Mit den KI-Browsern Comet von Perplexity und Atlas von OpenAI beginnt eine neue Phase in der Mensch-Computer-Interaktion. Doch genau diese Fähigkeiten machen sie zu einem ernstzunehmenden Risiko für Sicherheit und Datenschutz.
Beide Browser versprechen, das Web selbstständig zu durchsuchen, Inhalte zu verstehen und selbstständig mit Webseiten zu interagieren.
Inhalt
Was Comet und Atlas tun
Diese Browser führen nicht nur einfache Suchanfragen aus, sondern analysieren Webseiteninhalte eigenständig und agieren im Namen des Nutzers. Die Assistenten können innerhalb bereits eingeloggter Web-Sitzungen agieren, etwa in E-Mail- oder anderen Onlinediensten.
SEO Check: Wie gut ist Ihr Unternehmen für SEO aufgestellt?
Das Ziel: Ein Betriebssystem, das auf natürlicher Sprache basiert. Sie geben eine Anweisung, der Browser erledigt den Rest. Bezahlt wird das alles mit detaillierten persönlichen Daten.
Das Sicherheitsproblem: Unsichtbare Befehle
Beide Systeme sind anfällig für sogenannte indirekte Prompt-Injection-Angriffe. Dabei werden versteckte Befehle in Webseiten eingebettet, etwa in weißem Text, HTML-Kommentaren oder unsichtbaren Tags. Diese Inhalte sind für Menschen nicht sichtbar, werden aber vom KI-Browser verarbeitet, als kämen sie direkt vom Nutzer.
INSERT_STEADY_NEWSLETTER_SIGNUP_HERE
Ein Beispiel: Auf einer Seite mit einem harmlosen Kommentar auf Reddit befindet sich ein versteckter Befehl. Der Nutzer bittet den Browser, die Seite zusammenzufassen. Der Assistent analysiert den Text, erkennt den versteckten Befehl und liest ungewollt E-Mails, loggt sich auf anderen Seiten ein und sendet sensible Daten an einen fremden Server und das alles ohne dass die Nutzer das mitbekommen.
Was macht Comet und Atlas als Browser so gefährlich?
Der Schweizer Informatiker Grégory Mermoud, der sich auf künstliche Intelligenz, maschinelles Lernen und verteilte Systeme spezialisiert hat, warnt Unternehmen eindringlich davor, diese Browser zu nutzen.
Sie möchten eine kurze Einschätzung zur SEO-Performance Ihrer Website?
Schreiben Sie mich einfach an und nennen Sie mir die aktuellen Herausforderungen.
Klassische Sicherheitsmechanismen im Web, wie die Trennung von Daten zwischen verschiedenen Seiten (Same-Origin Policy), können umgangen werden, wenn die KI Inhalte aus unterschiedlichen Quellen gleichwertig verarbeitet.
Die KI arbeitet mit denselben Rechten wie der Nutzer. Ist jemand auf mehreren Seiten eingeloggt, hat die KI Zugriff auf alle diese Sitzungen gleichzeitig.
Im Gegensatz zu klassischen Sicherheitslücken handelt es sich hier nicht um Fehler im Code, sondern um strukturelle Schwächen in der Architektur KI-gestützter Browser. Diese sind derzeit schwer zu beherrschen, auch wenn erste Gegenmaßnahmen existieren.
Wer haftet, wenn ein KI-Assistent ohne Wissen des Nutzers Daten weitergibt oder Aktionen ausführt, bleibt zudem bislang ungeklärt.
Risikoanalyse aus der Sicherheitsforschung
Sicherheitsforscher von Brave, LayerX, Check Point und anderen haben dokumentiert, wie leicht es ist, die Systeme auszutricksen. In einem Proof-of-Concept-Angriff auf Comet gelang es, eine Session mit der Perplexity-Webseite zu übernehmen und ein Einmalpasswort (OTP) aus einem geöffneten Gmail-Fenster auszulesen, um damit den Zugang zu kompromittieren.
Auch bei Atlas wurden ähnliche Risiken festgestellt. Die von OpenAI entwickelte Browserumgebung verarbeitet Befehle kontextübergreifend und mit weitreichendem Zugriff. Sobald die KI als zentrale Instanz zwischen Nutzer und Web agiert, entsteht eine massive Angriffsfläche, insbesondere bei aktivierten Sitzungen in sensiblen Anwendungen wie Online-Banking oder Unternehmensportalen.
Empfehlungen für Organisationen
Die Forscher warnen vor der Nutzung dieser hochriskanten Tools.
- Keine Nutzung in produktiven Umgebungen: Unternehmen sollten Comet und Atlas grundsätzlich nicht in internen Netzwerken oder mit Zugang zu sensiblen Daten einsetzen.
- Technische Isolierung: KI-gestützte Browser sollten strikt vom regulären Browsing getrennt werden. Eine klare Trennung muss sichtbar und technisch durchgesetzt sein.
- Sicherheitskritische Aktionen bestätigen lassen: Jede Aktion mit potenziellem Sicherheitsrisiko (z. B. Versenden von E-Mails, Zugriff auf geschützte Inhalte) muss manuell bestätigt werden.
- Klar definierte Berechtigungen: Der KI-Browser darf nicht automatisch auf alle Inhalte und Dienste zugreifen. Granulare Berechtigungskonzepte sind zwingend erforderlich.
- Schulung und Sensibilisierung: Mitarbeitende sollten über die Risiken von AI-Browsern aufgeklärt werden, insbesondere über die Möglichkeit versteckter Befehle in scheinbar harmlosen Inhalten.
Die Entwicklung hin zu agentenbasiertem Browsing ist technisch beeindruckend, aber derzeit sicherheitstechnisch hochriskant. KI-Systeme wie Comet und Atlas benötigen weitreichenden Zugriff auf Nutzerdaten, um überhaupt zu funktionieren. Gleichzeitig fehlt es an wirksamen Schutzmechanismen, um Missbrauch dieser Daten zu verhindern. Bis diese neuen Systeme technisch ausgereift und gesetzlich reguliert sind, sollten sie weder im Unternehmensumfeld noch mit sensiblen Daten eingesetzt werden.
Kontakt
Udo Raaf (Dipl. Kommunikationswirt) betreibt seit 1999 erfolgreich eigene Websites und gibt sein Wissen heute als strategischer Content- und SEO-Berater an Unternehmen, Agenturen und NPOs weiter.
Warum KI-Detektoren nicht funktionieren – und was wirklich hilft
KI-Regulierung: Warum generative KI klare Regeln braucht
KI-Slop: Warum generative KI oft mehr schadet als nützt
Perplexity AI: Die Antwortmaschine
CustomGPT in ChatGPT erstellen (Checkliste)
OpenAI integriert Shopping in ChatGPT
ChatGPT für SEO: Texten mit KI – Prompts, Taktiken und Risiken
ChatGPT und Datenschutz: Wie sicher ist die Nutzung von KI für Unternehmen?
ChatGPT Pulse: Funktionen, Grenzen und Probleme
10 Gründe, warum sich Suchmaschinenoptimierung (SEO) lohnt
Warum Keyworddichte (Keyword Density) keine relevante Metrik ist
Blogs sind tot: Warum Blogs heute nicht mehr funktionieren