Forschende von SquareX haben eine neue Angriffsmethode gegen agentische KI-Browser offengelegt: AI Sidebar Spoofing. Ein bösartiges Browser-Add-on legt dabei eine täuschend echte Kopie der integrierten KI-Seitenleiste über die Originaloberfläche und fängt sämtliche Interaktionen ab. Betroffen sind unter anderem ChatGPT Atlas (OpenAI) und Comet (Perplexity), die große Sprachmodelle samt Agentenfunktionen direkt in die Browseroberfläche integrieren.
Wie AI Sidebar Spoofing funktioniert: Overlay statt echter Assistent
Der Angriff nutzt gängige Erweiterungsberechtigungen wie host und storage, die auch viele legitime Add-ons beanspruchen. Per JavaScript-Injektion wird auf besuchten Seiten ein DOM-Overlay erzeugt, das die echte KI-Sidebar visuell perfekt nachbildet. Alle Klicks, Texteingaben und Kontextdaten landen so beim Angreifer, während Nutzer glauben, mit dem vertrauenswürdigen Assistenten zu sprechen.
Technisch umgeht der Ansatz das implizite Vertrauen in die Browser-Chrome, indem er die KI-UI als Grafikschicht nachahmt und Ereignisse abfängt. Dadurch wird das Prinzip „hilf mir auf dieser Seite“ unterlaufen: Der Dialog Mensch–KI wird heimlich durch einen schadhaften Vermittler ersetzt.
Warum agentische Funktionen das Risiko potenzieren
Sowohl Atlas als auch Comet unterstützen Agenten, die autonom Aktionen ausführen können, etwa Buchungen, Käufe, Formularfüllungen oder mehrschrittige Workflows. Wird die UI ersetzt, verwandelt sich jede automatisierte Handlung in einen Missbrauchsvektor – bis hin zu Payments-Diebstahl, Kontoübernahmen oder manipulativen Empfehlungen mit Sicherheitsfolgen.
Demonstration durch SquareX und betroffene Produkte
SquareX demonstrierte den Angriff zunächst auf Perplexity Comet (mit Google Gemini), indem Einstellungen so angepasst wurden, dass der „Assistent“ bei bestimmten Prompts gezielt schädliche Anweisungen lieferte. Nach Veröffentlichung von ChatGPT Atlas für macOS bestätigten die Forschenden, dass der Sidebar-Spoof auch dort greift. Anfragen an Perplexity und OpenAI blieben laut SquareX bislang unbeantwortet.
Missbrauchsszenarien: Von Kryptophishing bis OAuth-Kompromittierung
Kryptophishing: Bei Nachfragen zu Krypto-Themen leitet die gefälschte Sidebar auf Phishing-Seiten um – ein attraktives Ziel wegen hoher Vermögenswerte und typischer Dringlichkeitssignale.
OAuth-Consent-Phishing: Über ein scheinbar legitimes File-Sharing-„Add-on“ werden Nutzer zu OAuth-Freigaben für Gmail/Google Drive gedrängt. CISA und Google warnen seit Jahren vor solchen Einwilligungsangriffen, die Passwörter umgehen, indem sie Zugriffstoken missbrauchen.
Persistenter Remote-Zugriff: Bei Software-Installationswünschen liefert der „Assistent“ eine Installationszeile, die in Wahrheit einen Reverse Shell etabliert – mit dauerhafter Fernkontrolle als Folge.
Einordnung in die aktuelle Bedrohungslage
UI-Spoofing und die Ausnutzung von Erweiterungsrechten sind klassische Browser-Bedrohungsmodelle. Der Verizon DBIR 2024 führt Social Engineering und Phishing weiterhin als häufige Initialzugänge. OAuth-Missbrauch bleibt eine robuste Technik, um Kontrollen zu umgehen, ohne Passwörter direkt zu knacken – ein Muster, das Aufsichtsbehörden und Sicherheitsanbieter regelmäßig adressieren.
Gleichzeitig zeigt die Praxis: Selbst „minimale“ Berechtigungen wie host/storage sind für viele legitime Erweiterungen unvermeidbar. Dadurch entsteht ein strukturelles Risiko, das besonders integrierte KI-Assistenten betrifft, deren UI dem Seitenkontext exponiert ist.
Empfohlene Gegenmaßnahmen und Härtung
Für Anwender und Organisationen
Begrenzen Sie agentische KI auf niedrigriskante Aufgaben und vermeiden Sie Aktionen rund um E-Mail, Finanzen und sensible Daten. Führen Sie regelmäßige Extension-Audits durch: Entfernen Sie nicht benötigte Add-ons, prüfen Sie Berechtigungen, nutzen Sie nur vertrauenswürdige Quellen und trennen Sie Arbeits- und Privatprofile.
Übernehmen Sie keine Shell- oder Installationsbefehle blind aus der Sidebar. Erzwingen Sie Policies gegen unbekannte Binärdateien/Skripte. Kontrollieren Sie OAuth-Zugriffe durch periodisches Widerrufen von Tokens, Überprüfung verknüpfter Apps, MFA und Sicherheitsbenachrichtigungen.
Für Anbieter von KI-Browsern
Isolieren Sie die Assistenten-UI als Trusted UI innerhalb der Browser-Chrome, die nicht durch Seiten-DOM-Overlays überdeckbar ist. Ergänzen Sie Anti-Spoofing-Indikatoren (z.B. geprüfte Vertrauensmarker, Wasserzeichen, Integritätschecks, Overlay-Detektion und Ereignis-Telemetrie).
Verschärfen Sie die Erweiterungspolitik: Content-Isolation, restriktive Host-Permissions, Unterstützung von Permission Prompt Transparency sowie nachvollziehbare Protokollierung von Assistenteninteraktionen. Wo möglich, Zero-Trust-Prinzipien für Aktionen im Namen des Nutzers umsetzen.
Mit dem Aufstieg agentischer KI-Browser verschwimmen die Grenzen zwischen „Chat“ und „Handlungen in Ihrem Namen“. Wer Risiken senken will, kombiniert Extension-Hygiene, OAuth-Governance und UI-Härtung – und verfolgt Sicherheitsupdates der Anbieter engmaschig. Jetzt Audits anstoßen, Berechtigungen straffen und Assistentenaktionen kritisch prüfen: So sinkt die Wahrscheinlichkeit erfolgreicher Sidebar-Substitution und nachgelagerter Kompromittierungen spürbar.
