Sicherheitsforscher kapern Perplexitys KI-Browser Comet und übernehmen 1Password-Konten

Sicherheitsforscher zeigen, wie der agentische Browser Comet von Perplexity über eine simple Kalendereinladung dazu gebracht werden kann, lokale Dateien zu stehlen und ein komplettes 1Password-Konto zu übernehmen.

Sicherheitsforscher von Zenity Labs haben zwei Angriffswege demonstriert, die Perplexitys agentischen Browser Comet ausnutzen. In beiden Fällen genügt eine manipulierte Kalendereinladung. Der Nutzer muss lediglich Comet bitten, sich um den Termin zu kümmern. Ab diesem Moment läuft der Angriff ohne weitere Interaktion im Hintergrund ab.

Kalendereinladungen sind dabei laut den Forschern nur ein Beispielvektor. Derselbe Angriffstyp lasse sich über E-Mails, Dokumente, Webseiten oder hochgeladene Dateien ausliefern. Entscheidend sei lediglich, dass Comet den Inhalt im Rahmen einer delegierten Aufgabe verarbeitet.

Der erste Angriff zielt auf das lokale Dateisystem. Comet wird durch in die Einladung eingebettete Anweisungen dazu gebracht, Verzeichnisse zu durchsuchen, sensible Dateien zu öffnen und deren Inhalt per URL-Parameter an einen externen Server zu übermitteln. Für den Browser sieht das aus wie ein normaler Seitenaufruf.

Der zweite Angriff geht deutlich weiter: Comet navigiert in den authentifizierten 1Password Web Vault des Nutzers, sucht gespeicherte Einträge, legt Passwörter offen und sendet die Zugangsdaten an den Angreifer. In einer eskalierten Variante ändert der Agent das Kontopasswort, extrahiert E-Mail-Adresse und Secret Key und ermöglicht so eine vollständige Kontoübernahme. Auslöser der Untersuchung war laut den Forschern die im September 2025 angekündigte Partnerschaft zwischen Perplexity und 1Password, die den Passwortmanager direkt in die Comet-Browserumgebung integriert.

Keine Schwachstelle im klassischen Sinn

Keiner der Angriffe nutzt eine klassische Software-Schwachstelle. Comet arbeitet innerhalb seiner vorgesehenen Fähigkeiten und verwendet den authentifizierten Browser-Kontext des Nutzers. Die Forscher sprechen von "Intent Collision": Der Agent kann nicht zuverlässig zwischen der Absicht des Nutzers und den Anweisungen des Angreifers unterscheiden und verschmilzt beides zu einem einzigen Ausführungsplan.

Im Fall von 1Password verschärft die Browser-Extension das Problem: Sie bleibt standardmäßig bis zu acht Stunden entsperrt und meldet den Nutzer automatisch im Web-Interface an. Jeder Prozess im Browser-Kontext erbt damit Zugang zum Passwort-Tresor.

Gefälschte Buttons und hebräische Anweisungen als Tarnung

Die Angriffstechnik ist laut den Forschern gezielt auf Comets interne Architektur zugeschnitten. Die Forscher extrahierten zunächst Comets System-Prompt und stellten fest, dass der Agent intern eine <system_reminder>-Struktur verwendet. Dieses Format nutzten sie in der manipulierten Kalendereinladung, um ihren Anweisungen höhere Priorität zu verleihen.

Der sichtbare Teil der Einladung enthält ausschließlich harmlose Meetingdetails. Weiter unten, durch zahlreiche Leerzeilen vom sichtbaren Bereich getrennt, folgen die eigentlichen Anweisungen. Dort platzierten die Forscher ein gefälschtes Button-Element mit einer Node-ID, das Comet als legitimes interaktives UI-Element interpretiert, weil es der internen Darstellung von Seitenelementen entspricht.

Zusätzlich verwendeten die Forscher bewusst eine Mischung aus Hebräisch, Englisch und narrativer Rahmung. Die Schritte werden als Geschichte präsentiert, in der "Alice ihren Assistenten um Hilfe bittet". Diese Kombination reduziere laut den Forschern die Wahrscheinlichkeit, dass generische Schutzmechanismen den Inhalt als bösartige Anweisung klassifizieren.

Fixes erfordern manuelle Konfiguration

Zenity Labs hat die Schwachstellen im Oktober und November 2025 an Perplexity und 1Password gemeldet. Perplexity hat eine harte Grenze implementiert, die Comet den Zugriff auf file://-Pfade auf Code-Ebene verwehrt. Die Forscher loben diesen Ansatz ausdrücklich: Perplexity behandle den agentischen Browser selbst als nicht vertrauenswürdige Entität und beschränke seine Fähigkeiten im Quellcode, statt die Entscheidung dem Sprachmodell zu überlassen.

Allerdings fand Zenity nach dem ersten Patch einen Umgehungsweg über den Pfad view-source:file:///, woraufhin Perplexity im Februar 2026 nachbessern musste. Zusätzlich können Nutzer unter comet://settings/assistant sensible Domains blockieren. 1Password hat Optionen eingeführt, um die automatische Anmeldung zu deaktivieren und vor dem Ausfüllen von Passwörtern eine Bestätigung zu verlangen. 1Password veröffentlichte zudem ein Security Advisory.

Beide Unternehmen haben laut den Forschern konstruktiv reagiert. Doch während Perplexity mit der harten Grenze für Dateisystemzugriffe eine standardmäßig aktive Sperre eingeführt hat, erfordern die Schutzmaßnahmen von 1Password sowie die Domain-Blockierung in Comet weiter manuelle Konfiguration durch den Nutzer. Wer die Einstellungen nicht anpasst, bleibt exponiert. MFA hätte die vollständige Kontoübernahme zwar verhindert, nicht aber das Auslesen einzelner Vault-Einträge.

Die Forscher empfehlen einen Zero-Trust-Ansatz gegenüber agentischen Browsern: Minimaler Zugriff, maximales Misstrauen. Prompt Injection sei kein gelöstes Problem, und mit zunehmender Autonomie von KI-Systemen wachse die Angriffsfläche.