Prompt Injection: Mehrere KI-Browser mit nur einem Zeichen überlistet
Sicherheitsforscher von Cato haben einen neuen Prompt-Injection-Angriff namens Hashjack vorgestellt, mit dem sich in Browsern integrierte KI-Assistenten von Google, Microsoft oder Perplexity dazu verleiten lassen, vom Angreifer vorgegebene Anweisungen auszuführen. Der anvisierte Nutzer muss dafür lediglich einen speziell gestalteten Link anklicken, was bei der Bedienung eines Webbrowsers in der Regel aber keine große Hürde darstellt.
Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildern, lassen sich die bösartigen Anweisungen einfach nach einer Raute (#) an eine beliebige Webadresse anhängen. Normalerweise dient die Raute an dieser Stelle als Anker, um direkt zu einer bestimmten Stelle auf der Zielwebseite zu springen. Einige KI-Assistenten verstehen nachfolgende Inhalte allerdings als Anweisung.
Die Forscher warnen, dass durch dieses Verhalten mehrere gefährliche Angriffsszenarien ermöglicht werden. Ein Angreifer könne die jeweilige KI etwa Daten ausleiten lassen oder dem attackierten Nutzer gezielt falsche Informationen unterschieben, was wiederum Malware-Infektionen, erfolgreiche Phishing-Angriffe oder, sofern der Nutzer bei der KI medizinischen Rat einholt, gar gesundheitliche Schäden nach sich ziehen könne.
Beliebige Links ausnutzbar
Besonders brisant ist dieser Angriffsvektor, da die jeweilige URL nicht einmal auf eine vom Angreifer kontrollierte Domain verweisen muss. Die bösartigen Anweisungen lassen sich an Links zu beliebigen Webseiten anhängen, denen Anwender vertrauen – etwa zu bekannten Shopping-Portalen wie Amazon oder Ebay oder gut besuchten Onlineforen oder Nachrichtenportalen.
"Wenn ein KI-Browser eine Seite lädt und der Benutzer mit dem KI-Assistenten interagiert, werden die versteckten Befehle direkt in die großen Sprachmodelle (LLMs) eingespeist" , heißt es bei Cato. Eine direkte Datenausleitung ist laut den Tests der Forscher nur bei agentenbasierten KI-Browsern wie Comet möglich. Die übrigen untersuchten Angriffsszenarien funktionierten aber auch bei Microsofts Copilot for Edge und Googles Gemini for Chrome .
Die Cato-Forscher meldeten ihre Erkenntnisse schon in den Monaten Juli und August 2025 an die jeweiligen KI-Anbieter. Microsoft stellte für Copilot Ende Oktober eine Korrektur bereit, für den Comet-Browser von Perplexity folgte der Fix am 18. November. Google sah hingegen nur ein geringes Gefährdungspotenzial und entschied sich daher, das Problem nicht zu beheben. Gemini for Chrome soll daher weiterhin anfällig sein.