OpenAI-CEO Sam Altman warnt vor übereiltem Vertrauen in den neuen ChatGPT-Agenten, insbesondere bei persönlichen Daten.
OpenAI hat mit dem neuen "ChatGPT Agent" erstmals ein System vorgestellt, das mehrstufige Aufgaben selbstständig ausführen soll. Laut OpenAI-CEO Sam Altman handelt es sich um ein "neues Level der Fähigkeiten", bei dem die KI mithilfe eines eigenen Computers in mehreren Denk- und Handlungsschritten Aufgaben übernimmt.
Der Agent kombiniert Elemente früherer Experimente wie "Deep Research" und "Operator", geht aber darüber hinaus: Er denkt wiederholt nach, nutzt externe Werkzeuge, plant weitere Schritte und führt sie aus – eine Art simuliertes Handlungsvermögen innerhalb digitaler Rahmenbedingungen.
Trotz der neuen Fähigkeiten warnt Altman ausdrücklich vor einem unkritischen Einsatz des Systems. Zwar habe OpenAI "umfangreiche Schutzmaßnahmen" implementiert, doch seien nicht alle Risiken vorhersehbar. Er rät vom Einsatz ab, wenn es um besonders wichtige Aufgaben oder solche mit umfangreichen persönlichen Informationen geht.
KI-Agenten lassen sich noch zu leicht manipulieren
Altman sieht besondere Gefahren in Szenarien, in denen der Agent weitreichende Zugriffsrechte erhält – etwa auf E-Mail-Konten –, ohne Rückfragen zu stellen. Als Beispiel nennt er die Aufgabe, der Agent solle die E-Mails der vergangenen Nacht bearbeiten und alles Notwendige erledigen, ohne Rücksprache zu halten. Solche Anweisungen könnten dazu führen, dass schadhafte Inhalte aus einer E-Mail den Agenten manipulieren und sensible Daten preisgegeben werden.
Dafür gibt es Beispiele aus der Forschung: Angreifer konnten etwa durch einfache Tricks wie Jailbreak-Prompts KI-Agenten dazu bringen, sensible persönliche Daten preiszugeben oder schädliche Aktionen auszuführen.
Altman spricht in diesem Zusammenhang von einem "experimentellen System". Der ChatGPT-Agent sei ein Vorgeschmack auf die Zukunft, aber aktuell nicht für Aufgaben mit hohem Risiko oder sensiblen Daten geeignet, so Altman.
"Böswillige Akteure könnten versuchen, die KI-Agenten der Nutzer dazu zu 'verleiten', private Informationen preiszugeben, die sie nicht preisgeben sollten, und Handlungen auszuführen, die sie nicht ausführen sollten, und zwar auf eine Weise, die wir nicht vorhersagen können", schreibt Altman.
Altman rät daher, Agenten nur den minimal notwendigen Zugriff zu gewähren. Ziel sei es, auf Basis realer Nutzungserfahrungen das Verhalten des Systems besser zu verstehen und Sicherheitsstrategien weiterzuentwickeln.
