Eine im August 2025 veröffentlichte Studie des USENIX-Sicherheitssymposiums ergab, dass beliebte KI-Browsererweiterungen sensible Benutzerdaten sammeln, darunter Krankenakten, Bankinformationen, Sozialversicherungsnummern und Social-Media-Aktivitäten. Forscher des University College London, der Mediterranea University of Reggio Calabria und der University of California, Davis führten die Analyse durch. Die Ergebnisse hoben Datenschutzrisiken in KI-gestützten Webbrowsern hervor, die seit ihrer Einführung im Jahr 2025 an Bedeutung gewonnen haben.
KI-gestützte Browser wie Atlas von OpenAI und Comet von Perplexity bieten Funktionen wie Website-Zusammenfassungen, verfeinerte Suchen, Chatbots und autonome Aufgabenausführung. Diese Tools stellen etablierte Browser wie Google Chrome, das 70 Prozent des Weltmarktes einnimmt, Safari, Edge und Firefox in Frage. Weitere Teilnehmer sind die Integrationen von Opera Neon, Dai und ChatGPT. McKinsey & Das Unternehmen prognostiziert, dass die Browserbranche bis 2028 einen Umsatz von 750 Milliarden US-Dollar generieren wird.
KI-Browser funktionieren durch persistente Chatbots, die geöffnete Webseiten analysieren, und Agentenmodi, die Aufgaben wie das Ausfüllen von Formularen, das Einkaufen bei Amazon oder das Bearbeiten von Aufsätzen übernehmen. Sie verarbeiten Webseiteninhalte zusammen mit früheren Anfragen, Suchverläufen und Interaktionen ohne Benutzeranweisungen. Browsererweiterungen dienen als Schnittstellen für Modelle wie ChatGPT von OpenAI, Gemini von Google und Llama von Meta. Erweiterungen fügen über Hintergrunddienstmitarbeiter Inhaltsskripte in Webseiten ein und ermöglichen so ein autonomes Daten-Scraping. Dies unterscheidet sich von webbasierten Chatbots, die nur Benutzereingabedaten verarbeiten.
Die USENIX-Studie konzentrierte sich eher auf Browsererweiterungen als auf vollständige Browser, da Marktführer wie Atlas und Comet nach ihrer Fertigstellung auf den Markt kamen. Zu den untersuchten Erweiterungen gehörten ChatGPT für Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind und Microsofts Copilot. Die Forscher simulierten das Surfen in privaten und öffentlichen Kontexten: Lesen von Nachrichten, Ansehen von YouTube-Videos, Ansehen von Pornografie und Ausfüllen von Steuerformularen. Die Erweiterungen erfassten Bilder und Texte wie medizinische Diagnosen, Sozialversicherungsnummern und Dating-App-Einstellungen.
Merlin übermittelte Bankdaten und Gesundheitsakten. Merlin und Sider AI zeichneten Aktivitäten auch im privaten Browsermodus auf. Die Verkehrsanalyse nach der Entschlüsselung ergab Übertragungen an Unternehmensserver und Tracker von Drittanbietern. Sider und TinaMind teilten Benutzereingaben und IP-Adressen mit Google Analytics und erleichterten so die standortübergreifende Nachverfolgung. Microsofts Copilot speicherte Chatverläufe über Sitzungen hinweg im Browserspeicher.
Google, Copilot, Monica, ChatGPT und Sider haben Benutzer nach Alter, Geschlecht, Einkommen und Interessen profiliert, um über mehrere Sitzungen hinweg personalisierte Antworten zu erhalten. Unter den getesteten Tools erwies sich Perplexity als das datenschutzstärkste Tool. Es erinnert sich nicht an frühere Interaktionen und seine Server vermeiden personenbezogene Daten aus privaten Bereichen. Perplexity verarbeitet weiterhin Seitentitel und Benutzerstandort.
OpenAI veröffentlichte Atlas nach der Studie. OpenAI gibt an, dass Atlas Inhalte selektiv analysiert, aber alle Bilder und Texte der Website verarbeitet. Optionale Speicherfunktionen speichern Browserverlaufselemente, um Erlebnisse individuell anzupassen. Benutzer können nicht angeben, welche Site-Aspekte der Browser abruft. Auf der Hilfeseite von OpenAI wird empfohlen, Seiten aus dem Chat-Fenster zu entfernen, vertrauliche URLs zu blockieren oder den Verlauf zu löschen, um die Gefährdung zu begrenzen.
Atlas umfasst zwei datenbezogene Einstellungen. „Das Modell für alle verbessern“ wird standardmäßig aktiviert und ermöglicht OpenAI, Webseitendaten aus Chatbot-Abfragen für ChatGPT-Training zu verwenden. „Webbrowsing einbeziehen“ bezieht den vollständigen Browserverlauf in das Training ein. OpenAI anonymisiert Daten vor der Verwendung im Training, allerdings bleiben die Einzelheiten zu den Grenzen begrenzt. Benutzer können beide Einstellungen deaktivieren.
Comet von Perplexity speichert den Suchverlauf lokal auf Benutzergeräten, nicht auf Servern. Für Kernfunktionen greift es auf URLs, Text, Bilder, Suchanfragen, Download-Verlauf und Cookies zu. Der Agentenmodus und das Speichertool von Comet analysieren den Suchverlauf und die Präferenzen. Der Browser fordert den Zugriff auf das Google-Konto an, einschließlich E-Mails, Kontakte, Einstellungen und Kalender, mit Opt-in für die Integration von Drittanbietern. Auf der Erklärungsseite von Perplexity werden die Dateneinstellungen detailliert beschrieben. Experten empfehlen, die Chatbot-Seitenleiste auf nicht sensible Seiten zu beschränken.
KI-Unternehmen verwenden gespeicherte Benutzerdaten häufig ohne ausdrückliche Zustimmung für das Training umfangreicher Sprachmodelle. Diese Praxis erstreckt sich über die KI hinaus auf soziale Medien, Einzelhändler, Suchmaschinen und Messaging-Dienste durch undurchsichtige Vereinbarungen und Standard-Opt-Ins. Browser greifen auf sensiblere Informationen zu als andere Plattformen. OpenAI hat im ersten Halbjahr 2025 105 Datenanfragen der US-Regierung erfüllt.
Sicherheitslücken verschärfen die Datenschutzprobleme. Durch Prompt-Injection-Angriffe können Hacker schädliche Inhalte in Browser-Backends einbetten, die nicht von legitimen Eingaben zu unterscheiden sind. Diese ermöglichen Phishing und den Diebstahl von Zugangsdaten, Bankdaten und persönlichen Daten.
Eine mutige Studie im Oktober 2025 beschrieb sofortige Injektionen als eine systemische Herausforderung für KI-Browser, die das Phishing-Risiko erhöht. LayerX Security berichtete, dass Benutzer von Perplexity Comet im Vergleich zu Chrome-Benutzern einer um 85 Prozent höheren Anfälligkeit für solche Angriffe ausgesetzt sind. Dane Stuckey, Chief Information Officer von OpenAI, erklärte auf X, dass die sofortige Injektion „ein bahnbrechendes, ungelöstes Sicherheitsproblem bleibt“. Der Blog von Perplexity forderte KI-Unternehmen auf, „Sicherheit von Grund auf zu überdenken“.
Die USENIX-Forscher testeten Erweiterungen in kontrollierten Szenarien, um die Datenerfassung zu messen. Beim Durchsuchen von Nachrichten protokollierten Erweiterungen Artikeltexte und Bilder. YouTube-Sitzungen führten zu Video-Thumbnail-Aufnahmen und Kommentar-Scraping. Pornografieseiten führten zur Aufzeichnung von Bildern und Vorlieben. Durch Simulationen von Steuerformularen wurden Sozialversicherungsnummern und Finanzdaten offengelegt.
Der entschlüsselte Datenverkehr von Merlin zeigte die Übertragung von Gesundheitsakten im Klartext, darunter Diagnosen wie Notizen zur Diabetesbehandlung und Bankanmeldungen mit Kontonummern. Die Pakete von Sider AI enthielten IP-Adressen gepaart mit Aufforderungen, die persönliche Identifikatoren enthielten. TinaMind leitete ähnliche Daten an Google Analytics-Endpunkte weiter.
Der lokale Speicher von Copilot speicherte Gesprächsprotokolle, einschließlich Anfragen zur Finanzplanung im Zusammenhang mit Einkommensdetails von früheren Standorten. Zu den Profiling-Beispielen gehörte, dass Sider das Geschlecht des Benutzers aus Einkaufsseiten und das Alter aus Nachrichtenpräferenzen ableitete und diese auf werbeähnliche Empfehlungen anwendete.
Die Einschränkungen von Perplexity verhinderten einen sitzungsübergreifenden Speicher und blockierten die Profilerstellung. Seine Serverprotokolle enthielten nur Metadaten wie Seitentitel („Login – Bank of America“) und Geolokalisierungskoordinaten, ohne Inhaltsnutzdaten von privaten Registerkarten.
Die Atlas-Dokumentation bestätigt die Bild-OCR und Textextraktion auf allen Registerkarten. Zu den Speicher-Snapshots gehören URL-Listen und zusammengefasste Historien, z. B. „Amazon-Warenkorb mit Elektronikartikeln besucht“. Die Schulungs-Opt-Ins verarbeiten Daten über Anonymisierungspipelines, Hashing-IPs und Aggregationssitzungen gemäß OpenAI-Offenlegungen.
Der lokale Speicher von Comet verwendet IndexedDB für Historien und synchronisiert optional mit Perplexity-Konten. Für die Google-Integration sind OAuth-Bereiche für den Lese-/Schreibzugriff auf Gmail und Kalender erforderlich. Drittanbieter-Tools wie Zapier stellen die Verbindung über API-Schlüssel her.
Die Anfragen der Regierung an OpenAI umfassten Vorladungen für Bedrohungsermittlungen und nationale Sicherheitsbefehle für 6.000 Benutzerkonten. Compliance-Protokolle enthalten detaillierte Datentypen: Chats, Dateien und IP-Spuren.
Die Oktober-Analyse von Brave simulierte 500 Einschleusungsversuche in verschiedenen Browsern. KI-Modelle führten 72 Prozent der böswilligen Eingabeaufforderungen aus, gegenüber 4 Prozent bei herkömmlichen Browsern. LayerX hat 1.200 Benutzer getestet: Comet-Sitzungen ergaben 2,1 Exploits pro Stunde, Chrome 1.1.
Die Mechanik der Erweiterungsinjektion verlässt sich auf Manifest V3-Servicemitarbeiter, die umfassende Tab-Berechtigungen gewähren. Autonomie ergibt sich daraus, dass „content_scripts“ alle URLs abgleicht und DOM-Bäume an LLMs weiterleitet.
Der Marktkontext zeigt, dass Chrome laut StatCounter-Daten Ende 2025 einen Anteil von 70 Prozent hatte. Laut SimilarWeb erreichten KI-Browser zusammen 12 Prozent. Firefox AI Integrations steigerte seinen Anteil auf 8 Prozent.
