AI-Browser-Agenten bergen erhebliche Sicherheitsrisiken

Neue KI-basierte Webbrowser wie OpenAIs ChatGPT Atlas und Perplexitys Comet werben mit autonomen KI-Agenten, die Aufgaben im Internet für Nutzer übernehmen – von Formularen ausfüllen bis hin zu E-Mails lesen. Diese Agenten versprechen eine revolutionäre Verbesserung der Internetnutzung, doch gleichzeitig bergen sie erhebliche Sicherheitsrisiken, die von Experten als gravierend eingestuft werden. Im Gegensatz zu herkömmlichen Browsern, die lediglich Inhalte anzeigen, agieren KI-Agenten aktiv: Sie klicken, navigieren und interagieren mit Webseiten – und dafür benötigen sie oft umfassenden Zugriff auf sensible Daten wie E-Mails, Kalender, Kontakte und sogar Passwörter. In Tests zeigte sich, dass die Agenten bei einfachen Aufgaben nützlich sind, bei komplexeren Aufgaben jedoch oft langsam, fehleranfällig oder gar unfähig, die gewünschten Ergebnisse zu liefern. Die Nutzbarkeit bleibt damit oft auf eine Art „technisches Kuriosum“ beschränkt. Der größte Sicherheitsalarm geht von sogenannten Prompt-Injection-Angriffen aus. Dabei verstecken Angreifer schädliche Befehle in Webinhalten – etwa in verstecktem Text, CSS oder sogar in Bildern mit versteckter Datenstruktur –, die von KI-Agenten als legitime Anweisung interpretiert werden. Dadurch kann ein Agent gezwungen werden, sensible Daten preiszugeben, unerwünschte Käufe zu tätigen oder Beiträge auf sozialen Medien zu veröffentlichen. Die Forschung von Brave zeigt, dass solche Angriffe kein isoliertes Problem sind, sondern ein systemisches Risiko für die gesamte Branche. Der Sicherheitsexperte Shivan Sahib von Brave betont: „Der Browser macht jetzt Dinge für den Nutzer – das ist grundsätzlich gefährlich.“ OpenAI und Perplexity haben bereits Gegenmaßnahmen ergriffen. OpenAI bietet einen „ausgeloggten Modus“ an, bei dem der Agent nicht in Benutzerkonten eingeloggt ist, was den Schaden bei einem Angriff begrenzt. Perplexity setzt auf Echtzeit-Erkennung von Prompt-Injection-Versuchen. Doch Experten wie McAfee-CTO Steve Grobman warnen: „Es ist ein Katz-und-Maus-Spiel.“ Die KI versteht nicht immer, wo eine Anweisung herkommt – zwischen ihren grundlegenden Regeln und den von Webseiten gelieferten Daten besteht eine unscharfe Grenze. Angreifer nutzen zunehmend komplexe Techniken wie versteckte Daten in Bildern, die klassische Sicherheitsmaßnahmen umgehen. Für Nutzer gibt es konkrete Schutzmaßnahmen: Einzigartige Passwörter und Zwei-Faktor-Authentifizierung sind essenziell. Zudem sollten Nutzer den Zugriff der Agenten bewusst einschränken – besonders auf sensible Konten wie Banking oder Gesundheitsdaten. Experten raten, die Agenten zunächst nur für nicht-kritische Aufgaben zu nutzen und abzuwarten, bis die Sicherheitssysteme ausgereifter sind. Die Technologie hat großes Potenzial, doch bis dahin bleibt die Balance zwischen Komfort und Sicherheit eine der größten Herausforderungen der KI-Ära.