KI-Angriff
Check Point Research warnt vor browser-nativer Ransomware durch KI-generierte Angriffstechnik
DeepSeek-generierte Malware bedroht Android-Nutzer über Chrome-Berechtigungen
Ein Klick kann reichen. Keine App, kein klassischer Exploit, kein Download – und trotzdem könnten persönliche Dateien direkt über den Browser ins Visier geraten. Was Check Point Research jetzt dokumentiert hat ist brisant: KI kann nicht nur Malware-Code erzeugen, sondern bislang theoretische Angriffsideen in praktisch nutzbare Angriffsketten übersetzen.
KI-generierte Ransomware läuft direkt im Browser
Sicherheitsforscher von Check Point Research haben ein Malware-Sample analysiert, das DeepSeek zugeschrieben wird und eine neue Qualität browserbasierter Angriffe zeigt. Das Besondere: Die Angriffstechnik benötigt keine Installation einer App, keine native Schadsoftware und keinen klassischen Browser-Exploit. Stattdessen nutzt sie eine legitime Browser-Funktion, um nach einer Nutzerfreigabe Zugriff auf lokale Dateien zu erhalten.
Im Zentrum steht die File System Access API. Diese Schnittstelle erlaubt Webanwendungen grundsätzlich, nach Zustimmung des Nutzers Dateien und Ordner auf dem Gerät zu lesen oder Änderungen daran vorzunehmen. Genau diese legitime Funktion kann laut Check Point Research in einem Ransomware-Szenario missbraucht werden: Eine manipulierte Webseite bringt Nutzer dazu, einem Ordnerzugriff zuzustimmen. Danach kann die Seite Dateien im gewählten Verzeichnis auslesen, verändern, verschlüsseln oder exfiltrieren.
Warum dieser Fund für Cybersecurity-Teams so brisant ist
Der Fall ist deshalb relevant, weil die KI offenbar eine Lücke zwischen einem bekannten theoretischen Risiko und einer praktisch funktionierenden Angriffstechnik geschlossen hat. Check Point Research spricht von „In-Browser Ransomware“ und verweist darauf, dass das zugrunde liegende Risiko der File System Access API zwar bereits bekannt war, aber nun in einer konkreten Angriffskette sichtbar wird.
Früher war für solche Angriffspfade tiefes technisches Wissen nötig. Angreifer mussten Plattformfunktionen verstehen, Sicherheitsgrenzen einschätzen und verschiedene Bausteine zu einem funktionierenden Szenario kombinieren. Der neue Fall zeigt: Generative KI kann diesen Denkprozess teilweise übernehmen – und damit die Einstiegshürde für weniger versierte Angreifer deutlich senken.
Laut Check Point Research analysierten die Forscher fast 3.000 Dateien, die DeepSeek in öffentlichen Telemetriedaten zugeschrieben wurden. Darunter befand sich eine Python-Flask-Anwendung, die auf den ersten Blick wie eine typische KI-Halluzination wirkte: Keylogging, Credential-Diebstahl, Webcam-Zugriff und ein Lösegeld-Overlay wurden in einer einzigen Webseite vermischt – vieles davon würden moderne Browser blockieren. Doch ein Baustein war gefährlich plausibel: der Aufruf von showDirectoryPicker(), einer Browser-Methode zur Auswahl eines Ordners. MDN beschreibt diese Funktion als Verzeichnis-Auswahl, die eine Nutzerinteraktion und einen sicheren Kontext voraussetzt.
Eli Smadja, Group Manager bei Check Point Research , erklärt:

„Wir erleben derzeit einen grundlegenden Wandel in der Art und Weise, wie neue Cyberangriffe entstehen. Zum ersten Mal haben wir Beweise dafür, dass ein KI-Modell eigenständig legitime Plattformfunktionen analysieren und eine funktionierende Angriffstechnik aufdecken kann. Darüber konnten Fachleute bisher nur theoretisch spekulieren, ohne zu wissen, dass die zugrunde liegende API überhaupt existiert. Die Hürde für die Umsetzung komplexer Angriffe sinkt erheblich, was tiefgreifende Auswirkungen auf jedes Unternehmen hat, das KI in seine Arbeitsabläufe integriert, sowie auf jeden Mobilfunknutzer, der mittlerweile sein gesamtes privates und berufliches Leben in einer Fotobibliothek mit sich führt. Die Zukunft der KI-Sicherheit darf nicht darauf beruhen, dass Modelle offensichtlich böswillige Anfragen ablehnen. Sie muss davon ausgehen, dass die nächste Angriffstechnik nicht von einem menschlichen Forscher, sondern durch eine KI-Halluzination entdeckt wird, die zufällig in einem Punkt richtig lag. Unternehmen, die sich schon jetzt auf diese Realität vorbereiten, indem sie den „Delivery Layer“ absichern, das auf Berechtigungen basierende Vertrauensmodell überdenken und jede Browser-Eingabeaufforderung als Sicherheitsentscheidung behandeln, werden diejenigen sein, die noch bestehen, wenn der Rest der Branche aufholt.“
Vom KI-Prototyp zur browserbasierten Ransomware
Check Point Research validierte die Technik mit einem kontrollierten Proof-of-Concept. Dafür entwickelten die Forscher ein vermeintliches KI-Bildoptimierungstool namens „AI Avatar Enhancer“. Die Oberfläche wirkte harmlos: Nutzer sollten Bilder auswählen, um sie angeblich verbessern zu lassen. Tatsächlich nutzte der PoC die File System Access API, um Dateien in einem freigegebenen Verzeichnis zu verschlüsseln.
Der kritische Punkt: Die Methode funktioniert ohne APK, ohne Root-Rechte, ohne nativen Schadcode und ohne klassische Malware-Datei auf dem Gerät. Die gesamte Angriffskette findet innerhalb des Browsers statt. Aus Sicht der Verteidigung ist das problematisch, weil viele Sicherheitswerkzeuge primär auf verdächtige Dateien, Prozesse oder Installationen achten – nicht auf missbrauchte Browserberechtigungen.
DeepSeek lehnte im Test direkte Anfragen mit dem Begriff „Ransomware“ ab. Bei neutraler formulierten Prompts soll das Modell jedoch wiederholt funktionierenden browserbasierten Schadcode erzeugt haben. Genau hier liegt die eigentliche Warnung: Nicht der einzelne Prompt ist entscheidend, sondern die Fähigkeit eines KI-Modells, aus harmlos klingenden Aufgabenbeschreibungen gefährliche technische Kombinationen zu bauen.
Besonders gefährdet: Android-Nutzer mit Chrome
Für Android-Nutzer ist das Szenario besonders heikel. Chrome unterstützt die File System Access API inzwischen auch auf Android; die offizielle Chrome-Dokumentation nennt Android unter den unterstützten Chromium-Plattformen.
Check Point Research warnt insbesondere vor Zugriffen auf Foto- und Dokumentenordner. Auf Smartphones liegen dort oft über Jahre hinweg hochsensible Daten: private Fotos, gescannte Ausweise, Screenshots aus Banking-Apps, medizinische Unterlagen, Reiseunterlagen oder Wiederherstellungscodes. Wird ein solcher Ordner versehentlich freigegeben, kann der Schaden weit über verschlüsselte Bilder hinausgehen.
iOS Safari stellt diese konkrete API laut der vorliegenden Analyse nicht bereit, weshalb der beschriebene Angriffspfad dort nicht in derselben Form greift. Das bedeutet jedoch nicht, dass mobile Browser generell sicher sind. Vielmehr verschiebt sich das Risiko: Berechtigungsdialoge im Browser werden zu sicherheitskritischen Entscheidungen.
Warum KI die Malware-Landschaft verändert
Der Fall zeigt eine Entwicklung, die Sicherheitsverantwortliche ernst nehmen müssen. KI erzeugt nicht nur Varianten bekannter Malware. Sie kann theoretische Risiken, Plattformfunktionen und Social-Engineering-Ideen miteinander verbinden – und daraus neue Angriffsmuster formen.
Damit könnte sich die Malware-Landschaft von wenigen wiederverwendeten Familien hin zu vielen kurzlebigen, einmaligen Artefakten verschieben. Jeder Angriff kann anders aussehen, andere Oberflächen nutzen und andere Tarnungen verwenden: Avatar-Upscaler, KI-Bildverbesserer, Dokumentenkonverter oder Produktivitätstools. Für klassische Erkennungssysteme wird es dadurch schwieriger, stabile Muster zu finden.
Besonders gefährlich sind KI-Lockangebote, weil sie glaubwürdig wirken. Nutzer sind inzwischen daran gewöhnt, neuen KI-Diensten Dateien, Bilder oder Dokumente zu übergeben. Genau dieses Vertrauen können Angreifer ausnutzen.
Was Nutzer und Unternehmen jetzt tun sollten
Browserberechtigungen müssen künftig so ernst genommen werden wie App-Berechtigungen. Wer einer Webseite Zugriff auf einen Ordner erlaubt, sollte genau prüfen, welche Website fragt, welcher Ordner ausgewählt wird und ob Schreibzugriff wirklich notwendig ist.
Privatanwender sollten Webseiten niemals Zugriff auf die komplette Fotobibliothek, den DCIM-Ordner oder Ordner mit Ausweisen, Banking-Screenshots, Wiederherstellungscodes oder geschäftlichen Dokumenten geben. Besonders bei vermeintlichen KI-Tools zur Bildoptimierung, Avatar-Erstellung oder Datei-Konvertierung ist Skepsis angebracht.
Unternehmen sollten ihre Security-Strategie erweitern. Es reicht nicht mehr, nur Downloads, Anhänge oder installierte Apps zu kontrollieren. Webzugriffe, Browserberechtigungen und verdächtige KI-Landingpages müssen stärker in die Erkennung einbezogen werden. Zudem sollten Mitarbeitende geschult werden, Ordnerfreigaben im Browser nicht reflexartig zu bestätigen.
Backups bleiben ein zentraler Schutzfaktor. Wer wichtige Dateien zusätzlich offline oder in vertrauenswürdigen Cloud-Diensten sichert, reduziert das Erpressungspotenzial erheblich. Browser und mobile Betriebssysteme sollten stets aktuell gehalten werden.
Fazit: Der Browser wird zur neuen Angriffsfläche für KI-generierte Malware
Der von Check Point Research dokumentierte Fall ist mehr als ein technisches Kuriosum. Er zeigt, wie generative KI die Arbeitsteilung im Cybercrime verändert: Der Mensch beschreibt ein Ziel, die KI findet den Weg dorthin.
Browser-native Ransomware ist kein Massenphänomen – noch nicht. Aber sie macht deutlich, wohin sich Angriffe entwickeln können: weg von klassischen Malware-Dateien, hin zu missbrauchten Plattformfunktionen, überzeugenden KI-Oberflächen und gefährlichen Berechtigungsdialogen.
Für Nutzer heißt das: Nicht jeder Klick auf „Zulassen“ ist harmlos. Für Sicherheitsverantwortliche heißt es: Der Browser ist nicht länger nur Zugangspunkt zum Web, sondern selbst eine kritische Angriffsfläche.