Eine USENIX-Studie von Forschern des University College London, der Mediterranea University of Reggio Calabria und der University of California, Davis, gefunden dass beliebte KI-Browsererweiterungen während simulierter realer Surfszenarien vertrauliche Benutzerdaten sammeln, darunter Krankenakten, Bankinformationen, Sozialversicherungsnummern und Social-Media-Aktivitäten. Im Jahr 2025 kamen KI-gestützte Webbrowser auf den Markt, die Funktionen wie Website-Zusammenfassungen, verfeinerte Suchen, Chatbots und autonome Aufgabenausführung bieten. Diese Browser stellen etablierte Optionen wie Google Chrome, Apple Safari, Microsoft Edge und Mozilla Firefox in Frage. Mit dem Atlas von OpenAI können Benutzer beispielsweise direkt in der Browsing-Oberfläche Suchen durchführen oder mit ChatGPT interagieren. Google Chrome verfügt über etwa 70 Prozent der weltweiten Nutzerbasis. KI-Browser wie Comet, Opera Neon, Dai und ChatGPT von Perplexity zielen darauf ab, Benutzer durch erweiterte Funktionen anzulocken. Ältere Browser wie Firefox integrieren KI-Elemente, um ihre Marktpräsenz auszubauen. McKinsey & Company prognostiziert, dass die Browserbranche bis 2028 einen Umsatz von 750 Milliarden US-Dollar erwirtschaften wird. KI-Browser erfüllen Funktionen, die über den Internetzugang hinausgehen, wie das Ausfüllen von Formularen, das Tätigen von Amazon-Käufen oder das Überarbeiten von Aufsätzen. Sie arbeiten über einen stets verfügbaren Chatbot, der Website-Inhalte untersucht, und über Agentenmodi, die komplexe Aufgaben erledigen. Diese Prozesse erfordern eine Analyse geöffneter Webseiten und die Integration mit früheren Anfragen, Suchverläufen und Interaktionen. Die meisten KI-Browser funktionieren autonom, ohne explizite Benutzeranweisungen oder Zustimmung. Browsererweiterungen dienen als Schnittstellen für generative KI-Modelle, darunter ChatGPT von OpenAI, Gemini von Google und Llama von Meta. Erweiterungen greifen auf die Anwendungsprogrammierschnittstelle des großen Sprachmodells im Backend des Browsers zu, um personalisierte Erlebnisse bereitzustellen. Für den autonomen Betrieb fügen sie Inhaltsskripte in Webseiten ein, die von Hintergrunddienstmitarbeitern verarbeitet werden. Dieses Setup unterscheidet KI-Browser von Standard-Chatbots, die nur vom Benutzer eingegebene Daten verarbeiten. KI-Browser extrahieren automatisch Informationen von besuchten Websites. Die USENIX-Studie vom August 2025 konzentrierte sich ausschließlich auf Browsererweiterungen und nicht auf vollständige KI-Browser, da führende Produkte wie Atlas von OpenAI und Comet von Perplexity erst später auf den Markt kamen. Die zugrunde liegenden Datenanforderungen bleiben für beide Typen identisch. Die auf dem USENIX-Sicherheitssymposium 2025 vorgestellte Studie untersuchte Erweiterungen wie ChatGPT für Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind und Microsofts Copilot. Die Forscher replizierten das alltägliche Surfen in privaten und öffentlichen Kontexten, einschließlich des Lesens von Nachrichten, des Ansehens von YouTube, des Zugriffs auf Pornografie und des Ausfüllens von Steuerformularen. Datenschutztests umfassten spezifische Aufforderungen zur Identifizierung der gesammelten Daten. Die Erweiterungen erfassten Bilder und Textinhalte, darunter medizinische Diagnosen, Sozialversicherungsnummern und Dating-App-Einstellungen. Merlin übermittelte Bankdaten und Gesundheitsakten an externe Ziele. Merlin und Sider AI erfassten Aktivitäten auch im privaten Browsermodus. Die Analyse der Datenverkehrsentschlüsselung ergab, dass mehrere Assistenten Webseiteninhalte an ihre Server und Drittanbieter-Tracker weiterleiteten. Sider und TinaMind übermittelten Benutzeraufforderungen und identifizierende Details wie IP-Adressen an Google Analytics und erleichterten so die standortübergreifende Benutzerverfolgung. Der Copilot von Microsoft speicherte den Chatverlauf früherer Sitzungen im Hintergrund des Browsers und blieb über alle Nutzungen hinweg erhalten. Google, Copilot, Monica, ChatGPT und Sider analysierten die Benutzeraktivität, um Profile basierend auf Alter, Geschlecht, Einkommen und Interessen zu erstellen und diese für personalisierte Antworten über mehrere Sitzungen hinweg anzuwenden. Unter den getesteten Assistenten zeigte Perplexity die stärksten Datenschutzmaßnahmen. Es fehlte die Möglichkeit, frühere Interaktionen abzurufen, und seine Server vermieden den Zugriff auf persönliche Daten in privaten Browserbereichen. Perplexity verarbeitete weiterhin Seitentitel und Benutzerstandortinformationen. Der Übergang von Erweiterungen zu eigenständigen Browsern macht die anhaltenden Datenschutzprobleme deutlich. Atlas von OpenAI und Comet von Perplexity, die führenden KI-Browser, weisen Datenerfassungspraktiken auf. OpenAI gibt an, dass Atlas Inhalte selektiv analysiert, diese Selektivität schließt jedoch Datenschutzbedenken aus. Der Chatbot verarbeitet alle Bilder und Texte der Website. Die Hauptfunktionen von Atlas basieren auf optionalen Speicherfunktionen, die Darstellungen des Browserverlaufs speichern, um Benutzerinteraktionen anzupassen. Benutzer können nicht festlegen, welche Website-Elemente der Browser abruft. Auf der Hilfeseite von OpenAI werden Abhilfemaßnahmen beschrieben: Entfernen von Seiten aus der Chat-Oberfläche, Blockieren sensibler URLs für den Chatbot-Zugriff und Löschen des Browserverlaufs. Comet von Perplexity verwaltet den Suchverlauf auf den lokalen Geräten der Benutzer und nicht auf Unternehmensservern. Es greift auf URLs, Text, Bilder, Suchanfragen, Download-Verlauf und Cookies zu, um Kernvorgänge zu unterstützen. Der Agentenmodus und das persönliche Memory-Suchtool von Comet nutzen den Suchverlauf und die Präferenzen für die Aufgabenerledigung. Der Browser fordert Berechtigungen für Google-Konten an, einschließlich E-Mails, Kontakte, Einstellungen und Kalender. Es unterstützt Opt-in-Integrationen mit Drittanbietern. Sicherheitsexperten empfehlen, die Chatbot-Seitenleiste auf nicht sensible Webseiten zu beschränken. Perplexity bietet auf seiner Website eine detaillierte Erklärung der Dateneinstellungen. Sobald Benutzerdaten auf Servern von AI-Unternehmen gespeichert sind, unterliegen sie der individuellen Kontrolle. Anbieter nutzen diese Daten häufig ohne ausdrückliche Zustimmung, um große Sprachmodelle zu trainieren. Ähnliche Praktiken kommen in sozialen Medien, im E-Commerce, in Suchmaschinen und auf Messaging-Plattformen durch undurchsichtige Vereinbarungen und Standard-Opt-Ins vor. Browser greifen auf besonders sensible Informationen zu. OpenAI hat im ersten Halbjahr 2025 105 Datenanfragen der US-Regierung erfüllt. Atlas bietet zwei Datennutzungsoptionen. Die Standardeinstellung „Modell für alle verbessern“ ermöglicht es OpenAI, bei Chatbot-Anfragen Webseiteninformationen in das ChatGPT-Training zu integrieren. „Webbrowsing einbeziehen“ integriert den vollständigen Browserverlauf in Trainingsdatensätze. OpenAI anonymisiert Daten vor der Modellnutzung, allerdings bleiben die Einzelheiten zu den Anonymisierungsgrenzen begrenzt. Benutzer können beide Einstellungen deaktivieren. KI-Browser weisen aufgrund ihres Betriebsdesigns erhebliche Sicherheitslücken auf. Durch Prompt-Injection-Angriffe können Hacker bösartige Anweisungen in Backend-Systeme einschleusen. KI-Browser haben Schwierigkeiten, diese von legitimen Eingaben zu unterscheiden, und riskieren dabei die Extraktion von Anmeldeinformationen, Bankdaten und persönlichen Daten. Die vom Datenschutzforschungsteam von Brave im Oktober 2025 durchgeführte Studie ergab, dass sofortige Injektionen eine systemische Herausforderung für KI-Browser darstellen und das Phishing-Risiko erhöhen. LayerX Security berichtete, dass Benutzer von Perplexity Comet im Vergleich zu Google Chrome-Benutzern einer um 85 Prozent höheren Anfälligkeit für solche Angriffe ausgesetzt sind. Dane Stuckey, Chief Information Officer von OpenAI, erklärte auf X, dass die sofortige Injektion „ein bahnbrechendes, ungelöstes Sicherheitsproblem bleibt“. Der Blogbeitrag von Perplexity forderte KI-Unternehmen dazu auf, „die Sicherheit von Grund auf neu zu überdenken“.
