Sicherheitsforscher von Zenity Labs haben zwei kritische Angriffsvektoren in Perplexitys agentischem Browser Comet demonstriert. Das Erschreckende: Es braucht keine klassische Software-Schwachstelle. Eine manipulierte Kalendereinladung reicht.
Was ist passiert?
Comet ist Perplexitys KI-Browser, der eigenständig im Auftrag des Nutzers agiert, Termine verwalten, Webseiten besuchen, Formulare ausfüllen. Genau das wurde zum Problem.
Die Forscher zeigten zwei Angriffe:
1. Lokale Datei-Exfiltration Comet wird durch versteckte Anweisungen in einer Kalendereinladung dazu gebracht, das lokale Dateisystem zu durchsuchen, sensible Dateien zu öffnen und deren Inhalt an einen externen Server zu senden. Für den Browser sieht das aus wie ein normaler Seitenaufruf.
2. Vollständige 1Password-Kontoübernahme Comet navigiert in den authentifizierten 1Password Web Vault, legt Passwörter offen und überträgt Zugangsdaten an den Angreifer. In der eskalierten Variante ändert der Agent das Masterpasswort und sichert sich den Secret Key, vollständige Übernahme in einer Aktion.
Kein Bug, sondern ein Designproblem
Keiner der Angriffe nutzt eine klassische Sicherheitslücke. Comet arbeitet exakt so, wie es designed wurde. Das Problem: Der Agent kann nicht zuverlässig zwischen der Absicht des Nutzers und den Anweisungen des Angreifers unterscheiden. Die Forscher nennen das «Intent Collision».
Die 1Password-Browser-Extension verschärft das Ganze: Sie bleibt standardmäßig bis zu 8 Stunden entsperrt und meldet den Nutzer automatisch im Web-Interface an. Jeder Prozess im Browser-Kontext erbt damit Zugang zum Passwort-Tresor.
Wie der Angriff funktioniert
Die Angriffstechnik ist gezielt auf Comets interne Architektur zugeschnitten. Die Forscher extrahierten zunächst Comets System-Prompt und stellten fest, dass der Agent intern eine <system_reminder>-Struktur verwendet. Dieses Format verwendeten sie in der Kalendereinladung, um ihren Anweisungen höhere Priorität zu verleihen.
Getarnt wurde das Ganze durch: - Zahlreiche Leerzeilen zwischen harmlosen Meetingdetails und den eigentlichen Anweisungen - Ein gefälschtes Button-Element, das Comet als legitimes UI-Element interpretiert - Eine Mischung aus Hebräisch, Englisch und narrativer Rahmung («Alice bittet ihren Assistenten um Hilfe»), die generische Schutzfilter umgeht
Fixes vorhanden, aber manuell
Zenity Labs meldete die Schwachstellen im Oktober und November 2025 an Perplexity und 1Password. Perplexity hat einen Hard-Block implementiert, der Comet den Zugriff auf file://-Pfade verwehrt. Für den 1Password-Angriff empfiehlt 1Password, die automatische Entsperrzeit zu reduzieren.
Was das bedeutet
Dieser Fall zeigt ein grundlegendes Problem agentischer KI-Systeme: Je mehr Rechte ein Agent hat, desto gefährlicher wird Prompt Injection. Kalendereinladungen, E-Mails, Dokumente, Webseiten, all das sind potenzielle Angriffsvektoren, sobald ein KI-Agent auf deren Inhalt reagiert.
Wer Comet nutzt und 1Password integriert hat: Auto-Lock auf maximal 15 Minuten setzen und sensible Aktionen grundsätzlich manuell bestätigen.
Quellen: Zenity Labs Blog, The Decoder
