Nur wenige Tage nach der Einführung seines ehrgeizigen ChatGPT-Atlas-Browsers kämpft OpenAI öffentlich mit einer grundlegenden Sicherheitslücke, von der Experten warnen, dass sie sich auf die gesamte Kategorie KI-gestützter Web-Tools auswirken könnte.
In einer ausführlichen öffentlichen Erklärung räumte der oberste Sicherheitsmanager des Unternehmens ein, dass die „prompte Injektion“ weiterhin ein ungelöstes Problem sei, selbst als Forscher damit begannen, Live-Angriffe gegen den neuen Browser zu demonstrieren.
Nach der Einführung des Browsers am Dienstag wandte sich Dane Stuckey, Chief Information Security Officer von OpenAI, am Mittwoch an Injektion, bei der auf Websites versteckte bösartige Anweisungen den KI-Agenten des Browsers dazu verleiten können, unbeabsichtigte und potenziell schädliche Aktionen auszuführen.
Stuckey erkannte die Sicherheitslücke an und erklärte, dass das langfristige Ziel des Unternehmens darin bestehe, den Agenten genauso vertrauenswürdig zu machen wie einen sicherheitsbewussten Kollegen.
Er räumte jedoch ein, dass die Technologie noch nicht so weit ist. „… die schnelle Injektion bleibt ein bahnbrechendes, ungelöstes Sicherheitsproblem, und unsere Gegner werden viel Zeit und Ressourcen aufwenden, um Wege zu finden, ChatGPT-Agenten auf diese Angriffe hereinzufallen.“
Dieses Eingeständnis wurde von vielen in der Sicherheitsgemeinschaft als offene und notwendige Anerkennung der Risiken angesehen, die mit der neuen Welle der Agenten-KI verbunden sind.
Ein „ungelöstes Sicherheitsproblem“
Die sofortige Injektion ist kein neues oder isoliertes Problem. Winbuzzer hat bereits über ähnliche Schwachstellen berichtet, wie zum Beispiel den Fehler bei der indirekten Prompt-Injection, der Anfang des Jahres im Comet-Browser von Perplexity entdeckt wurde.
Ein Bericht des Sicherheitsteams von Brave beschrieb den Fehler als eine systemische Herausforderung, mit der alle KI-gestützten Browser konfrontiert sind. „…indirekte Prompt-Injection ist kein isoliertes Problem, sondern eine systemische Herausforderung, der sich die gesamte Kategorie der KI-gestützten Browser gegenübersieht.“ Die Hauptgefahr besteht darin, dass ein KI-Agent nicht in der Lage ist, zwischen den Anweisungen eines Benutzers und böswilligen Befehlen zu unterscheiden, die in den von ihm verarbeiteten Inhalten eingebettet sind.
Dies kann die KI in einen „verwirrten Stellvertreter“ verwandeln, ein klassisches Cybersicherheitsdilemma, bei dem ein Programm mit Autorität dazu verleitet wird, es zu missbrauchen.
Zum Beispiel demonstrierte ein Forscher nur wenige Stunden nach dem Start von Atlas eine neuartige „Clipboard-Injection“ Angriff, bei dem versteckter Code auf einer Webseite böswillig die Zwischenablage eines Benutzers ändern konnte, wenn der KI-Agent auf eine Schaltfläche klickte, und so einen Benutzer dazu veranlasste, später ohne sein Wissen einen böswilligen Befehl einzufügen.
Für Sicherheitsforscher bot der Start des Browsers eine unmittelbare Gelegenheit, seine Abwehrkräfte gegen reale Angriffe zu testen.
Mehrere veröffentlichten schnell Demonstrationen, die zeigten, wie sie Atlas dazu bringen konnten, böswilligen Anweisungen zu folgen eingebettet in Google Docs oder auf Webseiten.
Dies zeigt, wie viel auf dem Spiel steht, was manche den zweiten Browserkrieg nennen, ein Konflikt, der nicht um Funktionen, sondern um Intelligenz und Autonomie geführt wird Konkurrenten wie Comet von Perplexity sind bereits im Einsatz.
Die Verteidigung von OpenAI: „Beobachtungsmodus“ und andere Leitplanken
Während die Transparenz von OpenAI ein willkommener Schritt ist, warnen Experten, dass eine „tiefgreifende Verteidigung“ oft nicht ausreicht, um entschlossene Gegner aufzuhalten.
Stuckey erläuterte mehrere sich überschneidende Sicherheitsmaßnahmen, die in Atlas integriert sind, um diese abzuschwächen Risiken. Einer der Hauptschutzmaßnahmen ist eine Funktion namens „Abmeldemodus“, die es dem Agenten ermöglicht, im Namen eines Benutzers zu surfen und zu handeln, ohne Zugriff auf dessen Anmeldeinformationen für angemeldete Sitzungen zu haben.
Gestern haben wir ChatGPT Atlas, unseren neuen Webbrowser, gestartet. In Atlas kann der ChatGPT-Agent Dinge für Sie erledigen. Wir sind gespannt, wie diese Funktion die Arbeit und den Alltag für die Menschen effizienter und effektiver macht.
Der ChatGPT-Agent ist leistungsstark und hilfreich und wurde entwickelt, um…
– DANΞ (@cryps1s) 22. Oktober 2025
KI-Experte Simon Willison nannte dies ein „sehr intelligentes“ und getestetes Muster für Sandboxing-KI-Interaktionen.
Im leistungsfähigeren „Angemeldeten Modus“ eskalieren jedoch die Risiken. Für Situationen, die einen authentifizierten Zugriff erfordern, hat OpenAI eine weitere Schutzmaßnahme implementiert:
„Wenn der Agent auf sensiblen Websites arbeitet, haben wir außerdem einen ‚Überwachungsmodus‘ implementiert, der Sie benachrichtigt … und erfordert, dass Sie die Registerkarte aktiv haben, um zu beobachten, wie der Agent seine Arbeit erledigt.“
Diese Funktion soll den Benutzer auf dem Laufenden halten, wenn der Agent mit potenziell vertraulichen Informationen interagiert. Allerdings hat das Unternehmen keine klare technische Definition dessen bereitgestellt, was eine „sensible Website“ darstellt.
Willison stellte fest, dass der Modus bei seinen Tests auf Websites wie GitHub oder seiner Online-Bank nicht aktiviert wurde, und kam zu dem Schluss, dass die Delegation von Sicherheitsentscheidungen an Endbenutzer eine „unfaire Belastung“ darstellt.
Sicherheitsgemeinschaft reagiert mit Skepsis und Live-Demos
Die Reaktion der Sicherheitsgemeinschaft war gemischt mit Lob OpenAIs Offenheit und tiefe Skepsis gegenüber den vorgeschlagenen Lösungen.
KI-Sicherheitsforscher Johann Rehberger, der zahlreiche Prompt-Injection-Angriffe dokumentiert hat, erklärte das Die Bedrohung ist allgegenwärtig.
„Auf hohem Niveau bleibt Prompt-Injection eine der größten aufkommenden Bedrohungen in der KI-Sicherheit … Die Bedrohung verfügt nicht über eine perfekte Abschwächung – ähnlich wie Social-Engineering-Angriffe gegen Menschen.“
Willison wiederholte diese Ansicht und argumentierte, dass Leitplanken gegen motivierte Angreifer oft nicht ausreichen. I
Er warnt davor, dass „nahezu perfekt“ bei der Anwendungssicherheit nicht gut genug ist.
„Wie ich bereits geschrieben habe, sind 99 % bei der Anwendungssicherheit eine schlechte Note. Wenn es einen Weg gibt, die Leitplanken zu überwinden … wird ein motivierter gegnerischer Angreifer das herausfinden.“
Die Einführung von Atlas hatte bereits spürbare Auswirkungen auf den Markt und verdeutlicht, wie hoch der Einsatz bei der Erneuerung ist Browserkriege. Nach der Ankündigung fiel die Alphabet-Aktie zunächst um 3 %, was einem Marktwertverlust von rund 18 Milliarden US-Dollar entspricht, bevor sie sich wieder erholte.
Analysten wie Gene Munster von Deepwater Asset Management argumentierten jedoch, dass Atlas kein „10-mal besseres“ Erlebnis sei und dass Google seine Funktionen leicht kopieren könne, was es für den neuen Browser schwierig mache, nennenswerte Marktanteile zu gewinnen.
Letztendlich befindet sich OpenAI in einer schwierigen Situation schwieriger Zweifrontenkrieg. Einerseits muss es ein Produkt bieten, das so überzeugend ist, dass es den Würgegriff von Google über die Benutzergewohnheiten durchbrechen kann.
Andererseits muss es Vorreiter bei der Sicherheit eines neuen Computerparadigmas sein, das mit beispiellosen Risiken behaftet ist. Während das Unternehmen daran arbeitet, das Vertrauen der Benutzer aufzubauen, wird die breitere Sicherheitsgemeinschaft jeden Schritt beobachten und testen.
