Thought Leadership
Eine bislang kaum beachtete Besonderheit von URLs entwickelt sich zu einem ernsthaften Sicherheitsrisiko. Das Forschungsteam von Cato CTRL hat eine Methode entdeckt, die moderne KI-Browser verwundbar macht und selbst erfahrene Onlinenutzer täuschen kann.
Die Technik namens HashJack nutzt ein strukturelles Verhalten des Browsers aus und verwandelt vertrauenswürdige Webseiten in Werkzeuge für Phishing, Datenmissbrauch und Manipulation.
KI im Browser verändert das Surfen
Moderne Browser integrieren zunehmend KI-Assistenten, die weit über klassische Funktionen hinausgehen. Statt nur Webseiten darzustellen, analysieren sie Inhalte, fassen Texte zusammen, beantworten Fragen und übernehmen Aufgaben wie das Ausfüllen von Formularen oder das Erstellen von Reservierungen.
Zu den betroffenen Produkten gehören laut Cato CTRL unter anderem Comet von Perplexity, Microsofts Copilot für Edge, Dia von The Browser Company sowie Googles Gemini für Chrome. Diese Systeme greifen direkt auf den Seitenkontext zu und sollen das Navigieren im Netz vereinfachen.
Schwachstelle im URL-Fragment
Die Grundlage von HashJack liegt in der Art und Weise, wie Browser den Teil einer URL nach dem Zeichen Nummer 35 verarbeiten. Dieses Fragment wird niemals an den Server gesendet, sondern ausschließlich lokal ausgewertet. Genau dort setzen Angreifer an. Sie platzieren in diesem Bereich unsichtbare Befehle, die der integrierte KI-Assistent automatisch in seine Analyse einbezieht.
Solche versteckten Instruktionen können ganz unterschiedliche Folgen haben. Die Palette reicht von fingierten Support-Links über gezielte Datenabfragen bis hin zu manipulierten Auskünften, die Nutzer in gefährliche Handlungen führen könnten, etwa das Installieren infizierter Software oder das Befolgen gesundheitlich riskanter Ratschläge.
Warum HashJack so gefährlich ist
HashJack kombiniert mehrere Risikofaktoren, die den Angriff besonders wirkungsvoll machen. Da URL-Fragmente niemals den Browser verlassen, erscheinen sie weder in Logs noch in Netzwerküberwachungssystemen. Zugleich wirkt die besuchte Seite völlig vertrauenswürdig, da sie technisch nicht verändert wurde. Auch der Assistent scheint lediglich die Inhalte der Seite zu interpretieren, obwohl seine Antworten durch die versteckten Befehle beeinflusst werden.
Die Forscher betonen, dass Angreifer keine Kontrolle über die eigentliche Website benötigen. Die Schwachstelle entsteht ausschließlich durch das Zusammenspiel von lokal verarbeiteten Fragmenten und der Funktionsweise der KI-Assistenten.
Wie ein Angriff abläuft
Ein Angriff beginnt meist mit einer unauffälligen, echten URL, die im Fragment unsichtbare Anweisungen trägt. Diese Adresse verbreiten Angreifer über gängige Wege wie soziale Netzwerke, E-Mails oder eingebettete Links. Beim Öffnen der Seite bleibt alles unauffällig. Erst wenn der Nutzer eine Frage an den KI-Assistenten stellt, greift dieser auf die im Fragment versteckten Befehle zurück. Er kann dann etwa einen manipulierten Link präsentieren, Anleitungen geben oder – in agentenbasierten Browsern wie Comet – sogar eigenständig Aktionen ausführen.
Da diese Prozesse ausschließlich im Browser stattfinden, greifen etablierte Sicherheitsmechanismen nicht. Selbst vorsichtige Anwender erkennen die Manipulation kaum, da die Antworten des Assistenten wie normale, seitenbasierte Empfehlungen wirken.
Sechs untersuchte Szenarien
Die Forscher von Cato CTRL demonstrieren unterschiedliche Angriffsmöglichkeiten. Dazu gehören Weiterleitungen zu fingierten Support-Hotlines, das unbemerkte Abfließen sensibler Daten, verfälschte Finanzmeldungen, die Eindruck echter Marktanalysen erwecken, oder Anweisungen zur Installation von Schadsoftware. Auch das ungewollte Öffnen von Sicherheitslücken im eigenen System lässt sich durch HashJack auslösen.
Die Vielseitigkeit der Methode macht sie besonders brisant, da sie für praktisch jedes Thema angepasst werden kann.
Konsequenzen für KI-Browser
KI-gestützte Browser schaffen eine neue Angriffsfläche. Sie vereinen die Schwächen großer Sprachmodelle mit den Besonderheiten der Webarchitektur. HashJack zeigt, wie leicht sich legitime Websites missbrauchen lassen, ohne sie hacken zu müssen.
Da Nutzer sowohl der Seite als auch dem Assistenten Vertrauen entgegenbringen, steigt die Erfolgswahrscheinlichkeit solcher Angriffe erheblich. Cato CTRL sieht deshalb dringenden Handlungsbedarf für Browserhersteller, um die Verarbeitung von Fragmenten und die Einbindung der KI-Assistenten sicherer zu gestalten.
