KI-Browser: Was KI-Browser können – und warum sie gefährlich sind

Browser sind erst mal nichts Spannendes. Man tippt Websites ein, googelt und lässt erschlagend lange Tablisten wachsen. So nutzen wir sie seit mehr als zwei Jahrzehnten. Jetzt soll sich ausgerechnet auf dem Browsermarkt eine Revolution anbahnen. Mehrere Unternehmen haben im vergangenen Jahr KI-Browser auf den Markt gebracht, also Browser, in die KI-Assistenten integriert sind. Sie lesen live mit, während die Nutzerin oder der Nutzer surft, beantworten Fragen oder füllen Eingabemasken aus.

Die bekanntesten KI-Browser sind Atlas vom ChatGPT-Konzern Open AI und Comet von ­Perplexity. Die sehen erst mal nicht großartig anders aus als die bekannten LLMs. Trotzdem beschwören die Tech-Konzerne eine neue Ära des Surfens. „Booste deine Konzentration, ­optimiere deinen Workflow und mache aus Neugier Antrieb“, bewirbt Perplexity das Tool. Klingt euphorisch, wie immer bei Tech-Firmen.

Etwas zu euphorisch, wie sich bald herausstellte. Denn die Browser weisen so gravierende Sicherheitsmängel auf, dass die meisten Expertinnen und Experten von ihrer Benutzung abraten. Was die KI-Browser können – und warum du die Finger von ihnen lassen solltest.

Was die Browser können – theoretisch

Atlas (Open AI) und Comet (Perplexity) kann man kostenlos herunterladen. Atlas gibt es nur für Apples Mac, Comet gibt es für alle Betriebssysteme, bietet aber in der kostenlosen Version eine begrenzte Anzahl Suchanfragen.

Hat man die Programme installiert, ist vieles wie von den KI-Assistenten gewohnt: Man schreibt Prompts oder Suchaufträge in ein Eingabefeld in der Mitte des Fensters ein. Die KI antwortet. Oder man tippt die Adresse einer Website ein, dann öffnet sie sich – wie man es von einem Browser kennt. Man kann auch nach Websites suchen und sich eine Ergebnisliste anzeigen lassen, wie bei Google. So weit ­alles noch keine Revolution.

Anzeige

Gehalts-Pflicht 2026: Was jetzt zu tun ist

In KMU wurden Gehälter über Jahre individuell entwickelt und Systeme Schritt für Schritt erweitert. Genau das wird jetzt zur Herausforderung

Hier lesen

Die Künstliche Intelligenz bemerkt man zum Beispiel bei schwierigen Suchaufträgen. Die Browser können nicht nur nach Restaurants in der Nähe recherchieren, wie das Google vermag, sondern auch komplexe Kriterien berücksichtigen: ein Restaurant mit zwei Sternen, aber bitte vegan und am Montag geöffnet. Damit wäre eine normale Suchmaschine wohl überfordert. Oder man lässt die Browser nicht nur nach einem Youtube-Video recherchieren, sondern nach einer gewissen Stelle im Video.

Das ganze Potenzial zeigt sich dann, wenn man den KI-Assistenten öffnet: ein Fenster am rechten Rand. Darüber können Nutzerinnen und Nutzer die KI zum Beispiel bitten, die Website zusammenzufassen, gezielt Fragen nach ihrem Inhalt zu beantworten oder ihn zu übersetzen. Solche Aufgaben können natürlich auch herkömmliche KI-Assistenten wie das ­gewohnte ChatGPT übernehmen, doch dafür müsste man die Adresse der Website oder die Inhalte hin und her kopieren. In den Browsern ist das nicht nötig.

Das mag nach einer Kleinigkeit klingen, in der Praxis könne es die Arbeitsabläufe dann doch beschleunigen, sagt der KI-Experte Jens Polomski. Noch mehr Möglichkeiten hat man, wenn man die sogenannte Memory-Funktion einschaltet, dann merken sich die Browser das vergangene Nutzungsverhalten und man tauscht sich mit dem Browser aus wie mit ­einem Kollegen: „Guck mal, was da steht, ­würde das nicht in meinen Newsletter passen? Habe ich da nicht vergangene Woche etwas ­dazu gelesen? Bitte suche mir die Website aus meinem Browserverlauf.“

Die wirkliche Revolution dürfte die Agentenfunktion sein. Der KI-Assistent im Browser agiert dann autonom, füllt Bestellformulare aus oder bucht einen Zug, wenn man ihn bittet. In der Theorie verstünden sie Websites besser als gängige KI-Assistenten, weil sie live mit­lesen, weniger halluzinieren und Arbeits­abläufe effizienter gestalteten, sagt Polomski.

Mehr zum Thema

---

KI-Agenten

Dein erster KI-Agent: So gelingt der Einstieg

---

KI-Agenten Praxisbeispiele

Besser als ein Mensch? Was KI-Agenten heute schon können

---

Was die Browser nicht können

Doch die Agentenfunktion hat sich schnell als Rohrkrepierer herausgestellt. Polomski war anfangs noch begeistert, welche Möglichkeiten die Browser bieten, zeigt sich einige Monate nach ­deren  Veröffentlichung aber ernüchtert. „In der Praxis gehen die Agenten nicht besonders intelligent vor, sind fehleranfällig und brauchen zu ­lange“, sagt er.

Google arbeite gerade an einem neuen Webstandard mit der Bezeichnung Web­MCP. Ein Protokoll, das es Agenten erleichtern soll, Websites zu verstehen. Darin sieht Polomski eine Chance, wie Agenten wirklich alltagstauglich würden. Bislang befinde sich das aber noch in einer Testphase. Ein Zeitpunkt, wann der Standard ausgerollt wird, lasse sich noch nicht ab­sehen. Generell sei der Hype um die KI-Browser wieder schnell abgeebbt, sagt Polomski.

Massive Sicherheitslücken

Das mag auch damit zu tun haben, dass man ihr ganzes Potenzial nicht ausschöpfen kann, ohne sich massiven Sicherheits- und Datenschutz­risiken auszusetzen. Die Gedächtnisfunktion der Browser sammelt jede Menge persönlicher Informationen. Und was die Agentenfunktion angeht: „Man muss den Browsern tiefgreifende Systemrechte geben, damit man sie richtig ­nutzen kann“, sagt der Cybersecurity-Experte Mirko Ross von der Asvin GmbH in Stuttgart. Denn KI-Agenten nutzten sensible Schnitt­stellen zu Kalendern, Mail-Programmen oder Zahlungsdiensten. Gibt man ihnen darauf ­Zugriff, ist das Einfallstor für Angriffe offen.

Ross warnt vor Prompt-Injection-Attacken. Das sind versteckte Anweisungen auf Websites, die den Agenten dazu bringen, sich gegen seinen Nutzer zu richten und zum Beispiel sensible Daten aus dem Posteingang zu stehlen. Ein ­Risiko, das generell LLMs betreffe, das jedoch bei KI-Agenten am größten sei, weil sie über so weit­reichende Rechte verfügen würden, so Ross. ­Direkt nach dem Start des Atlas-Browser haben OpenAI-Konkurrenten solche Prompt-Injection-­Angriffe durchgeführt, um die Sicherheitsmängel des Programms zu demonstrieren. Die gefährlichen Features der Browser lassen sich laut Ross zwar leicht ausschalten, „aber dann hast du keinerlei Vorteile mehr gegenüber herkömm­lichen Browsern wie Firefox oder Chrome“.

Der Cybersecurity-Experte rät Unternehmen dringend davon ab, KI-Browser zu verwenden. Wer KI-Unterstützung beim Browsen suche, könne auf ein Plugin für herkömmliche Browser zurückgreifen, sagt er.

Was Tech-Firmen mit den Browsern vorhaben

„Der Brower ist das Programm, das die meisten vertrauenswürdigen Daten verarbeitet. Das ist vielen nicht bewusst“, sagt Ross. Man nutzt ihn für Online-Banking, um seine Mails zu checken oder man teilt darüber private Vorlieben auf Social Media. An diesem Datenschatz seien die KI-Firmen interessiert, sagt Ross, deshalb drängten sie nun auf den Browsermarkt und griffen Branchenriesen an. Vergangenen ­August machte Perplexity dem Konkurrenten Google ein Angebot: Für 34,5 Milliarden Euro wollte das KI-Unternehmen den Google-Browser Chrome kaufen. So viel wäre es Perplexity wert gewesen.

Im Oktober veröffentlichte der Konzern dann den eigenen Browser Comet. Dass er es auf die Daten der Nutzerinnen und Nutzer absieht, daraus macht er keinen Hehl. „Das ist sozusagen einer der Gründe, warum wir einen Browser bauen wollten: Wir wollen Daten auch außerhalb der App erhalten, um dich besser zu verstehen“, sagte Aravind Srinivas, CEO von Perplexity AI, vor der Veröffentlichung.

Die Experten:

Jens Polomski hat snipKI gegründet. Die Plattform unterstützt Unternehmen bei der Umsetzung von KI-Projekten und schult Mitarbeiterinnen und Mitarbeiter bei der KI-Nutzung.

Mirko Ross war früher Hacker und berät heute Unternehmen, Ämter und politische Institutionen in Sachen Cybersecurity. Er hat die Beratungsfirma asvin gegründet.