剣 KENSAI
← All posts · research · 2026-03-12 · 4 min

KI-Browser-Agenten in unter 4 Minuten gehackt — Agentic Blabbering, WordPress-SQLi & n8n-RCE aktiv ausgenutzt

Perplexitys Comet-KI-Browser wurde in unter vier Minuten zu einem Phishing-Betrug verleitet. Eine kritische WordPress-SQLi betrifft über 250.000 Websites. CISA ordnet Notfall-Patches für aktiv ausgenutzte n8n-RCE an. Die Angriffsfläche autonomer KI-Tools wächst schneller als die Abwehr.


🤖 KI-Agenten: Der neue Angriffsvektor

⚠️ KRITISCH — KI-Browser-Agenten anfällig für Social Engineering

Forscher von Guardio haben demonstriert, dass Perplexitys Comet KI-Browser — der autonom im Web navigieren soll — in unter vier Minuten dazu gebracht werden kann, Anmeldedaten auf Phishing-Seiten einzugeben. Die Technik nutzt eine grundlegende Schwäche, die sie „Agentic Blabbering" nennen.

Was ist Agentic Blabbering?

KI-gestützte Webbrowser klicken nicht nur auf Links — sie denken laut über das nach, was sie sehen, was sie glauben, was passiert, und was sie als nächstes planen. Diese interne Erzählung wird, wenn sie von einer bösartigen Seite abgefangen wird, zur Waffe. Angreifer können die Argumentation des Agenten lesen, seine Sicherheitsbewertungen in Echtzeit verstehen und Antworten entwickeln, die seine Verteidigung systematisch aushebeln.

„Die KI arbeitet jetzt in Echtzeit, innerhalb unordentlicher und dynamischer Seiten, während sie kontinuierlich Informationen anfordert, Entscheidungen trifft und ihre Aktionen kommentiert", erklärte Guardio-Forscher Shaked Chen.

Die 4-Minuten-Exploit-Kette

  1. Köder-Seite: Der Angreifer erstellt eine Seite, die wie ein legitimer Dienst mit Login-Anforderung aussieht
  2. Reasoning-Abfangen: Die bösartige Seite liest die interne Argumentation des KI-Agenten darüber, ob die Seite sicher ist
  3. Adaptive Überzeugung: Basierend auf den geäußerten Bedenken des Agenten passt die Seite dynamisch ihre Legitimierungssignale an
  4. Eingabe der Anmeldedaten: Der KI-Agent, nun überzeugt, dass die Seite sicher ist, gibt die gespeicherten Anmeldedaten des Benutzers ein

Der gesamte Angriff — vom ersten Seitenaufruf bis zum Diebstahl der Anmeldedaten — dauerte weniger als vier Minuten ohne menschliche Interaktion.


🔓 WordPress SQLi: 250.000+ Websites gefährdet

Elementor Ally Plugin Schwachstelle

Eine kritische SQL-Injection-Schwachstelle wurde im Ally-Plugin entdeckt, einem WordPress-Barrierefreiheits-Plugin von Elementor mit mehr als 400.000 Installationen. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sensible Daten aus der WordPress-Datenbank zu extrahieren — einschließlich Admin-Anmeldedaten, Benutzerdaten und Konfigurationsgeheimnissen.

Auswirkung: Jede WordPress-Website mit dem Ally-Plugin ist potenziell verwundbar. Der Angriff erfordert keine Authentifizierung und kann remote ausgeführt werden. Mindestens 250.000 Websites nutzen bestätigt verwundbare Versionen.

Empfohlene Maßnahmen


🚨 n8n RCE: CISA ordnet Notfall-Patching an

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat alle Bundesbehörden angewiesen, eine Remote-Code-Execution-Schwachstelle in n8n zu patchen, der beliebten Open-Source-Workflow-Automatisierungsplattform. Die Schwachstelle wird aktiv in der Praxis ausgenutzt.

n8n wird in Unternehmensumgebungen weitverbreitet für Workflow-Automatisierung eingesetzt und integriert Hunderte von Diensten einschließlich Slack, GitHub, Datenbanken und Cloud-Plattformen. Ein erfolgreicher RCE-Exploit gibt Angreifern volle Kontrolle über den n8n-Server und Zugriff auf alle verbundenen Dienst-Anmeldedaten.

Warum dies für KI-gesteuerte Organisationen wichtig ist

n8n wird zunehmend als Orchestrierungsschicht für KI-Agent-Workflows eingesetzt. Wenn Ihre KI-Agenten n8n nutzen, um Aktionen über Dienste hinweg zu verketten, bedeutet eine kompromittierte n8n-Instanz, dass jeder verbundene Dienst kompromittiert ist — einschließlich Ihrer KI-Modelle, Datenpipelines und kundenorientierten APIs.


🔍 Die wachsende Angriffsfläche autonomer KI

Drei konvergierende Bedrohungen

Die drei heutigen Geschichten teilen einen gemeinsamen Faden: Autonome KI-Tools schaffen Angriffsflächen schneller, als Sicherheitsteams sie kartieren können.

BedrohungsvektorTool-KategorieRisikostufeAuswirkung
Agentic BlabberingKI-BrowserKRITISCHDiebstahl von Anmeldedaten durch Ausnutzung der KI-Argumentation
Plugin SQLiCMS-PluginsKRITISCHNicht authentifizierte Datenbankexfiltration
Automatisierungs-RCEWorkflow-EnginesKRITISCHVollständige Server- + Anmeldedaten-Kompromittierung

Was Sicherheitsteams jetzt tun müssen

  1. Alle KI-Agenten inventarisieren — Kennen Sie jedes autonome Tool, das im Namen Ihrer Organisation handeln kann
  2. KI-Agent-Berechtigungen begrenzen — Least-Privilege auf KI-Browser, Workflow-Engines und Automatisierungstools anwenden
  3. KI-Agent-Verhalten überwachen — Protokollieren und prüfen Sie, worauf KI-Agenten zugreifen, was sie übermitteln und womit sie sich verbinden
  4. Automatisierungsplattformen patchen — n8n und ähnliche Plattformen müssen innerhalb von 24 Stunden nach CVE-Offenlegung gepatcht werden
  5. Plugin-Schwachstellen scannen — WordPress, CMS-Plugins und SaaS-Integrationen sind der Einstiegspunkt Nr. 1