LayerX-Forschende haben mit CometJacking eine Angriffstechnik gegen den KI-Browser Perplexity Comet dokumentiert. Über präparierte URL-Parameter werden verdeckte Anweisungen injiziert, die den Agenten dazu bringen, auf seine interne Erinnerung und angeschlossene Dienste wie Gmail oder Google Calendar zuzugreifen und Inhalte per base64 verschleiert an externe Ziele zu übertragen. Die Obfuskation umgeht dabei Kontrollmechanismen, die direkte Exfiltration erkennen sollen.
Perplexity Comet: Autonomer KI-Browser mit attraktiver Angriffsfläche
Comet agiert als agentischer KI-Browser, der eigenständig Webseiten besucht, Formulare ausfüllt, recherchiert und – bei erteilten Berechtigungen – mit Nutzerkonten interagiert. Diese erweiterte Agentenfähigkeit erhöht den Nutzwert, birgt aber zugleich Risiken: Missbrauch der Rechte und Kontextmanipulation gehören zu den primären Angriffsvektoren für LLM-gestützte Systeme.
Angriffsmechanik: Versteckte Instruktionen im Parameter „collection“
Laut LayerX erfolgt der Angriff als klassische Prompt-Injection über den Query-Parameter collection. Die eingebetteten Anweisungen lenken Comet weg von externen Quellen hin zu Agentenfunktionen wie der Speicherabfrage und den verknüpften Integrationen. So wird der Zugriff auf verfügbare Daten ermöglicht – bis hin zur Exfiltration in verschleierter Form.
Praxisbeispiel: Gmail- und Calendar-Daten als Beute
In einer Demonstration griff der Agent auf Gmail-Nachrichten und Google-Calendar-Einladungen zu. Die Instruktion lautete, relevante Felder in base64 zu kodieren und an einen externen Endpunkt zu senden. Die Kodierung diente als Bypass gegen Filter, die das unmittelbare Teilen sensibler Inhalte untersagen – ein bekanntes Muster, um oberflächliche DLP-Prüfungen zu unterlaufen.
Angriffsvektor: Präparierte Links und kompromittierte Websites
Die Zustellung ist niedrigschwellig: Ein Opfer klickt eine URL in E-Mail, Messenger oder auf einer Webseite. Wird die Anfrage von Comet mit erweiterten Rechten verarbeitet, führt der Agent die versteckten Befehle aus – ohne explizite Nutzerabfrage. Dies reiht sich ein in phishing-ähnliche Szenarien, bei denen der Kontext die eigentliche Nutzlast ist.
Vendor-Position und Brancheneinordnung
LayerX meldete das Verhalten Ende August 2025 an Perplexity. Demnach stufte der Anbieter den Befund als „gewöhnliche Prompt-Injection“ ein. Das Spannungsfeld ist typisch für LLM-Ökosysteme: Wo endet erwartetes Agentenverhalten, wo beginnt Befugnismissbrauch? Relevante Rahmenwerke wie das OWASP Top 10 for LLM führen Prompt-Injection als Kernrisiko, während MITRE ATLAS Taktiken zur Datenexfiltration durch Obfuskation und Umleitungen katalogisiert.
Risikobild: Excessive Agency und unzureichende Ausleitungskontrollen
CometJacking verdeutlicht zwei systemische Schwachstellen: excessive agency (zu weit gefasste Agentenrechte) und fehlende Egress/DLP-Kontrollen für kodierte Inhalte. Selbst robuste Inhaltsfilter sind wirkungslos, wenn die Ausleitung verschleiert und nicht kontextsensitiv geprüft wird.
Empfehlungen für Unternehmen: Mehrstufige Abwehr
Rechte- und Integrationshygiene
Prinzip der geringsten Privilegien umsetzen: OAuth-Scopes für Gmail/Calendar strikt begrenzen, Speicher und Konnektoren deaktivieren, wo nicht nötig. Separate Konten, kurzlebige Tokens und explizite Einwilligungen für sensible Aktionen etablieren.
Egress- und DLP-Kontrollen
Egress-Filtering mit Allowlists für ausgehende Ziele, Blockade beliebiger Endpunkte und Anomalieerkennung. DLP-Regeln für base64, andere Obfuskationen sowie DNS/HTTP-Tunneling einführen – mit Korrelation zu Agentenereignissen.
Schutz vor Prompt-Injection
Kontext-Sanitization und Isolation zwischen Nutzer-, Seiten- und Systemprompts. Safe Prompts, strikte Policies gegen Exfiltration und UI-Bestätigungen für Zugriffe auf E-Mail/Kalender („human-in-the-loop“).
Schulung und Tests
Regelmäßige Red-Teaming-Übungen gegen Prompt-Injection, Telemetrie-gestützte Überwachung und Alerts bei Exfiltrationsversuchen. Mitarbeitende darin schulen, präparierte Links für KI-Tools zu erkennen.
Mit der Verbreitung agentischer KI verschiebt sich die Bedrohung von der Modell- hin zur Integrations- und Berechtigungsebene. Organisationen sollten ihre Bedrohungsmodelle für KI-Browser aktualisieren, Egress/DLP konsequent durchsetzen und Anbieter zu secure-by-default bewegen:
