HashJack: KI-Browser werden zur Sicherheitsfalle

Eine neue Angriffsmethode verwandelt harmlose Webseiten in Fallen für KI-Assistenten. Während Microsoft und Perplexity bereits Patches veröffentlichten, sieht Google darin lediglich “beabsichtigtes Verhalten”. Für Chrome-Nutzer bleibt die Lücke damit offen.

Sicherheitsforscher von Cato Networks haben eine fundamentale Schwachstelle in modernen KI-Browsern aufgedeckt. Die als “HashJack” bezeichnete Methode nutzt URL-Fragmente – den Teil nach dem #-Symbol – um bösartige Befehle an KI-Assistenten zu schleusen. Das Perfide: Die Opfer besuchen völlig legitime Webseiten.

Das Raute-Symbol in Webadressen dient normalerweise nur zur Navigation innerhalb einer Seite. Der Webserver bekommt diese Daten oft gar nicht zu Gesicht. KI-Browser-Assistenten wie Copilot oder Gemini lesen jedoch die gesamte URL, um den Kontext zu verstehen.

Passend zum Thema Phishing und bösartige Webmanipulation: Viele Angriffe nutzen unsichtbare Tricks wie HashJack, die klassische Filter umgehen und KI-Assistenten ausnutzen. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie IT‑Verantwortliche und Unternehmen solche Social‑Engineering‑Methoden erkennen, intern verhindern und erste Gegenmaßnahmen umsetzen. Enthalten sind Praxisbeispiele und eine Checkliste gegen CEO‑Fraud. Sofort umsetzbare Tipps helfen, Datenabfluss durch manipulierte KI‑Responses zu stoppen. Anti‑Phishing‑Paket jetzt downloaden

So funktioniert der Angriff:

1. Harmloser Link: Angreifer erstellen URLs zu vertrauenswürdigen Seiten
2. Versteckte Ladung: Hinter dem # folgt ein manipulierender Befehl
3. KI übernimmt: Der Assistent liest und führt die Anweisung aus
4. Nutzer ahnungslos: Die Manipulation bleibt unsichtbar

Die Konsequenzen reichen von gefälschten Support-Nummern bis zum heimlichen Versenden sensibler Daten. Da die Antworten vom vertrauten KI-Assistenten kommen, fällt der Betrug selten auf.

Microsoft patcht, Google winkt ab

Die Reaktionen der Browser-Hersteller könnten unterschiedlicher nicht sein:

Microsoft schloss die Lücke in Edge bereits Ende Oktober. Perplexity stufte HashJack als kritisch ein und veröffentlichte Mitte November ein Update für den Comet-Browser.

Google hingegen klassifizierte den Bericht als “Intended Behavior” – beabsichtigtes Verhalten. Aus Sicht des Konzerns handelt es sich um Social Engineering, nicht um eine technische Sicherheitslücke. Chrome-Nutzer mit aktiviertem Gemini bleiben damit angreifbar.

“HashJack zeigt, dass wir KI-Modellen nicht blind vertrauen dürfen, nur weil sie in einer vertrauenswürdigen Browser-Umgebung laufen.” – Vitaly Simonovich, Cato Networks

Phishing 2.0 und Datendiebstahl

Die Forscher demonstrierten mehrere realistische Szenarien. Bei sogenannten “agentischen” Browsern, die autonom handeln, könnte ein versteckter Befehl die KI anweisen, E-Mail-Inhalte oder Kontodaten an Hacker-Server zu senden.

Besonders perfide: Besucht ein Nutzer seine Bank, könnte die manipulierte KI auf Support-Anfragen mit gefälschten Telefonnummern antworten. Da die Auskunft vom vertrauten Assistenten kommt, sinkt die Hemmschwelle drastisch.

Auch gezielte Desinformation wird möglich. Die KI könnte Artikel falsch zusammenfassen oder erfundene Zitate einfügen – und damit Meinungen gezielt manipulieren.

Unsichtbar für Firewalls

HashJack markiert eine neue Klasse von Bedrohungen: Indirect Prompt Injection. URL-Fragmente werden traditionell nicht an Server gesendet, bleiben also für herkömmliche Sicherheitsfilter unsichtbar. Der Angriff findet rein lokal im Browser statt.

Experten ziehen Parallelen zu den frühen Tagen von Cross-Site Scripting (XSS). Nun erleben wir das Äquivalent für die Ära generativer KI. Die Weigerung Googles, dies als Sicherheitslücke anzuerkennen, wirft grundsätzliche Fragen auf: Wer haftet, wenn der KI-Assistent Nutzer in die Falle lockt?

Was kommt?

Der öffentliche Druck auf Google dürfte steigen, sobald erste echte Angriffe bekannt werden. Browser-Hersteller und das W3C müssen klären, wie KI-Modelle Web-Kontexte lesen dürfen.

Mit dem Aufstieg autonomer KI-Agenten, die im Namen von Nutzern buchen, kaufen oder E-Mails versenden, wird das Risiko exponentiell wachsen. Erste Drittanbieter arbeiten bereits an Erweiterungen, die KI-Prompts auf bösartige Muster scannen.

Für Nutzer gilt vorerst: Gesundes Misstrauen ist angebracht. Bei Links aus E-Mails oder Social Media lieber direkt zur Zielseite navigieren, statt dem Link zu folgen. Selbst auf vertrauenswürdigen Seiten können KI-Antworten manipuliert sein.

PS: Wenn Sie nicht abwarten wollen, bis eine echte Attacke passiert – fordern Sie den Gratis‑Guide “In 4 Schritten zur erfolgreichen Hacker‑Abwehr” an. Der Report zeigt, welche technischen Maßnahmen, Prozesse und Schulungen Mitarbeiter schützen, wie zusätzliche Prüfmechanismen eingebaut werden und welche organisatorischen Schritte Phishing 2.0 eindämmen. Ideal für Entscheider und IT‑Teams, die KI‑basierte Risiken ernst nehmen. Gratis‑Report anfordern