OpenAI räumt ein, dass Prompt-Injektionen – eine Art Angriff, bei der künstliche Intelligenz dazu gebracht wird, schädliche Befehle auszuführen, oft verborgen in Webseiten oder E-Mails – ein anhaltendes Sicherheitsrisiko für AI-Browser wie seinen eigenen ChatGPT Atlas darstellen. Obwohl das Unternehmen Maßnahmen ergreift, um die Sicherheit des Browsers zu stärken, betont es, dass solche Angriffe „nicht vollständig behoben werden können“, ähnlich wie Betrug und Social Engineering im Web. Der Launch von Atlas im Oktober löste rasch Sicherheitsdemos aus, bei denen Forscher zeigten, wie wenige Worte in Google Docs die Browser-Logik manipulieren können. Auch Brave warnte vor systemischen Schwächen bei AI-Browsern wie Perplexity’s Comet. Der britische National Cyber Security Centre (NCSC) bestätigte, dass Prompt-Injektionen „niemals vollständig ausgeschaltet werden können“, und riet daher zu einer Risikominderung statt einer Illusion von absoluter Sicherheit. OpenAI reagiert mit einem kontinuierlichen, proaktiven Sicherheitsansatz: Ein künstliches „LLM-basiertes automatisiertes Angreifer-Modell“, das mittels Verstärkendem Lernen trainiert wurde, simuliert Angriffe, um Schwachstellen frühzeitig zu finden. Dieser Bot testet Angriffsstrategien in einer virtuellen Umgebung, analysiert die Reaktion des Zielsystems und optimiert die Attacke iterativ – ein Vorteil gegenüber externen Angreifern, die keinen Zugriff auf die internen Denkprozesse der KI haben. In einer Demonstration gelang es dem Bot, eine manipulierte E-Mail in einen Benutzer-Posteingang einzuschleusen, die die AI dazu verleitete, statt eines Ausgangs-Reply eine Kündigung zu versenden. Nach dem Sicherheitsupdate konnte Atlas die Injektion jedoch erkennen und den Nutzer warnen. Die Strategie basiert auf kontinuierlichem Stress-Testing und schnellen Patches. OpenAI arbeitet seit vor dem Launch mit Drittanbietern zusammen, um Atlas zu sichern. Dennoch bleibt die Frage, ob die Sicherheitsmaßnahmen ausreichen. Rami McCarthy von der Sicherheitsfirma Wiz betont, dass der Risikofaktor bei agierenden Browsern hoch ist: „Moderate Autonomie kombiniert mit extrem hohem Zugriff auf sensible Daten wie E-Mails und Zahlungen ist ein gefährliches Gleichgewicht.“ Er rät daher zu begrenztem Zugriff und vorheriger Nutzerbestätigung bei kritischen Aktionen. OpenAI empfiehlt Nutzern, Agenten nicht mit breiten Rechten auszustatten, sondern präzise Anweisungen zu geben, um Manipulationen zu erschweren. McCarthy bleibt skeptisch: Für den Alltag sei der Nutzen agierender Browser noch nicht ausreichend, um das hohe Risiko zu rechtfertigen. Die Balance zwischen Leistung und Sicherheit bleibt weiterhin problematisch. Dennoch zeigt OpenAIs Ansatz, dass die Sicherheit von KI-Systemen nicht durch statische Maßnahmen, sondern durch dynamische, lernende Defensivstrategien gewährleistet werden muss.