Inhalt: Darum geht's in diesem Beitrag
Sieht aus wie ChatGPT, ist aber ein Internetbrowser: OpenAI hat kürzlich Atlas veröffentlicht, einen sogenannten KI-Browser. Startet man ihn, sieht man das gewohnte ChatGPT-Eingabefenster, ergänzt durch eine Adresszeile am oberen Fensterrand. Er lässt sich bedienen wie ChatGPT, auf Fragen antwortet er mit einer strukturierten Antwort. Wie gewohnt. Oder aber, man tippt eine Website in die Adresszeile, sie öffnet sich. Dann kann man über ein kleines Chatfenster am rechten Rand mit ChatGPT über den Inhalt sprechen. Die KI fasst die Inhalte zusammen, übersetzt fremde Begriffe oder beantwortet Fragen. Bislang gibt es Atlas nur für Mac, aber eine Windows-Version dürfte bald kommen.
Mit Browsern wie Atlas wollen KI-Firmen Platzhirsche wie Chrome oder Firefox angreifen. Auch Perplexity hat mit Comet einen Konkurrenten auf den Markt gebracht. Sowohl Atlas als auch Comet kann man kostenlos herunterladen. „Booste deine Konzentration, optimiere deinen Workflow und mache aus Neugier Antrieb“, bewirbt Perplexity das Programm. Wie immer bei Tech-Konzernen klingt es ein bisschen nach Revolution. Ist da tatsächlich was dran?
So intelligent sind KI-Browser
Auf den ersten Blick scheinen die Browser keine neuen Funktionen zu bringen. Eine Webseite übersetzen oder zusammenfassen zu lassen, das geht ja auch mit der herkömmlichen Version von ChatGPT oder Perplexity. Man gab den Link ein und einen entsprechenden Prompt.
Der KI-Berater Jens Polomski sagt aber, das Arbeiten mit einem KI-Browser sei effizienter. „Ich kann mir das sperrige Copy-and-Pasten sparen“, sagt er, und das sei vor allem deshalb sinnvoll, da die KI dabei weniger halluziniert, also weniger Fehler generiert. Der Clou an den KI-Browsern sei, dass sie live mitlesen, sagt Polomski. So verstehen sie den Inhalt der Webseiten besser.
Die Bedienung über das Chatfenster am Rand oder die Spracheingabe gelänge intuitiv. „Ich kann sagen, hey, diesen Satz verstehe ich nicht, kannst du mir den erklären?“, sagt Polomski. Als würde man mit einem Kollegen oder einer Kollegin über den Inhalt einer Webseite sprechen.
Warum sie sich unser Verhalten merken
Die wahrscheinlich wichtigste und zugleich problematischste Funktion der Browser dürfte in der Erinnerung der Browser liegen. Nutzerinnen und Nutzer können sie aktivieren, wenn sie sich im Browser mit ihrem ChatGPT- beziehungsweise Perplexity-Account anmelden. Die Browser merken sich Jobs, Rollen und Aufgaben der Nutzerin oder des Nutzers und das vergangene Surf-Verhalten.
„Ich kann zum Beispiel fragen: Den Artikel, den ich gerade lese, soll ich den in den Newsletter packen, den ich wöchentlich produziere? Wäre das relevant?“, sagt Polomski. Die Browser wissen dann, welche Inhalte Polomskis Newsletter normalerweise enthält und ob das Thema passen könnte.
Denkbar wären viele solcher Aufgaben. Ein Mitarbeiter beantragt Urlaub, aber er ist erst seit sechs Monaten im Unternehmen: „Atlas-Browser, hatte ich nicht letzte Woche dazu etwas gelesen, wie die rechtliche Lage ist?“ Oder: „Guck mal Atlas, die Waschmaschine, die ich hier gerade anschaue, was unterscheidet die von dem Modell, das ich gestern gesehen habe?“
Wichtig ist diese Funktion, weil sie den Workflow verbessert, und problematisch, weil sie Daten betrifft, bekanntermaßen das Gold der KI-Unternehmen.
KI-Firmen geht es um unser privates Nutzungsverhalten
Aravind Srinivas, CEO von Perplexity AI, sagte einige Wochen vor der Veröffentlichung von Comet: „Das ist sozusagen einer der Gründe, warum wir einen Browser bauen wollten: Wir wollen Daten auch außerhalb der App erhalten, um dich besser zu verstehen.“ KI-Firmen machen also kein Geheimnis daraus, dass sie mit den Browsern noch mehr Daten sammeln wollen, als sie über ihre herkömmlichen Assistenten sowieso schon bekommen.
Wer die Browser nutzt, läuft damit Gefahr, sensible Unternehmensdaten an die KI-Firmen in die USA zu übermitteln. Bekanntermaßen pflegen die keinen datenschutzkonformen Umgang. Man kann zwar einschränken, dass die Browser Daten nutzen, um KI-Modelle zu trainieren. Auch die Erinnerungsfunktion lässt sich ausschalten. Doch selbst, wenn man das alles tut: „Wir wissen einfach nicht, was wohin gefunkt wird, wenn man den Browser nutzt. Ich würde nicht meine Hand ins Feuer legen, dass da nichts passiert“, sagt Polomski.
Gefahr von sogenannten Prompt-Injections
Wie aktuell viele Fachleute warnt auch Polomski vor der Gefahr sogenannter Prompt-Injections. Das sind Befehle an die KI, die zum Beispiel in Texten von Webseiten versteckt sind.
Erteilt man einem KI-Browser etwa den Auftrag, eine Website zusammenzufassen, dann könnte eben auf dieser Website der Befehl versteckt sein, die Anweisung des Nutzers zu ignorieren und stattdessen etwas anderes zu tun: Die Sicherheitsmechanismen der KI zu umgehen, Daten zu klauen oder schadhafte Software auszuführen. Ein trojanisches Pferd.
Das ist keine fiktive Gefahr: Direkt nach dem Start von Atlas haben OpenAI-Konkurrenten solche Prompt-Injection-Angriffe durchgeführt, um die Sicherheitsmängel des Browsers zu demonstrieren. Selbst OpenAI warnt vor den Angriffen.
Darum sollten Unternehmen KI-Browser derzeit nicht nutzen
Dabei wird Prompt-Injection meistens in Verbindung mit der Agenten-Funktion genannt, die nur in kostenpflichtigen Pro-Versionen von Atlas und Comet freigeschaltet wird.
Zur Erinnerung: Agenten sind KI-Assistenten, die vollkommen selbstständig Aufgaben erledigen. Etwa eine Reise für die Nutzerin buchen, eine Social-Media-Kampagne eigenständig erstellen oder mit Kundinnen und Kunden kommunizieren. Agenten verstehen komplexe Zusammenhänge, priorisieren Arbeitsschritte und treffen eigene Entscheidungen. In den vergangenen Monaten haben mehrere Tech-Unternehmen Agenten veröffentlicht und einen Hype ausgelöst.
Diese Agentenfunktion gibt es zum Beispiel auch in OpenAIs Atlas-Browser. Die Idee ist: Man öffnet zum Beispiel die Website der Deutschen Bahn, aber anstatt die Masken selbst zu befüllen, beauftragt man Atlas damit. Genau diese Art des eigenständigen Handelns ist jedoch ein Sicherheitsrisiko. Wäre doch denkbar, dass sich ein Agent selbstständig ins Online-Banking einloggt – auch wenn KI-Firmen beteuern, auf sensiblen Seiten schalte er sich ab.
KI-Agenten 
Richtig nützlich scheint die Agentenfunktion aktuell sowieso noch nicht zu sein, viele Aufgaben löst der Agent noch nicht eigenständig und stellt Rückfragen. „Du erteilst eine Aufgabe, machst etwas anderes und merkst nach eine Viertelstunde, dass er gar nicht gearbeitet hat, weil er noch auf eine Info von dir wartet“, sagt Polomski. Er erkennt das Potenzial der Agenten, man sehe, wo die Reise hingehe. „Im Moment ist die Agenten-Funktion aber nichts weiter als nette Spielerei.“
Aber auch generell rät Polomski Unternehmen von den KI-Browsern ab. Mitarbeitenden sollte man die Nutzung nicht erlauben. Denn die Risiken in Bezug auf Datenschutz und die Bedrohung durch Prompt-Injection-Angriffe hält Polomski derzeit für nicht einschätzbar. „Aktuell sollten Unternehmen erst einmal abwarten und beobachten“, sagt er.
Jens Polomski hat snipKI gegründet. Die Plattform unterstützt Unternehmen bei der Umsetzung von KI-Projekten und schult Mitarbeiterinnen und Mitarbeiter bei der KI-Nutzung. 
