Eine von Palo Alto Networks Unit 42 aufgedeckte Schwachstelle in Google Chrome zeigte, wie riskant tief integrierte KI-Assistenten im Browser sein können. Die Lücke CVE-2026-0628 mit einem CVSS-Score von 8,8 erlaubte es bösartigen Erweiterungen, die KI-Paneel Gemini Live zu übernehmen und Zugriff auf Kamera, Mikrofon und lokale Dateien zu erlangen. Google hat das Problem inzwischen behoben.
Was hinter CVE-2026-0628 in Chrome Gemini Live steckt
Die Schwachstelle betraf die Sicherheitsarchitektur des WebView-Komponentenrahmens, der die Gemini-Live-Oberfläche über die interne Adresse chrome://glic lädt. Gemini Live wurde im September 2025 als tief in Chrome integrierter KI-Assistent eingeführt und ist eng mit gemini.google.com verzahnt.
Forscher Gal Weizman von Unit 42 meldete die Lücke im November 2025 an Google. Er zeigte, dass bereits ein scheinbar harmloses Erweiterungsprofil ausreichte, um über das declarativeNetRequest-API (DNR) eigenen JavaScript-Code in den Kontext von Gemini Live einzuschleusen. DNR erlaubt Erweiterungen, HTTPS-Anfragen und -Antworten zu filtern oder zu verändern und wird unter anderem von Werbeblockern breit eingesetzt.
Der Kernfehler: Die für chrome://glic verwendete WebView-Instanz war nicht von DNR-Regeln ausgenommen. Damit konnten Erweiterungen nicht nur reguläre Websites beeinflussen, sondern auch einen hochprivilegierten internen Browser-Komponentenbereich, der eigentlich strenger isoliert sein müsste.
Während Eingriffe von Erweiterungen in Webseiteninhalte ein erwartetes und kontrollierbares Verhalten darstellen, bricht das Einschleusen von Code in systemnahe Browserfunktionen die vorgesehene Privilegentrennung. Genau diese Grenzverletzung machte CVE-2026-0628 so kritisch.
Angriffsszenario: Vom Chrome-Plugin zur vollständigen KI-Kompromittierung
Gemini Live unterscheidet sich grundlegend von einer normalen Browser-Registerkarte. Die KI-Paneel läuft in einem vertrauenswürdigeren Kontext als Standard-Webinhalte und verfügt zur Erfüllung ihrer Aufgaben über erweiterte Berechtigungen: Zugriff auf lokale Dateien, Erstellen von Screenshots, Zugriff auf Kamera und Mikrofon sowie eine tiefe Integration in die Desktop-Umgebung.
Angreifern genügte es, Nutzer zur Installation eines präparierten Add-ons zu bewegen – etwa über Phishing-Seiten, vermeintliche Performance-Optimierer oder nachgeahmte Produktivitätstools. War das Plugin installiert, konnte es über DNR die Antworten für chrome://glic manipulieren, Schadcode in Gemini Live einschleusen und damit sämtliche Privilegien der KI-Paneel übernehmen.
Browser-Erweiterungen als unterschätzter Angriffsvektor
Mehrere reale Kampagnen der vergangenen Jahre haben gezeigt, dass Chrome-Erweiterungen ein systematisches Risiko darstellen. Immer wieder wurden scheinbar legitime Add-ons nachträglich in Spionage- oder Werbe-Module verwandelt, die Daten sammeln, Suchergebnisse manipulieren oder Traffic umleiten. Sicherheitsberichte von Google, Sicherheitsfirmen und Forschungsgruppen weisen seit Langem darauf hin, dass Erweiterungen häufig der bequemste Weg sind, Sicherheitsmechanismen des Browsers zu umgehen.
Im Fall von Gemini Live verschärfte sich das Risiko zusätzlich, weil der missbrauchte Zielkontext deutlich mächtiger war als normale Webseiten: Statt „nur“ Webinhalte zu lesen oder zu verändern, konnte ein kompromittierter KI-Assistent potenziell sensible Dokumente auswerten, Arbeitsabläufe beobachten oder Audio- und Videoströme abgreifen.
KI-Assistenten im Browser: Neuer Angriffsvektor mit Prompt-Injection-Risiken
Die Integration von KI-Agenten direkt in den Browser schafft eine qualitativ neue Klasse von Bedrohungen. Damit solche Agenten nützlich sind, benötigen sie breiten Zugriff auf Browserverlauf, Inhalte geöffneter Tabs und teils auch lokale Ressourcen – genau das macht sie zu attraktiven Zielen.
Eine zentrale Gefahr ist die Prompt Injection. Dabei verstecken Angreifer unsichtbare Anweisungen in Webseiten – etwa in unsichtbarem Text, Attributen oder Metadaten. Der menschliche Nutzer sieht nur eine harmlose Seite, der KI-Assistent interpretiert die versteckten Instruktionen jedoch als legitimen Befehl: etwa einen lokalen Dateiinhalt zu exfiltrieren, Token aus anderen Tabs auszulesen oder Screenshots zu erzeugen.
Besonders heikel wird es, wenn der KI-Agent Zustand über Sitzungen hinweg speichert. Ein einmaliger Besuch auf einer manipulierten Webseite kann ausreichen, um die interne „Instruktionsbasis“ des Assistenten langfristig zu verändern und damit einen dauerhaften Datenabfluss oder verborgene Privilegieneskalation zu ermöglichen.
Sicherheitsforscher warnen zudem, dass hochprivilegierte KI-Komponenten anfällig für logische Fehler, XSS in Service-Interfaces, Privilegieneskalationen und Side-Channel-Angriffe sind – insbesondere, wenn weniger privilegierte Inhalte (Websites, Erweiterungen) in irgendeiner Form mit ihnen interagieren können.
Schutzmassnahmen: Updates, Erweiterungskontrolle und neue Bedrohungsmodelle
Google hat CVE-2026-0628 durch Updates auf Chrome 143.0.7499.192/.193 für Windows und macOS sowie 143.0.7499.192 für Linux geschlossen. Nutzer sollten sicherstellen, dass ihr Browser auf dem neuesten Stand ist, da Sicherheitsfixes ausschließlich über solche Versionssprünge verteilt werden.
Für Endanwender gelten die bewährten Basisregeln: Erweiterungen nur aus vertrauenswürdigen Quellen installieren, Berechtigungen sorgfältig prüfen, regelmäßig nicht mehr benötigte Add-ons entfernen und automatische Updates im Browser aktiviert lassen. In Unternehmen sollten zentrale Richtlinien eingesetzt werden, die erlaubte Erweiterungen auf eine kuratierte Positivliste beschränken.
Für Browser- und KI-Plattform-Entwickler ist der Vorfall ein Signal, ihre Bedrohungsmodelle für KI-Agenten grundlegend zu überarbeiten. Dazu gehören eine strikte Isolation hochprivilegierter Komponenten, klare Sicherheitsgrenzen zwischen WebView und Erweiterungen, das explizite Ausschließen interner Service-URLs aus declarativeNetRequest sowie eine konsequente Umsetzung des Least-Privilege-Prinzips für KI-Paneele.
Die tiefere Einbettung von KI in Browser und Betriebssystem bietet erhebliche Produktivitätsgewinne, erhöht jedoch zugleich die Angriffsfläche. Organisationen und Nutzer sollten KI-Assistenten deshalb wie hochprivilegierte Anwendungen behandeln: durch konsequente Updates, zurückhaltende Freigabe von Berechtigungen und ein kritisches Auge auf installierte Erweiterungen. Wer diese Grundsätze beachtet, reduziert das Risiko, dass der eigene „smarte Helfer“ zum Einfallstor für Angreifer wird.
