Thought Leadership
Die Warnung von Microsoft vor bösartigen, KI-thematischen Browser-Erweiterungen, die Nutzerdaten abgreifen, zeigt, wie schnell Cyberkriminelle auf die rasche Verbreitung generativer KI-Tools reagieren.
Sicherheitsforscher identifizierten kürzlich gefälschte KI-Assistenten-Erweiterungen, die über Browser-Marktplätze verbreitet wurden und darauf ausgelegt waren, die Browseraktivität zu überwachen und leise Informationen von Nutzern zu sammeln, die mit beliebten KI-Plattformen wie ChatGPT und DeepSeek interagierten. In einigen Fällen wurden diese Erweiterungen Hunderttausende Male heruntergeladen, bevor sie erkannt und entfernt wurden.
Diese Entdeckung erinnert daran, dass Cyberkriminelle zunehmend die Alltagstools ins Visier nehmen, auf die Mitarbeitende angewiesen sind, um effizienter zu arbeiten. Während KI-Assistenten in Browsern und Produktivitätsplattformen integriert werden, schaffen sie gleichzeitig neue Angriffsvektoren, über die Angreifer auf sensible Informationen zugreifen können.
In diesem Fall resultiert das Risiko aus dem Umfang der Zugriffsrechte, die viele Browser-Erweiterungen anfordern. Sobald sie installiert sind, können Erweiterungen innerhalb einer authentifizierten Browsersitzung agieren, was bedeutet, dass sie möglicherweise dieselben Informationen einsehen können wie der Nutzer – einschließlich KI-Anfragen, interner Dokumente und Unternehmensabläufe, die mit generativen KI-Tools geteilt werden. Für Organisationen, die KI einsetzen, um die Produktivität zu steigern, entsteht dadurch ein weitgehend unsichtbares Risiko der Datenpreisgabe.
Die wachsende Beliebtheit von KI-Assistenten macht sie auch zu einem attraktiven Ziel für Social Engineering. Angreifer können schädliche Erweiterungen als nützliche Produktivitätstools tarnen und darauf setzen, dass Nutzer sie installieren, ohne die erteilten Berechtigungen vollständig zu verstehen. Das Vertrauen, das Nutzer in offizielle Browser-Marktplätze setzen, kann ein trügerisches Sicherheitsgefühl erzeugen und die Wahrscheinlichkeit eines Kompromisses weiter erhöhen.
Sicherheitsverantwortliche müssen Browser-Umgebungen als Teil der Angriffsfläche von Unternehmen betrachten. Organisationen sollten klare Richtlinien festlegen, welche Erweiterungen Mitarbeitende installieren dürfen, regelmäßig die Browser-Berechtigungen überprüfen und das Personal über die Risiken der Installation von Tools Dritter aufklären.
Diese Kampagne verdeutlicht, dass der Browser nun Teil der Angriffsfläche von Unternehmen ist. Organisationen sollten einen Zero-Trust-Ansatz verfolgen, der Nutzer und Sitzungen kontinuierlich validiert – und nicht nur die Anmeldedaten beim Login. Technologien wie Remote-Browser-Isolation können webbasierte Bedrohungen eindämmen, indem sie die Browseraktivität in einer sicheren, isolierten Umgebung ausführen und verhindern, dass schädliche Erweiterungen oder Skripte direkt mit sensiblen Systemen interagieren. In Kombination mit strengen Berechtigungskontrollen und Sitzungsüberwachung reduziert dieser mehrschichtige Ansatz den potenziellen Schaden von browserbasierten Kompromittierungen deutlich.
