Security

Bösartige AI-Browser-Erweiterungen stehlen LLM-Chats

3 Min. Lesezeit

Zusammenfassung

Microsoft Defender warnt vor bösartigen Chromium-Erweiterungen, die bekannte AI-Assistenten nachahmen und heimlich Inhalte aus LLM-Chats sowie Browser-Telemetrie sammeln. Besonders kritisch ist, dass dabei auch interne URLs, Prompts und Antworten von Diensten wie ChatGPT oder DeepSeek per HTTPS exfiltriert werden können – ein schwer erkennbares Risiko für Datenabfluss in Unternehmen, selbst wenn die Erweiterung aus einem vertrauenswürdig wirkenden Marketplace stammt.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung: Warum das wichtig ist

AI-Assistenten-Browser-Erweiterungen werden immer häufiger als "Produktivitäts"-Add-ons für Wissensarbeiter genutzt, insbesondere für den schnellen Zugriff auf Tools wie ChatGPT und DeepSeek. Die Untersuchung von Microsoft Defender zeigt, wie diese Bequemlichkeit zu einem Kanal für Datenverlust im Unternehmen werden kann: Eine täuschend ähnlich aussehende Erweiterung, die aus einem vertrauenswürdigen Marketplace installiert wird, kann kontinuierlich sensible Prompts, Antworten und interne URLs sammeln und exfiltrieren, ohne sich wie klassische Malware zu verhalten.

Was ist neu / wichtigste Erkenntnisse

Microsoft Defender untersuchte bösartige Chromium-Erweiterungen, die:

  • Legitime AI-Assistenten-Erweiterungen imitieren und dabei vertrautes Branding sowie Berechtigungsabfragen verwenden (Defender weist auf die Nachahmung bekannter Tools wie AITOPIA hin).
  • LLM-Chatinhalte und Browsing-Telemetrie sammeln, darunter:
    • Vollständige besuchte URLs (einschließlich interner Websites)
    • Chat-Ausschnitte (Prompts und Antworten) von Plattformen wie ChatGPT und DeepSeek
    • Modellkennungen, Navigationskontext und eine persistente UUID
  • Wie normale Erweiterungen bestehen bleiben (automatisches Neuladen beim Browserstart, Speichern von Telemetrie im lokalen Erweiterungsspeicher).
  • Daten regelmäßig per HTTPS POST exfiltrieren, was wie routinemäßiger Webverkehr wirken kann.

Laut Defender-Reporting erreichten die Erweiterungen ~900.000 Installationen, wobei Defender-Telemetrie Aktivität in mehr als 20.000 Unternehmensmandanten bestätigt.

So funktioniert der Angriff (auf hoher Ebene)

  • Bereitstellung: Veröffentlicht im Chrome Web Store mit AI-bezogenen Beschreibungen. Da Microsoft Edge Erweiterungen aus dem Chrome Web Store unterstützt, ermöglicht dieselbe Listung browserübergreifende Reichweite.
  • Ausnutzung von Vertrauen und Berechtigungen: Umfassende Chromium-Erweiterungsberechtigungen erlaubten die Beobachtung von Seiteninhalten und Browsing-Aktivitäten. Es wurde ein irreführender Zustimmungsmechanismus verwendet, und Updates konnten Telemetrie standardmäßig erneut aktivieren, selbst nachdem Nutzer sie deaktiviert hatten.
  • Command and control: Regelmäßige Uploads an von Angreifern kontrollierte Domains wie deepaichats[.]com und chatsaigpt[.]com, wobei lokale Puffer nach der Übertragung gelöscht wurden, um Artefakte zu reduzieren.

Auswirkungen auf IT-Administratoren und Endnutzer

  • Risiko von Datenabfluss: Prompts enthalten häufig proprietären Code, interne Prozesse, Strategiediskussionen, in Chats kopierte Zugangsdaten und andere vertrauliche Inhalte. Die Exfiltration vollständiger URLs kann die Struktur interner Anwendungen und sensible Query-Strings offenlegen.
  • Compliance- und Datenschutzrisiken: Erfasste Chatverläufe können regulierte oder personenbezogene Daten enthalten und damit Aufbewahrungs-, eDiscovery- und Datenresidenzpflichten erschweren.
  • Erweiterungsrisiko wird zu "always on": Anders als ein einmaliges Phishing-Ereignis kann eine bösartige Erweiterung kontinuierliche Sichtbarkeit auf Nutzeraktivitäten über Sitzungen hinweg schaffen.

Empfohlene Maßnahmen / nächste Schritte

  1. Bekannte Exfiltrationsendpunkte suchen und blockieren, indem ausgehender HTTPS-POST-Datenverkehr überwacht und Netzwerk-Kontrollen angewendet werden für:
    • *.chatsaigpt.com
    • *.deepaichats.com
    • *.chataigpt.pro
    • *.chatgptsidebar.pro
  2. Browser-Erweiterungen inventarisieren und prüfen auf verwalteten Endpunkten, mit Fokus auf AI-/Sidebar-Tools mit umfassenden Site-Berechtigungen.
  3. Governance für Erweiterungen verschärfen:
    • Allowlisting für genehmigte Erweiterungen verwenden
    • Installationsquellen nach Möglichkeit einschränken
    • Update-Verhalten und Berechtigungsdrift überprüfen
  4. Microsoft Defender Vulnerability Management verwenden, um Browser extensions assessment auszuführen, riskante Erweiterungen zu identifizieren und die Behebung zu priorisieren.
  5. Nutzer schulen: AI-Chats wie sensible Kommunikation behandeln – keine Geheimnisse, Tokens oder proprietären Inhalte einfügen, sofern Tool und Zugriffsweg nicht ausdrücklich genehmigt sind.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Microsoft Defenderbrowser extensionsdata exfiltrationAI securityChromium

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.