Indem Browser immer mehr KI-Funktionen und Agenten erhalten, droht eine neue Klasse an Sicherheitsrisiken. Um die integrierten KI-Modelle abzusichern, will Google im Chrome-Browser ein weiteres KI-Modell einführen, das die KI-Aktivitäten kontrolliert.

Nathan Parker vom Chrome Security Team spricht in einem Blog-Beitrag von einer neuen Sicherheitsarchitektur, die insbesondere die Agenten-Fähigkeiten in Chrome absichern soll. Es geht also um Anwendungen, bei denen das KI-System im Browser autonom handelt, indem es etwa eigenständig Webseiten bedient.

IndirektePrompt Injections als Angriffsrisiko

Eine Bedrohung, die praktisch alle KI-Browser betrifft, sind indirekte Prompt Injections. Bei Prompt Injections handelt es sich im Kern um manipulierte Prompt-Eingaben, die Sprachmodelle (LLM) zu unerwünschten Antworten verleiten sollen, die etwa gegen die Vorgaben der KI-Entwickler verstoßen. Eines der klassischen Beispiele ist der Oma-Hack: Zeitweise konnte man die internen Vorgaben von ChatGPT aushebeln, indem man den Chatbot aufforderte, eine Gute-Nacht-Geschichte wie die verstorbene Oma zu erzählen. Auf diese Weise ließ sich ChatGPT dann auch das Rezept von Napalm entlocken, obwohl OpenAI solche Antworten eigentlich untersagt.

Bei den indirekten Prompt Injections befindet sich der manipulierte Prompt nicht direkt in der Eingabe des Nutzers, sondern beispielsweise auf einer Webseite. Wenn ein Nutzer mit einem aktivierten KI-Agenten im Browser dann eine solche Webseite aufsucht, besteht die Gefahr, dass das KI-System ein Einfallstor für eine Cyber-Attacke ist. Angreifer könnten den Agenten etwa dazu verleiten, persönliche Daten über den Nutzer preiszugeben. Denkbar wäre aber – je nach Grad der Autonomie eines Agenten –, dass dieser sogar finanzielle Transaktionen veranlasst.

KI-Entwickler versuchen sich ohnehin, die Systeme gegen Prompt Injections zu wappnen. Google legt nun ein Konzept mit weiteren Sicherheitsebenen vor. Ein zentraler Bestandteil ist die user alignment critic. Aktionen eines Agenten werden dabei von einem separaten Modell kontrolliert, das keinen Kontakt zu Inhalten hat, die als nicht-vertrauenswürdig gelten.

user alignment critic: Das Kontroll-Modell kann ein Veto einlegen

Das Ziel ist eine doppelte Kontrolle. Das zweite Modell kontrolliert jederzeit, ob Aktionen eines Agenten immer mit den Zielen des Nutzers in Einklang stehen. Wenn die Handlungen nicht den Vorgaben entsprechen, legt das Kontroll-Modell ein Veto ein. Um es selbst vor Angriffen zu schützen, ist es so konzipiert, dass es nur Zugang zu Metadaten hat, die die jeweiligen Aktionen beschreiben. Ungefilterte Inhalte bekommt es nicht zugespielt.

Its primary focus is task alignment: determining whether the proposed action serves the user’s stated goal. If the action is misaligned, the Alignment Critic will veto it. This component is architected to see only metadata about the proposed action and not any unfiltered untrustworthy web content, thus ensuring it cannot be poisoned directly from the web.

Anpassungen sind in weiteren Bereichen erforderlichen. Bestehende Techniken wie Site Isolation und same-origin policy können mit Agenten ausgehebelt werden, weil die KI-Systeme quasi per Konzept über mehrere Webseiten hinweg agieren sollen – also beispielsweise in einem Rezept die Zutaten erfassen und diese auf einer Shopping-Seite in den Warenkorb legen. Daher integriert man das Prinzip Agent Origins Set in die Sicherheitsarchitektur. Es soll sicherstellen, dass Agenten nur auf Daten zugreifen, die für die jeweilige Aufgabe erforderlich sind.

Weitere Änderungen an der Sicherheitsarchitektur beschreibt Parker noch im Blog. Transparenz und Nutzerkontrolle sollen etwa wie gehabt eine zentrale Rolle spielen. Selbst wenn die KI-Assistenten autonom handeln, sollen Nutzer nachvollziehen können, was im Browser vor sich geht. Wenn der Agent auf sensible Daten wie Gesundheitsdaten oder beim Online-Banking zugreift, müssen Nutzer zustimmen. Dasselbe gilt generell für Aktionen wie Bankgeschäfte, ohne Zustimmung sollen diese nicht stattfinden.

KI-Browser kommen – und damit auch die Risiken

Auftakt für Googles KI-Browser ist Gemini in Chrome. Derzeit werden die KI-Funktionen für berechtige Windows- und Mac-Nutzer in den USA eingeführt, wenn die Chrome-Sprache auf Englisch eingestellt ist. Weitere Sprachen und Regionen sollen im Laufe der Zeit folgen.

• ChatGPT Atlas: OpenAI bringt eigenen Browser auf den Markt

An AI-Browsern entwickelt ohnehin nicht nur Google. Perplexity hat mit Comet bereits eine entsprechende Variante vorgestellt, die Browser Company entwickelt Dia. Noch mehr Aufmerksamkeit erhielt das Thema, als OpenAI den Atlas-Browser vorstellte. Dieser bietet neben der engen Anbindung an ChatGPT auch einen Agenten-Modus, der eigenständig Aufgaben im Sinne der Nutzer erfüllen soll.

OpenAI bezeichnet Prompt Injections als ungelöstes Problem

Was Google jetzt vorstellt, ist ein konzeptueller Ansatz für die Risiken, vor denen Entwickler und Sicherheitsexperten bei den KI-Browsern seit geraumer Zeit warnen. Selbst OpenAIs Chief Information Security Officer Dane Stuckey räumte kurz nach dem Atlas-Start ein, dass Prompt Injections eines der ungelösten Probleme sind, die noch viel Zeit erfordern.

However, prompt injection remains a frontier, unsolved security problem, and our adversaries will spend significant time and resources to find ways to make ChatGPT agent fall for these attacks.

Dan Stuckey via X

Man hat das Problem also auf dem Schirm, man arbeitet an Lösungen und versucht es einzudämmen. Vom Tisch ist es aber noch nicht. Und wie relevant es ist, zeigt sich voraussichtlich erst, je weiter sich die KI-Browser verbreiten. Entwickler wie Simon Willison äußern sich daher skeptisch bis zurückweisend. Er würde keinem dieser Produkte trauen, solange eine Reihe von IT-Sicherheitsforschern diese nicht sehr gründlich untersucht haben. Aktuell bezeichnet er die Sicherheits- und Privatsphäre-Risiken noch als enorm.

The security and privacy risks involved here still feel insurmountably high to me – I certainly won’t be trusting any of these products until a bunch of security researchers have given them a very thorough beating.

Simon Willison

Googles Nathan Parker verspricht derweil, dass die Sicherheit der KI-Browser ein Prozess ist. Man will die Sicherheitsmechanismen mit Experten weiterentwicklen. Und das Bug-Bounty-Programm wird ebenfalls erweitert. Bis zu 20.000 US-Dollar erhält man, wenn man Schwachstellen in der KI-Absicherung entdeckt.

Ein vertrauter Sender, mit dem viele von Euch groß geworden sind, könnte schon bald Geschichte sein. Die aktuellen Pläne der Rundfunkreform verändern den Medienkonsum grundlegend – und das betrifft auch die jüngsten Zuschauer.

Vielleicht erinnert Ihr Euch noch daran, wie Ihr früher pünktlich vor dem Fernseher saßt, weil die Lieblingsserie nur einmal am Nachmittag lief. Heute dagegen läuft alles auf Abruf – jederzeit, überall, ohne Warten. Dieser Wandel setzt nun einen Sender unter Druck, der einst feste Rituale geprägt hat.

Streaming verändert alles – und Kika gerät ins Wanken

Serien aufnehmen? Mitten im Programm auf Pause drücken? Für viele Kinder von heute klingt das so fremd wie ein Walkman. Ihre Serienwelt liegt im Stream – und der ist rund um die Uhr verfügbar. Genau deshalb droht dem Kinderkanal Kika nach 27 Jahren das Ende des klassischen linearen Fernsehens.

Der Grund dafür ist der neue Reform-Staatsvertrag. Er sieht vor, dass lineare TV-Angebote schrittweise auslaufen und Inhalte künftig ausschließlich online bereitgestellt werden sollen. Empfang über Kabel, Satellit oder Antenne wäre damit Geschichte. Stattdessen landen die Formate in Mediatheken, Apps und auf Streaming-Plattformen.

Was nach einer logischen Modernisierung klingt, bedeutet gleichzeitig das Ende eines vertrauten Fernsehmoments, den viele von Euch aus der eigenen Kindheit kennen: Die feste Uhrzeit, die Spannung, das kurze Fenster – und dann war Schluss für den Tag.

Was die Rundfunkreform wirklich verändert

Der neue Reform-Staatsvertrag – besser bekannt als Rundfunkreform – soll bereits am 1. Dezember 2025 in Kraft treten, sofern alle Bundesländer zustimmen. Ein Großteil hat das schon getan, doch Brandenburg, Nordrhein-Westfalen und Niedersachsen müssen noch nachziehen.

Ziel der Reform ist es, den öffentlich-rechtlichen Rundfunk effizienter aufzustellen. Dazu gehört weniger Online-Textangebot von ARD, ZDF und Deutschlandfunk, um die Konkurrenz zu klassischen Medien zu reduzieren. Ebenso sollen Spartensender reduziert oder zusammengelegt werden. Kurz gesagt: Alles soll moderner, schlanker und klarer strukturiert sein.

Für Kika könnte das langfristig bedeuten, dass der klassische Sender verschwindet – und nur die Online-Angebote weiterbestehen.

Abschaltung im Dezember? Übergang soll sanfter verlaufen

Auch wenn viele Schlagzeilen bereits das „Aus“ verkünden: Am 1. Dezember gehen beim Kinderkanal nicht plötzlich die Lichter aus. Stattdessen startet eine Übergangsphase, in der die Sender selbst entscheiden sollen, wann und wie ihre Inhalte ins Netz überführt werden.

Dennoch gibt es erste konkrete Schritte. Am 18. November endete die SD-Übertragung von Kika über Satellit – ein klarer Hinweis darauf, in welche Richtung die Entwicklung läuft.

ARD und ZDF betonen jedoch, dass ein abruptes Abschaltdatum wenig sinnvoll sei. Stattdessen soll beobachtet werden, wann die Mehrheit der Zuschauer tatsächlich vollständig online unterwegs ist. Erst dann soll der endgültige Übergang erfolgen.

Was bedeutet das für Euch und für Eure Kinder?

Für viele Familien dürfte sich im Alltag kaum etwas ändern. Die meisten jüngeren Zuschauer kennen lineares Fernsehen ohnehin nur noch vom Hörensagen. Dennoch markiert das mögliche Aus von Kika als klassischem Sender das Ende einer Ära.

Es zeigt, wie stark sich Medienkonsum verändert hat – und wie sehr Streaming inzwischen die Norm ist. Und vielleicht ertappt Ihr Euch ja auch dabei, wie Ihr kurz an frühere Nachmittage denkt, an feste Fernsehzeiten und an dieses kleine, besondere Ritual, das langsam ausstirbt.

Der E1 von Abxylute richtet sich mit seinem aktuellen Preis von etwa 60 Euro an Einsteiger, die ihre ersten Schritte im Bereich des Retro-Gamings unternehmen wollen. Dafür müssen allerdings einige Abstriche bei der Ausstattung hingenommen werden. Auf der anderen Seite unterstützt das Handheld gleich zwei Betriebssysteme.

Abxylute verbaut beim E1 ein 3,5 Zoll großes IPS-Panel im 4:3-Format, das mit 640 × 480 Bildpunkten auflöst und über einen „wide viewing angle“ verfügen soll. Darunter arbeitet ein Rockchip RK3566, dessen vier Cortex-A55-Kerne mit bis zu 1,8 GHz takten. Eine GPU vom Typ Mali-G52 MP2 mit Unterstützung von OpenGL ES 3.2 übernimmt die Grafikberechnungen. Mit dieser Ausstattung sollen zahlreiche klassische Konsolen, Arcade-Automaten und Heimcomputer aus dem Retro-Bereich laufen. Über den HDMI-Ausgang lässt sich das Handheld zudem auch an TV-Geräte und Monitore anschließen. Der Ton kann wahlweise über den integrierten Lautsprecher oder den Kopfhöreranschluss ausgegeben werden.

Geringe technische Ausstattung

Dem Prozessor stehen zwei Gigabyte Arbeitsspeicher zur Seite, einen eigenen Langzeitspeicher für persönliche Inhalte bietet der E1 nicht. Diesen muss der Käufer selbst mit Micro-SD-Karten nachrüsten. Laut Datenblatt werden offiziell nur Karten mit einer Kapazität von bis zu 512 GB unterstützt. Für die Energieversorgung sorgt ein fest verbauter Akku mit 3.000 mAh, der eine Spielzeit von bis zu fünf Stunden ermöglichen und über den USB-C-Anschluss in rund zwei Stunden wieder vollständig aufgeladen sein soll. Auf drahtlose Schnittstellen wie WLAN oder Bluetooth muss dem Preis geschuldet hingegen verzichtet werden.

Zwei Betriebssysteme zur Auswahl

Die Steuerung erfolgt über zwei analoge Carbon-Joysticks, ein Steuerkreuz sowie die bekannten, beim E1 ebenfalls in Rauteform angeordneten Funktionstasten und zwei Schultertasten. Darüber hinaus unterstützt die Retro-Konsole von Abxylute mittels Dual-OS zwei Betriebssysteme, wobei ein Linux-System mit vorinstallierten Emulator-Kernel bereits aufgespielt ist.

Ab sofort verfügbar

Der E1 ist ab sofort erhältlich. Aktuell bietet Abxylute das Handheld im eigenen Shop für 61 Euro statt der ansonsten geforderten 78 Euro an.