Agentic Browsing

Wenn KI plötzlich handelt und warum Prompt Injections jetzt ein echtes Problem werden

Schon seit fast zwei Jahren – also so lange, wie der generative-AI-Boom selbst – gibt es Warnungen vor Angriffen auf KI-Systeme. Am prominentesten: Prompt Injections, aber auch andere Manipulationsformen.

Parallel dazu haben wir eine differenzierte Sicht auf die Fehlleistungen von LLMs entwickelt: Wir wissen heute, dass sie halluzinieren, kein echtes Grounding besitzen und nicht verstehen, was die Ziele eines Unternehmens sind.

Das alles hat es Unternehmen schwer gemacht, KI-Anwendungen wirklich produktiv an den Start zu bringen. Bis heute gibt es kaum Unternehmensanwendungen, die Prozesse vollständig automatisieren oder direkt mit Kunden interagieren.

Für Nutzer war das bisher harmlos

Die meisten von uns haben diese Schwächen der LLMs bislang eher als lästig/lustig erlebt. Kein Wunder:

  • Wenn wir uns Vorschläge machen lassen, ist ein Fehler kein Drama – wir wählen einfach den besten aus und korrigieren ein bisschen nach.
  • Wenn wir privat AI-Tools nutzen, also nur wir und der LLM-Anbieter beteiligt sind, gibt es kaum Angriffsfläche und wenig Potenzial für Hacker.
  • Und solange wir selbst die Kontrolle behalten, der Chatbot also nie in unserem Auftrag handelt, spielt Manipulation keine große Rolle.


Das alles hat uns in Sicherheit gewiegt. Wir denken: „So schlimm kann das doch gar nicht sein. Diese Prompt Injections sind eher theoretische Probleme.“

Falsch gedacht.

Der Grund, warum es bislang glimpflich ausging, ist simpel:
Die KI war immer unser Gesprächspartner, nie unser Vertreter. Und wir haben die KI nie wirklich handeln lassen. Wir waren immer die letzte Kontrollinstanz – wir haben korrigiert, geprüft, abgesichert.

Das ändert sich jetzt.

Mit Agentic Browsing wird es ernst

Sobald KI-Systeme anfangen, eigenständig zu handeln, verändern sich die Risiken dramatisch.

Wenn ein AI-Browser plötzlich 100 Bohrmaschinen bestellt, weil er kein Handlungswissen hat und nicht versteht, dass das eine absurde Bestellmenge für eine Privatperson ist, dann ist das keine witzige Anekdote mehr, die wir in auf X posten – dann stehen auf einmal die Pakete vor der Tür.

Hier sind Prompt Injections keine akademischen Spielereien mehr. Hier geht es um unsere Kreditkarteninformationen, Accounts, E-Mail-Kontakte – und darum, wie schnell sie in den Händen von Hackern landen können.

Was das bedeutet

Es wird Incidents geben, viele davon.

Das gigantische soziale Experiment, an dem wir alle gerade teilnehmen, geht in die nächste Phase. Eine Phase, die die wirklichen Herausforderungen auf den Tisch bringt. In der es nicht um AGI geht, sondern vielleicht darum, ob wir unserem AI-Browser ein Taschengeld von 10$ oder von 20$ geben, das er ausgeben kann ohne bei uns nachzufragen.

Picture of Klaus Reichenberger

Klaus Reichenberger

Klaus Reichenberger is responsible for business development at LINK2AI and is convinced that successful AI must be trustworthy.
Verschlagwortet , , ,