Ein Woche ChatGPT Atlas: Der Browser, der vieles besser machen will, macht am Ende das meiste schlechter als ein normaler Browser mit geöffnetem ChatGPT.com. c’t 3003 ist erschüttert.

Transkript des Videos

(Hinweis: Dieses Transkript ist für Menschen gedacht, die das Video oben nicht schauen können oder wollen. Der Text gibt nicht alle Informationen der Bildspur wieder.)

Guckt mal hier, das ist ChatGPT Atlas, der erste Browser von OpenAI. OpenAI sagt, wir haben den Browser völlig neu erfunden. Nach einer Woche Atlas-Benutzung sage ich: ChatGPT Atlas ist nicht nur komplett unnütz, sondern auch gefährlich, also wirklich gefährlich. Und langsam ist er auch noch. Ich würde so weit gehen und sagen, ChatGPT Atlas ist ein Anti-Web-Browser, der das Netz schlechter macht. Bleibt dran.

Liebe Hackerinnen, liebe Internet-Surfer, herzlich willkommen hier bei…

Ja, so sieht er aus, der ChatGPT-Atlas-Browser. Ist echt clean und minimalistisch, das muss ich zugeben. Definitiv cleaner als Perplexity Comet, der andere KI-Browser, über den gerade viele Leute reden. Und offenbar stecken wir mitten in so etwas wie einem KI-Browser-Krieg. Also die großen Unternehmen, die scheinen doll darum zu kämpfen, Leute auf ihre Browser zu kriegen. Perplexity zahlt zurzeit acht Euro. Leute, acht Euro, wenn man jemanden findet, der oder die einfach nur Comet installiert und sich darin einloggt. Acht Euro! Acht Euro für einen User.

Ja, und natürlich sind auch Google und Microsoft intensivst dabei, ihre KI-Systeme hart mit ihren Browsern Chrome und Edge zu verdrahten und der Kundschaft das aufzudrücken. Aber dazu hatten wir schon ein Video. Hier soll es um ChatGPT Atlas gehen. Und das ist auch der Browser, der auf jeden Fall ein riesiges Potenzial hat, denn ChatGPT hat ja von allen generativen KI-Systemen mit Abstand den größten Marktanteil von über 80 Prozent. Also ChatGPT gehört für viele Leute, gerade für jüngere Leute, absolut zum Alltag dazu. 57 Prozent der 14- bis 29-Jährigen nutzen regelmäßig KI-Tools, meistens ChatGPT, und ich gehöre auch dazu. Ich benutze in vielen Fällen sehr gerne ChatGPT. Das würde ich vorab gerne einmal deutlich sagen. Nicht, dass ich hier so rüberkomme wie so ein totaler Hater.

Bin ich echt nicht, auch wenn ich einige Sachen durchaus negativ sehe. Aber so negativ wie ChatGPT Atlas habe ich bislang noch kein OpenAI-Produkt gesehen. Atlas ist eine Katastrophe für eure Privatsphäre, für eure Sicherheit, für das ganze Internet. Ich stell euch jetzt mal ganz kurz und sachlich vor, was Atlas kann. Und danach gibt es fünf Gründe, warum Atlas niemand braucht. Ach so, noch wichtig: Atlas gibt es im Moment nur für macOS-Versionen. Für Windows, Android und iOS sind aber angekündigt, eine Linux-Version gibt es nicht.

Also, wenn ihr Atlas startet, dann seht ihr das hier. Und ja, das sieht fast genauso aus wie einfach die ChatGPT-Startseite. Und tatsächlich verhält sich das auch so. Also, wenn ihr hier was eingebt, dann wird das so verarbeitet wie auf chatgpt.com. Allerdings, wenn ihr da zum Beispiel „Heise“ eingebt, dann kriegt ihr nicht nur Infos über Heise, sondern ihr könnt hier oben auch auf die Website draufklicken und dann, ja, seid ihr drauf auf der Website, wie Browser das eben so machen.

Das ChatGPT in Atlas hat zusätzlich auch Zugriff auf eure Browser-History. Ihr könnt also in Atlas sagen: Mach mir mal alle Seiten auf, auf denen ich in den letzten Tagen nach Bauchtaschen gesucht habe. Außerdem könnt ihr einige Einstellungen einfach per Prompt vornehmen, also so etwas wie: Schalte mal in den hellen Modus oder schalte mal in den dunklen Modus. Und ihr habt hier oben eine ChatGPT-Fragen-Schaltfläche und dann könnt ihr ChatGPT auf die Seite loslassen, auf der ihr gerade seid, und da was fragen zu der Seite, also: Fass mir das mal zusammen. Und wenn ihr ein Plus-Abo habt, also für 23 Euro im Monat, dann könnt ihr auch den Agentenmodus einschalten. Dann kann ChatGPT wirklich Sachen machen, also klicken auf der Seite. Und anders als bei dem Agentenmodus auf chatgpt.com arbeitet der Agent in Atlas wirklich in eurem Browser, also auf euren Seiten, in die ihr ja auch eingeloggt seid. Auf chatgpt.com arbeitet der Agent ja immer nur in dieser abgekapselten Sandbox. Das heißt, er hat keinen Zugriff auf euren Browser oder Computer.

Ja, und das war es auch schon. Ihr merkt wahrscheinlich, dass OpenAI nicht wirklich was neu erfunden hat. Bisschen lustig auch, dass die im Ankündigungsvideo gesagt haben, wir wollen unbedingt sichergehen, dass sich Atlas nicht anfühlt wie dein alter Browser mit einem angetackerten Chat-Button. Aber genau so fühlt sich Atlas an. Und die Kommentare unter dem Ankündigungsvideo machen sich auch die ganze Zeit darüber lustig. Sehr schön zum Beispiel: Minute 7:45, Sam Altman fällt auf, dass sein Team einfach einen Chrome mit ChatGPT als Startseite gemacht hat. Ja, und genau das stimmt auch tatsächlich, auch wenn OpenAI sich doll Mühe gibt, das zu verstecken. Atlas ist einfach ein modifiziertes Chromium und Chromium ist ja einfach die Open-Source-Variante von Chrome. Also das kann sich jeder nehmen, modifizieren und als neuen Browser verteilen.

Ja, und da hätten wir direkt Grund Nummer eins, warum Atlas niemand braucht. Er ist total langsam und zwar erst mal vom technischen Fundament her. Wenn man den Speedometer-3.1-Benchmark ausführt, der so konzipiert ist, dass er möglichst die empfundene Geschwindigkeit abbildet, dann kommt daraus: Ja, da ist der echte Chrome fast 50 Prozent schneller als Atlas. Alle Browser, die ich getestet habe, sind schneller als Atlas. Auch der große Perplexity-Konkurrent Comet, der übrigens auch ein Chromium ist, aber auch einfach bei der Reaktionsgeschwindigkeit der ChatGPT-Suche. Also wenn man da was eingibt. Also wenn ich hier jetzt nach c’t 3003 suche, dann dauert das viele, viele Sekunden, bis das zu Ende geladen hat. Wenn ich das in Google eingebe, instantan, also in weniger als einer Sekunde, habe ich das Resultat. Und man weiß ja, wie stark das ganze Netz auf Geschwindigkeit optimiert ist. Also wie viel Arbeit sowohl die Browser-Anbieter als auch die Website-Anbieter in jede gesparte Millisekunde stecken. Und jetzt kommt OpenAI und knallt uns hier so etwas vor den Latz. Joa, ist doch egal, dauert ein bisschen länger. Dafür ist es halt künstliche Intelligenz, Leute. Ist doch okay, dass man da ein bisschen aufwartet.

Ja, und dann kommen wir gleich zu Grund Nummer zwei. Das ist nicht das Internet, das ist ausgedachtes Internet. Wenn man im Internet sucht, da will man ja sehr oft real existierende Internetseiten finden. ChatGPT Atlas versucht – Betonung auf versucht – uns immer nur Antworten statt Websites zu geben. Das macht Google zwar inzwischen auch oft in diesem kleinen Kasten da oben, aber trotzdem bestehen immer noch große Teile der Google-Antwortseite aus echten Website-Links. Bei Atlas gibt es nur diesen mini kleinen Streifen, der echte Website-Suchtreffer anzeigt. Der Rest ist generiert, also selbst ausgedacht. Und in meinem Fall hier ist das absolut nicht das, was ich gesucht habe. Wenn ich c’t 3003 eingebe: Nein, ich meine nicht den „Ram Trailer Coupler“ oder was auch immer ChatGPT denkt, was c’t 3003 ist. Und ja, das ist gefährlich. Also nicht nur für mich als Journalist und meinen Arbeitgeber, der ja auf seiner eigenen Website Werbung verkauft, wo dann die Leute nicht mehr hinkommen, wenn sie ChatGPT Atlas benutzen, sondern das ist auch gefährlich für die Wahrheit, denn KI-Systeme halluzinieren. Das wissen wir ja inzwischen alle.

Grund Nummer drei: Meine Browser-History geht OpenAI nichts an. Guck mal, wenn ich hier eingebe: Sag mir mal alle meine gesundheitlichen Probleme der letzten Zeit. Also, guck in meine Browser-History. Ja, dann kommen da Erektile Dysfunktion, Salmonellenvergiftung und Durchfall. Ja, alles drei nicht wahr. Also wirklich, wirklich nicht wahr. Ich habe einfach extra auf ein paar Seiten geklickt. Und will man das, dass OpenAI diese Daten hat von einem? Also ich finde nicht. Das Ding ist ja auch, gibt ja diese theoretische Kosten-Nutzen-Rechnung: Ich gebe ein bisschen Privatsphäre auf und kriege dafür aber mehr Komfort. Nur der Komfort, also dass ChatGPT meine Browser-History durchforsten kann, der rechtfertigt also für mich absolut nicht den Privatsphäre-Verlust. Denn auch hier in Firefox kann ich ganz easy meine Browser-History aufrufen und die nach Stichworten durchforsten. Und wenn ich zum Beispiel alle Bauchtaschen-Shop-Websites aufmachen will, dann kann ich auch einfach „Bauchtasche“ eingeben und dann alle in Tabs öffnen. Das geht oft sogar schneller, als auf ChatGPT zu warten.

Ach so, übrigens, man kann den Zugriff auf die Browser-History in ChatGPT Atlas abschalten, was ich auf jeden Fall auch empfehlen würde, wenn man denn überhaupt ChatGPT Atlas benutzen muss.

Grund Nummer vier: Der Agent läuft schlechter als in der OpenAI-Sandbox. Ja, das ist wohl das größte Argument für Atlas. Man kann die KI im eigenen Browserfenster arbeiten lassen. Das Ding ist nur, die KI-Agenten stolpern zurzeit noch über Websites wie Grundschüler, die gerade erst lesen gelernt haben und auch die Maus noch nicht richtig bedienen können. Also das ist alles noch sehr wenig hilfreich. Als ich zum Beispiel den Agent darum gebeten habe, auf heise.de alle c’t-3003-Artikel zu suchen und dann eine nach Anzahl der Kommentare sortierte Liste anzulegen, das hat erstmal ewig gedauert und da kam auch eine total unvollständige Liste raus, also hier mit irgendwie 100 Einträgen, obwohl es über 300 c’t-3003-Videos gibt. Aber sogar die Sortierung war falsch. Also ChatGPT kann nicht mal zählen. Da kommt dann erst 19, dann 351 Kommentare, dann 21. Hm? Oder auch sehr schön: Bitte mach mir eine Liste mit allen c’t-3003-Produkten und bestelle alle. Als Mensch sucht man einfach c’t-3003-Produkte, sieht c’t-3003-Merch im Heise-Shop und sieht: Aha, gibt nur ein Produkt, alles klar, kann man bestellen oder auch nicht. ChatGPT dagegen rödelt acht Minuten rum, also acht Minuten, was für mich als Mensch fünf Sekunden dauert.

So, aber das Kurioseste ist, wenn ich den ChatGPT-Agent auf chatgpt.com in meinem normalen Browser benutze, also wo der Agent auf OpenAI-Servern in der Sandbox läuft, ohne Zugriff auf meinen echten Browser, dann dauert das nur halb so lange. Das ist zwar immer noch lahm, aber immerhin schneller und deutlich besser für die Sicherheit.

Das ist nämlich Grund Nummer fünf: Atlas ist unsicher. Es kommen zurzeit jeden Tag irgendwelche neuen Berichte über Sicherheitslücken in ChatGPT Atlas raus. Einige sind komplex, einige sind aber auch trivial, weil nämlich aktuelle KI-Systeme alle das Problem haben, dass sie oft nicht unterscheiden können, was der User-Prompt ist und was von außen kommt, also was aus dem Internet kommt. Das heißt, wenn ihr irgendwo im Netz unterwegs seid und sagt: Fass mir die Seite mal zusammen, und da dann auf der Website irgendwie ein Befehl an ChatGPT versteckt ist, ja, dann kann das sein, dass der Browser alles andere vergisst und nur diesen Befehl ausführt und irgendwelche blöden Sachen macht, die ihr nicht wollt. Das nennt sich Prompt Injection oder Indirect Prompt Injection und ist schon lange ein Problem. Diese Prompts können zum Beispiel auch in Bildern versteckt sein.

Hier mal ein Beispiel, das ich selbst nachvollzogen habe in Perplexity Comet. Da bin ich hier in einem Google Doc, wo ich einen Befehl für das KI-System reingeschrieben habe. So von wegen: „Vergiss alles andere, mach nur das und das.“ Und das hat er gemacht. Hier habe ich auch noch mal eine manipulierte falsche URL ausprobiert. Und das hat auch leider funktioniert. Also Comet ist einfach auf heise.de gegangen. Ich hätte da auch eine beliebige andere URL eingeben können. Und ich habe jetzt in Atlas auf die Schnelle selbst keine Prompt Injection nachvollziehen können, weil OpenAI das immer sehr schnell fixt, sobald wieder neue Lücken veröffentlicht sind. Das ist schön und gut, dass OpenAI das macht, aber es gibt halt ständig neue Lücken. Also da würde ich mich im Moment nicht drauf verlassen. Auch wenn es ziemlich cool ist, dass Atlas wirklich sagt: Aha, ich glaube, du willst mir gerade eine Prompt Injection unterschieben. Das habe ich natürlich gemerkt. Man hat erst mal das Gefühl, funktioniert alles. Aber wie gesagt, es kommen jeden Tag neue.

Das große Problem dahinter ist vor allem: Je mehr Rechte das Sprachmodell hat, also die KI, desto gefährlicher. Wenn ihr chatgpt.com einfach nur in einem Browserfenster verwendet, dann hat ChatGPT eben nur so viel Rechte wie eine Website. Wenn aber ChatGPT den ganzen Browser steuern kann wie bei Atlas, dann ist das deutlich gefährlicher. Also alleine, weil es ja zum Beispiel Zugriff auf meine Browser-History hat, ist also total denkbar, dass über so eine Prompt Injection eine böse Website meine ganze Browser-History abgreift mit meinen ganzen Krankheiten, habe ich euch ja gerade gezeigt.

Ja, und das ist halt das Ding: Wenn Atlas jetzt tolle Sachen für mich machen könnte, dann könnte man ja zumindest darüber diskutieren, dass man bereit ist, ein gewisses Risiko einzugehen dafür, dass man halt mehr Komfort, irgendwelche tollen Sachen bekommt. Aber ich habe wirklich buchstäblich nichts gefunden, was Atlas besser kann als, sagen wir mal, chatgpt.com in einem Firefox. Dafür kriegt man bei Atlas langsamere Geschwindigkeit, Datendiebstahlrisiken und ganz allgemein schlechtere Usability und einen langsameren Agent. Für mich ist die Sache klar: ChatGPT Atlas bringt nur OpenAI was, aber nicht den Usern. Isso. Tschüss.

c’t 3003 ist der YouTube-Channel von c’t. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t Magazin. Die Redakteure Jan-Keno Janssen, Lukas Rumpler, Sahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(jkj)