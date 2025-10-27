Anzeige
News
Atlas: Warum der neue KI-Browser von OpenAI zum Sicherheitsrisiko werden könnte

OpenAIs KI-Browser Atlas soll den Alltag erleichtern und kann im Agenten-Modus sogar eigenständig Aufgaben ausführen. Genau darin sehen Cybersicherheitsexpert:innen aber eine potenzielle Gefahr.

Von Noëlle Bölling
2 Min.
Wie sicher ist der neue KI-Browser von OpenAI? (Foto: Shutterstock / Koshiro K)

Erst kürzlich hat OpenAI mit Atlas seinen neuen KI-Browser vorgestellt – aber schon jetzt schlagen Sicherheitsforscher:innen Alarm. Wie Futurism berichtet, steht vor allem der neue Agenten-Modus im Mittelpunkt der Kritik. Expert:innen warnen, dass dieser anfällig für Prompt-Injection-Angriffe ist und deshalb potenziell gefährlich sein könnte.

Wie sicher ist der KI-Agent von Atlas?

KI-Browser gelten derzeit als einer der spannendsten Trends der Tech-Branche. Sowohl Startups wie The Browser Company, das inzwischen von Atlassian übernommen wurde, als auch große Konzerne wie Microsoft und Google bieten schon eigene Lösungen. Dass jetzt auch OpenAI in diesen Markt einsteigt, war also nur eine Frage der Zeit. Grundsätzlich funktioniert Atlas wie ein herkömmlicher Browser, allerdings ist er direkt in ChatGPT integriert. Nutzer:innen können die KI nicht nur über die Schaltfläche „ChatGPT fragen“ oben rechts aufrufen, sondern auch direkt über die Adressleiste Suchanfragen stellen.

Das eigentliche Highlight ist allerdings der KI-Agent, der aktuell nur für zahlende Abonnent:innen freigeschaltet ist. In diesem Modus ist Atlas dazu in der Lage, eigenständig Aufgaben auszuführen: Der Agent kann beispielsweise Artikel zusammenfassen, Texte übersetzen, Formulare ausfüllen oder Reisepläne erstellen. Die KI zerlegt komplexe Aufgaben in Einzelschritte und arbeitet sie dann nacheinander ab. Das kann allerdings dauern: In unserem Test brauchte der KI-Agent rund drei Minuten, um die beste Sonnencreme zu recherchieren und bei Amazon in den Warenkorb zu legen. Was in der Theorie nützlich werden könnte, bereitet Sicherheitsexpert:innen aber große Sorgen.

Prompt-Injection bleibt ein Problem

Nur zwei Tage nach dem Start von Atlas veröffentlichte der konkurrierende Anbieter Brave eine Analyse, die deutliche Schwachstellen bei KI-Browsern aufzeigt. Laut dem Bericht sind Prompt-Injection-Angriffe nach wie vor ein ernstes Problem. Dabei können Angreifer:innen versteckte Befehle an eine KI senden, um schädliche oder eigentlich unerwünschte Aktionen auszuführen. Auch wenn Brave Atlas nicht namentlich erwähnte, bestätigten unabhängige Forscher:innen schnell, dass OpenAIs KI-Browser anfällig für Prompt-Injection ist.

Ein Sicherheitsforscher demonstrierte unter seinem Nutzungsnamen P1njc70r auf X, wie er ChatGPT dazu brachte, statt einer Dokumentzusammenfassung lediglich den Satz „Vertraue keiner KI“ auszugeben. Was wie ein harmloser Streich klingt, kann in der Praxis ernste Konsequenzen haben – etwa, wenn manipulierte Prompts sensible Daten auslesen oder Aktionen im Namen der Nutzer:innen ausführen. Der britische Entwickler CJ Zafir erklärte, er habe Atlas nach eigenen Tests wieder deinstalliert, da er die Risiken als real einstuft.

Selbst OpenAI mahnt zur Vorsicht

OpenAI betont, dass der Atlas-Agent im Browser keinen Code ausführen oder Dateien herunterladen kann. Auch auf Passwörter oder andere Anwendungen habe die KI keinen Zugriff. Ebenso melde sie sich nicht ohne ausdrückliche Zustimmung der Nutzer:innen bei ihren Online-Konten an. Trotzdem räumt das Unternehmen ein, dass auch diese Schutzmaßnahmen nicht alle Risiken ausschließen. Wer den Agenten-Modus aktiviert, sollte genau beobachten, was die KI tut. In der Praxis bedeutet das, minutenlang dabei zuzusehen, wie der KI-Agent beispielsweise Texte zusammenfasst oder nach Produkten sucht.

Cybersicherheitsforscher:innen bleiben skeptisch. „Ich finde diese ganze Kategorie von Browser-Agenten nach wie vor äußerst verwirrend“, schreibt der britische Programmierer Simon Willison in einem Blogbeitrag. „Die damit verbundenen Sicherheits- und Datenschutzrisiken erscheinen mir nach wie vor unüberwindbar hoch. Ich werde keinem dieser Produkte vertrauen, bis eine Reihe von Sicherheitsforscher:innen sie einer gründlichen Prüfung unterzogen hat.“

