren KI-Browser?<\/h2>\n

Sehen wir uns zuerst an, was KI-Browser eigentlich sind. 2023 und 2024 wurde viel dar\u00fcber diskutiert, dass K\u00fcnstliche Intelligenz die traditionelle Suche im Internet ersetzen oder zumindest ver\u00e4ndern<\/a> k\u00f6nnte. In dieser Zeit gab es auch erste Versuche, KI in die Online-Suche zu integrieren.<\/p>\n

Urspr\u00fcnglich waren dies Zusatzfunktionen in herk\u00f6mmlichen Browsern (z.\u00a0B. Microsoft Edge Copilot<\/a> und Brave Leo<\/a>), die als KI-Seitenleisten implementiert wurden. Zur Browseroberfl\u00e4che wurden integrierte Assistenten hinzugef\u00fcgt, mit denen man Seiten zusammenfassen, Fragen beantworten und auf Websites navigieren konnte. 2025 wurde dieses Konzept weiterentwickelt und f\u00fchrte zu Comet von Perplexity AI<\/a>. Es war der erste Browser, der von Grund auf f\u00fcr die Interaktion zwischen Nutzern und KI entwickelt wurde.<\/p>\n

K\u00fcnstliche Intelligenz war kein Add-on mehr, sondern wurde zum Herzst\u00fcck der Comet-Benutzeroberfl\u00e4che. Suche, Analyse und Aufgabenautomatisierung wurden durch KI nahtlos vereint. Kurz danach stellte OpenAI im Oktober 2025 seinen eigenen KI-Browser Atlas<\/a> vor, der nach dem gleichen Konzept konzipiert war.<\/p>\n

Das wichtigste Element der Comet-Benutzeroberfl\u00e4che ist die Eingabeleiste in der Mitte des Bildschirms. \u00dcber sie interagiert der Nutzer mit der KI. Bei Atlas sieht es \u00e4hnlich aus.<\/p>\n

\"Die<\/a>

Die Startbildschirme von Comet und Atlas sind \u00e4hnlich konzipiert: eine minimalistische Benutzeroberfl\u00e4che mit einer zentralen Eingabeleiste und integrierter KI, die zur wichtigsten Methode f\u00fcr die Interaktion mit dem Internet wird<\/p><\/div>\n

Au\u00dferdem erm\u00f6glichen KI-Browser den Nutzern, direkt auf der Webseite mit der KI zu interagieren. Dazu dient eine integrierte Seitenleiste, die den Inhalt analysiert und Prompts bearbeitet\u00a0\u2013 alles, ohne dass der Nutzer die Seite verlassen muss. Der Nutzer kann die KI bitten, einen Artikel zusammenzufassen, einen Begriff zu erkl\u00e4ren, Daten zu vergleichen oder einen Befehl zu generieren, w\u00e4hrend er auf der aktuellen Seite bleibt.<\/p>\n

\"Interaktion<\/a>

\u00dcber die Seitenleisten in Comet und Atlas k\u00f6nnen Nutzer auf die KI zugreifen, ohne auf andere Registerkarten zu wechseln. Hier kann man die aktuelle Website analysieren sowie im Kontext der aktuellen Seite Fragen stellen und Antworten erhalten<\/p><\/div>\n

Diese Art der Integration f\u00fchrt dazu, dass die Nutzer den Antworten und Anweisungen der integrierten KI in hohem Ma\u00dfe vertrauen. Wenn ein Assistent nahtlos in die Benutzeroberfl\u00e4che integriert ist und wie ein Bestandteil des Systems aussieht, denken viele Nutzer gar nicht mehr daran, die vorgeschlagenen Aktionen noch einmal zu \u00fcberpr\u00fcfen.<\/p>\n

Genau dieses Vertrauen nutzt der von den Forschern demonstrierte Angriff aus: Eine gef\u00e4lschte KI-Seitenleiste kann falsche Anweisungen geben und den Nutzer dazu bringen, b\u00f6sartige Befehle auszuf\u00fchren oder Phishing-Websites zu besuchen.<\/p>\n

Wie ist es den Forschern gelungen, die KI-Seitenleiste zu f\u00e4lschen?<\/h2>\n

Der Angriff beginnt damit, dass der Nutzer eine b\u00f6sartige Erweiterung installiert. Diese Erweiterung ben\u00f6tigt Berechtigungen zum Anzeigen und \u00c4ndern von Daten auf allen besuchten Websites sowie Zugriff auf die clientseitige Datenspeicherungs-API. Ohne sie w\u00e4ren ihr die H\u00e4nde gebunden.<\/p>\n

Dies sind ganz normale Berechtigungen. Ohne die erste funktioniert eine Browser-Erweiterung gar nicht. Daher ist es sehr unwahrscheinlich, dass der Nutzer misstrauisch wird, wenn die neue Erweiterung nach diesen Berechtigungen fragt. Mehr \u00fcber Browser-Erweiterungen und die damit verbundenen Berechtigungen erf\u00e4hrst du in unserem Artikel Die versteckte Gefahr von Browser-Erweiterungen<\/strong><\/a>.<\/p>\n

\"Seite<\/a>

Liste der installierten Erweiterungen auf der Comet-Benutzeroberfl\u00e4che. Darunter befindet sich auch die getarnte b\u00f6sartige Erweiterung AI Marketing Tool. Quelle<\/p><\/div>\n

Nach der Installation injiziert die Erweiterung JavaScript in die Webseite und erstellt eine gef\u00e4lschte Seitenleiste, die der echten t\u00e4uschend \u00e4hnlich sieht. Der Nutzer hat keinen Anlass, Verdacht zu sch\u00f6pfen. Wenn die Erweiterung einen Prompt erh\u00e4lt, kommuniziert sie mit dem legitimen LLM und zeigt brav dessen Antwort an. Die Forscher verwendeten Google Gemini in ihrer Studie, obwohl ChatGPT von OpenAI wahrscheinlich genauso gut funktioniert h\u00e4tte.<\/p>\n

\"Gef\u00e4lschte<\/a>

Der Screenshot zeigt ein Beispiel f\u00fcr eine gef\u00e4lschte Seitenleiste, die dem urspr\u00fcnglichen Comet Assistant optisch sehr \u00e4hnlich ist. Quelle<\/p><\/div>\n

Die gef\u00e4lschte Seitenleiste kann Antworten auf bestimmte Themen oder wichtige Abfragen, die der potenzielle Angreifer vorab in den Einstellungen festgelegt hat, gezielt manipulieren. Die Erweiterung zeigt also in den meisten F\u00e4llen nur legitime KI-Antworten an, gibt jedoch in bestimmten Situationen<\/em> sch\u00e4dliche Anweisungen, Links oder Befehle aus.<\/p>\n

Wie realistisch ist das Szenario, in dem ein ahnungsloser Nutzer eine b\u00f6sartige Erweiterung installiert, die sich wie oben beschrieben verh\u00e4lt? Erfahrungsgem\u00e4\u00df ist dies sehr wahrscheinlich. In unserem Blog haben wir schon \u00fcber Dutzende b\u00f6sartiger und verd\u00e4chtiger Erweiterungen berichtet, die es erfolgreich in den offiziellen Chrome Web Store geschafft haben. Dies passiert auch weiterhin\u00a0\u2013 trotz aller Sicherheitskontrollen, die im Store gelten, und trotz der umfangreichen Ressourcen, die Google zur Verf\u00fcgung stehen. Wie b\u00f6sartige Erweiterungen in offizielle Stores gelangen, erf\u00e4hrst du in unserem Artikel 57 zwielichtige Chrome-Erweiterungen wurden sechs Millionen Mal installiert<\/strong><\/a>.<\/p>\n

Gef\u00e4lschte KI-Seitenleisten und die Folgen<\/h2>\n

Was k\u00f6nnen Angreifer mit einer gef\u00e4lschten Seitenleiste anstellen? Wie die Forscher feststellten, bieten gef\u00e4lschte KI-Seitenleisten potenziellen Angreifern zahlreiche M\u00f6glichkeiten, Schaden anzurichten. Dies demonstrierten die Forscher an drei m\u00f6glichen Angriffsszenarien und deren Folgen: Phishing von Krypto-Wallets, Diebstahl von Google-Konten und \u00dcbernahme von Ger\u00e4ten. Im Folgenden untersuchen wir jede dieser M\u00f6glichkeiten ausf\u00fchrlich.<\/p>\n

Diebstahl von Binance-Anmeldedaten \u00fcber eine gef\u00e4lschte KI-Seitenleiste<\/h3>\n

Im ersten Szenario fragt der Nutzer die KI in der Seitenleiste, wie er sein Kryptoguthaben an der Kryptob\u00f6rse Binance verkaufen kann. Der KI-Assistent liefert eine detaillierte Antwort, die einen Link zu der Kryptob\u00f6rse enth\u00e4lt. Allerdings f\u00fchrt der Link nicht zur echten Binance-Website, sondern zu einer sehr \u00fcberzeugenden F\u00e4lschung. Der Link verweist auf die Phishing-Website des Angreifers mit dem gef\u00e4lschten Dom\u00e4nennamen binacee<\/strong>.<\/p>\n

\"Phishing-Seite,<\/a>

Das gef\u00e4lschte Anmeldeformular f\u00fcr die Dom\u00e4ne login{.}binacee{.}com ist kaum vom Original zu unterscheiden und dient dazu, die Anmeldedaten von Nutzern zu stehlen. Quelle<\/p><\/div>\n

Als N\u00e4chstes gibt der arglose Nutzer seine Binance-Anmeldedaten und den Code f\u00fcr die Zwei-Faktor-Authentifikation ein, falls diese aktiviert ist. Und schon erhalten die Angreifer vollst\u00e4ndigen Zugriff auf das Konto des Opfers und k\u00f6nnen dessen Krypto-Wallets komplett leeren.<\/p>\n

\u00dcbernahme von Google-Konten mithilfe einer gef\u00e4lschten KI-Seitenleiste<\/h3>\n

Auch die n\u00e4chste Angriffsvariante beginnt mit einem Phishing-Link, der diesmal zu einem gef\u00e4lschten Filesharing-Dienst f\u00fchrt. Wenn der Nutzer auf den Link klickt, gelangt er zu einer Website, auf deren Startseite er aufgefordert wird, sich mit seinem Google-Konto einzuloggen.<\/p>\n

Wenn der Nutzer diese Option w\u00e4hlt, wird er auf die legitime<\/em> Google-Anmeldeseite weitergeleitet, wo er seine Anmeldedaten eingeben kann. Anschlie\u00dfend fordert die gef\u00e4lschte Plattform jedoch den vollst\u00e4ndigen Zugriff auf Google Drive und das Gmail-Konto des Nutzers.<\/p>\n

\"Zugriffsanfrage<\/a>

Die gef\u00e4lschte Anwendung share-sync-pro{.}vercel{.}app fordert vollen Zugriff auf das Gmail-Konto und Google Drive des Nutzers. Dadurch erhalten die Angreifer die Kontrolle \u00fcber das Konto. Quelle<\/p><\/div>\n

Falls sich der Nutzer die Seite nicht genau anschaut und automatisch auf Zulassen<\/em> klickt, gew\u00e4hrt er den Angreifern Berechtigungen f\u00fcr \u00e4u\u00dferst gef\u00e4hrliche Aktionen:<\/p>\n