{"id":318206,"date":"2025-11-16T00:03:19","date_gmt":"2025-11-15T23:03:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318206"},"modified":"2025-11-15T01:08:19","modified_gmt":"2025-11-15T00:08:19","slug":"chatgpt-atlas-browser-der-erste-schritt-zum-ki-betriebssystem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/11\/16\/chatgpt-atlas-browser-der-erste-schritt-zum-ki-betriebssystem\/","title":{"rendered":"ChatGPT: Atlas-Browser, der erste Schritt zum KI-Betriebssystem"},"content":{"rendered":"

\"Copilot\"Der ChatGPT Atlas-Browser von OpenAI steht als eine Art Prototyp daf\u00fcr, wie wir alle Computer in Zukunft nutzen sollen. Betriebssysteme werden in Zukunft mit KI laufen. Aber wie steht es mit der Sicherheit dieses ganzen Ansatzes?<\/p>\n

<\/p>\n

\"\"Innerhalb weniger Jahre werden Betriebssysteme mit KI betrieben werden, bei denen Benutzer \u00fcber Eingabeaufforderungen interagieren, anstatt auf Anwendungen zu klicken. Das ist zumindest die Zukunftsvision mancher AI-Protagonisten. Die Nutzer sollen beschreiben, was sie m\u00f6chten. Die KI soll dann f\u00fcr die Anwender alles in ihrem System, ihren Apps und im Internet koordiniert. Das ist die logische Weiterentwicklung des Computings, hei\u00dft es.<\/p>\n

K\u00fcrzlich hat OpenAI seinen AI-Browser ChatGPT Atlas vorgestellt. heise hatte den Browser bereits im Artikel\u00a0Eine Woche Atlas-Browser: Ich bin jetzt d\u00fcmmer<\/a> verrissen. Sicherheitsexperte Oded Vanunu von Check Point Research hat in diesem Blog-Beitrag<\/a> einen Blick auf die Entwicklung geworfen und meint, dass der OpenAI-Browser Atlas die oben beschriebene Vision des KI-Betriebssystems bereits heute demonstriert. Die steht im Mittelpunkt der \"Computererfahrung des Benutzers\". Die KI soll den Kontext des gesamten digitalen Lebens versteht und im Namen der Anwender handeln, so das Zukunfts-Szenario.<\/p>\n

Der Sicherheitsspezialist schreibt aber auch, dass sich in den n\u00e4chsten Jahren zeigen wird, ob diese Transformation im Rahmen von Security-Parametern vonstattengeht.<\/p>\n

Sicherheit als Herausforderung<\/h2>\n

Cybersicherheit basiert grundlegend auf Vertrauen und Grenzen. Beim traditionellen Computing gibt es klare Grenzen: Apps laufen isoliert, Websites k\u00f6nnen nicht auf die Daten anderer zugreifen, Benutzer genehmigen jede Aktion.<\/p>\n

Beim KI-nativen Computing l\u00f6sen sich diese Grenzen und das Vertrauen auf, da die AI alles wissen und k\u00f6nnen soll. Das wirft nat\u00fcrlich gravierende Sicherheitsbedenken auf. Denn\u00a0Browser geh\u00f6ren bereits jetzt (auch ohne KI) zu den am h\u00e4ufigsten ausgenutzten Angriffsfl\u00e4chen in der Computerwelt. Sie sind das Tor zu authentifizierten Sitzungen und sensiblen Daten.<\/p>\n

Kommt nun noch KI hinzu, die mit den vollen Berechtigungen des Anwenders \u00fcber alle angemeldeten Sitzungen hinweg arbeitet \u2013 Banking, E-Mail, Gesundheitswesen, Unternehmenssysteme \u2013, erweitert sich die Angriffsfl\u00e4che dramatisch. Von der Frage der Vertraulichkeit der Daten, die im KI-Zeitalter verloren geht, ganz zu schweigen.<\/p>\n

Der neue Angriffsvektor: unsichtbare Befehle<\/h2>\n

KI-Browser f\u00fchren eine gef\u00e4hrliche Schwachstelle ein: indirekte \"Prompt Injection\". In Webseiteninhalten versteckte b\u00f6sartige Anweisungen k\u00f6nnen den KI-Assistenten dazu bringen, unbefugte Aktionen auszuf\u00fchren. Angreifer betten Befehle in fast unsichtbaren Text ein, den Menschen nicht sehen k\u00f6nnen, KI jedoch perfekt lesen kann.<\/p>\n

Wenn ein KI-Browser eine Webseite verarbeitet, kann er legitimen Anweisungen nicht von b\u00f6sartigen Befehlen unterscheiden, die sich im Inhalt oder Kontext versteckt halten. Traditionelle Sicherheitsgrenzen wie die Same-Origin-Policy werden unwirksam, wenn KI-Agenten mit ihren vollen Berechtigungen agieren. Die KI folgt versteckten Befehlen, als k\u00e4men sie vom Anwender, da sie den gesamten Text als potenziell ausf\u00fchrbar behandelt.<\/p>\n

Demonstrationen haben gezeigt, wie eine einzige b\u00f6sartige URL E-Mails, Kalenderdaten und Anmeldedaten exfiltrieren kann, da der KI-Assistent Zugriff auf alles hat, was die Anwender tun. Ich hatte k\u00fcrzlich im Blog-Beitrag\u00a0AI-Sicherheit: Fast alle LLMs leaken private API-Keys auf Github; ChatGPT hat Schwachstellen<\/a> bereits auf das Problem hingewiesen. Die LLMs leaken pers\u00f6nliche und vertrauliche Daten, die beim \"Beobachten der Nutzerinteraktionen\" in den Zugriff der AI geraten – obwohl Sicherheitsregeln genau dies verhindern sollen. Im Beitrag werden mit\u00a0HackedGPT gleich sieben kritische ChatGPT Sicherheitsl\u00fccken beschrieben.<\/p>\n

Die Herausforderung f\u00fcr den Datenschutz<\/h2>\n

In seinem Beitrag geht der Sicherheitsforscher auch auf das Thema Datenschutz ein. KI-Browser ben\u00f6tigen einen beispiellosen Datenzugriff, um effektiv zu funktionieren. Je mehr Kontextinformationen \u00fcber einen Browserverlauf, Dokumente, Kommunikation und Verhalten vorliegen, desto n\u00fctzlicher werden sie. Dies f\u00fchrt jedoch zu einem grundlegenden Konflikt: Jede besuchte Webseite, jedes ausgef\u00fcllte Formular, jede authentifizierte Sitzung wird zu Trainingsdaten f\u00fcr die KI, um den Anwender besser zu verstehen.<\/p>\n

Sensible Informationen, Finanzdaten, medizinische Unterlagen und gesch\u00fctzte Gesch\u00e4ftskommunikation flie\u00dfen durch diese Systeme. Die KI muss alles verarbeiten, um intelligente Unterst\u00fctzung zu bieten, wodurch eine umfassende \u00dcberwachungsinfrastruktur entsteht, auch wenn dies unbeabsichtigt ist.<\/p>\n

Das Zeitalter des KI-nativen Computings hat begonnen. Der Wandel von anwendungsbasierten zu KI-nativen Schnittstellen ist unvermeidlich \u2013 die wirtschaftlichen Vorteile und die Vorteile f\u00fcr die Benutzererfahrung sind \u00fcberzeugend genug, meint der Check Point-Mann. Die Frage sei aber, ob wir alle angemessene Sicherheitsvorkehrungen treffen k\u00f6nnen, bevor die weit verbreitete Einf\u00fchrung systemische Schwachstellen schafft. Hier bin ich pers\u00f6nlich \u00e4u\u00dferst skeptisch, denn das Rattenrennen ist l\u00e4ngt in vollem Gang und es gilt der abgewandelte FDP-Slogan \"AI first, bedenken second\".<\/p>\n

Absicherung nach Security-by-Design n\u00f6tig<\/h2>\n

Der Check Point-Spezialist h\u00e4ngt einem feuchten Traum nach und meint \"Die Security-Branche muss Security-by-Design-Prinzipien etablieren: architektonische Isolierung zwischen Benutzerbefehlen und nicht vertrauensw\u00fcrdigen Webinhalten, explizite Best\u00e4tigung durch den Benutzer f\u00fcr sicherheitssensible Aktionen und granulare Berechtigungskontrollen f\u00fcr KI-Funktionen.\" Also \u00fcbersetzt: \"Die AI-Protagonisten kippen der Anwenderschaft unfertige Produkte vor die F\u00fc\u00dfe, die per se unsicher und sicherheitstechnisch l\u00f6chrig wie ein Schweizer K\u00e4se sind. Und um das zu heilen, muss man nur ganz viel Schlangen\u00f6l dazu geben. Dann sie es wenigstens auf dem Papier heile aus.\"<\/p>\n

Sicherheitsexperte Oded Vanunu von Check Point Research glaubt, dass Unternehmen KI-Browser als risikoreiche Technologien behandeln sollten, was durchaus zutrifft. Er glaubt, dass eine verst\u00e4rkte \u00dcberwachung, klare Richtlinien f\u00fcr die akzeptable Nutzung und Einschr\u00e4nkungen beim Zugriff auf sensible Daten erforderlich seien, bis die Sicherheitspraktiken ausgereift sind. Optimisten werden das bejubeln, eine tolle KI-Sicherheitsl\u00f6sung oben drauf packen und dem Anwender mitteilen, wann er den KI-Browser oder das KI-Betriebssystem nutzen dar. Was kann schon schief gehen …?<\/p>\n

Die Forderung: \"Staatliche Institutionen und Beh\u00f6rden ben\u00f6tigen Rahmenwerke, die speziell auf die Risiken des KI-nativen Computings zugeschnitten sind und sich mit der Transparenz der Datenverarbeitung, der Offenlegung von Sicherheitsvorf\u00e4llen und der Haftung befassen, wenn KI-Systeme autonom agieren.\" ist zwar nicht falsch. Aus meiner aktuellen Sicht halte ich aber den Glauben, dass das den gesamten AI-Ansatz einhegt, f\u00fcr naiv. Es soll eine Technik eingehegt werden, die per se ein Sicherheits-GAU ist. Das kann kaum klappen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der ChatGPT Atlas-Browser von OpenAI steht als eine Art Prototyp daf\u00fcr, wie wir alle Computer in Zukunft nutzen sollen. Betriebssysteme werden in Zukunft mit KI laufen. Aber wie steht es mit der Sicherheit dieses ganzen Ansatzes?<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,426],"tags":[8382,4328],"class_list":["post-318206","post","type-post","status-publish","format-standard","hentry","category-ai","category-sicherheit","tag-ai","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318206"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318206\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}