Update (22. Okt): Nur wenige Stunden nach Veröffentlichung dieses Beitrags erschien ChatGPT Atlas von OpenAI – und es passt perfekt zu dem Trend, den wir beschrieben haben. Atlas bietet eine „Browser Memories“-Option und hebt datenschutzfreundliches Design hervor, indem User steuern können, was gespeichert und für Inferenz genutzt wird.
Das ist ein Schritt in die richtige Richtung, wirft aber dieselbe Frage auf wie zuvor: Wenn der Browserverlauf fest in ein KI-System integriert wird, können Nutzende wirklich nachvollziehen, was aufgezeichnet und verwendet wird? Hier haben wir die gleichen Zweifel wie bei anderen Anbietern.

Das Wettrennen um KI-Memory im Browser

Das Rennen um Browser mit KI-Unterstützung ist in vollem Gange. Die neuen KI-Funktionen von Google Chrome, Perplexity Comet und der Dia Browser (dessen Hersteller The Browser Company erst letzten Monat von Atlassian übernommen wurde) sind drei prominente Beispiele.

Wir nennen diese drei, weil sich ihre Ankündigungen alle um ein Feature namens „Memory“ drehen. Anders als ein klassischer Browserverlauf ermöglicht es die semantische Suche in den Aktivitäten der User und große Sprachmodelle können diese Informationen als Kontext für Antworten nutzen.

Die Stärke dieses Features liegt auf der Hand: Privat und beruflich erledigen wir fast alles im Browser. Wenn ein LLM diesen Kontext erkennt, kann es uns helfen, Gesehenes wiederzufinden – und sogar neue Ideen aufzeigen. Als OpenAI Persistent Memory für ChatGPT einführte, war die Reaktion der Nutzer ähnlich: Plötzlich schien der Assistent uns auf einer tieferen Ebene zu verstehen.

Offene Fragen zum Datenschutz

Diese Funktionen sind so praktisch wie datenschutzsensibel. Nutzerinnen und Nutzer haben inzwischen gelernt: Im Internet gibt es nichts umsonst, insbesondere wenn personenbezogene Daten zum Produkt werden. Es ist sehr wahrscheinlich, dass die nächste Generation von Werbung auf diese neuen Verhaltensdaten zurückgreifen wird – und die Grenze zwischen nützlich und aufdringlich wird schnell verschwimmen. Zum Beispiel sagte der CEO von Perplexity vor Comet-Launch ganz offen, dass alles, was Nutzerinnen und Nutzer online tun, getrackt wird, um hochgradig personalisierte Werbung zu verkaufen.

Dia wird unter Atlassians Leitung einen anderen Weg gehen: die Produktivität im SaaS-Ökosystem steht im Vordergrund. Wie Atlassians CEO zur Übernahme erklärte, werden durch die Vernetzung von Daten über Unternehmens-Tools hinweg enorme Effizienzgewinne erzielt. Aber denkt man darüber nach, ist das zugleich der Grund, warum dadurch massive neue Sicherheitsrisiken entstehen.

Bisher mussten sich CISOs nur um einzelne Datensilos kümmern. Wenn eine KI aber Querverbindungen zwischen Silos herstellt, wächst das Risiko für Datenlecks exponentiell. Atlassian bemühte sich um schnelle Beschwichtigung: „Sicherheit, Compliance und administrative Kontrolle werden in jeden Aspekt von Dia integriert.“ Doch nicht alle Unternehmen werden für einen Enterprise-Plan bezahlen – und für viele ist allein der Gedanke an eine siloübergreifende KI-Memory zu riskant. (Ganz zu schweigen von ganz anderen Aspekten beim Einsatz am Arbeitsplatz, wie dieses angeblich witzige Instagram-Video von Dia zeigt, in dem eine Leistungsbeurteilung auf Basis des Browserverlaufs gezeigt wird.)

Also ist Skepsis durchaus angebracht. Gerade in der Welt der KI-Browser-Erweiterungen zeigt die Vergangenheit: Alle Tools, die in einer Untersuchung des University College London (UCL) betrachtet wurden, leiteten private Daten ohne genügende Transparenz oder Zustimmung der Nutzer in die Cloud weiter.

Als wir öffentlich verfügbare Informationen zu den neuen nativen Implementierungen in Chrome, Comet und Dia geprüft haben, gab es zwar Lichtblicke: mehr lokale Verarbeitung und den Versuch, sensible Daten wie Finanzdaten, Gesundheitsakten oder private Nachrichten vorab zu filtern. Aber das Grundproblem bleibt: Die eigentliche Inferenz findet weiterhin in der Cloud statt – und Nutzerinnen und Nutzer haben keinen Einblick, was genau dorthin gesendet wird.

Unsere Antwort: Confidential Computing

Wir finden „Memory“ eine großartige Idee. Um wirklich nützlich zu sein, muss es viel über den User wissen. Doch wie kann das funktionieren und gleichzeitig ein Datenschutzniveau bieten, das hier angemessen ist? Solange man die Power cloudbasierter LLMs nutzen will, gibt es nur eine Lösung: Confidential Computing.

Um das zu ermöglichen, haben wir Privatemode AI gebaut. Unsere API bietet Zugang zu LLMs, die innerhalb vertraulicher Rechenumgebungen laufen, in denen die Daten von Anfang bis Ende verschlüsselt und erst in einer hardwareisolierten Enklave entschlüsselt werden. Selbst der Cloud-Anbieter – uns eingeschlossen – hat keinen Zugriff auf Eingaben oder Ergebnisse. Diese Garantie wird durch Remote Attestation erbracht und kryptografisch anstelle von Complience-Versprechen überprüfbar gemacht.

So sollte Memory im Browser funktionieren: nützlich und dauerhaft, aber für alle anderen unsichtbar. Um das Konzept zu demonstrieren, haben wir eine kleine Chrome-Erweiterung gebaut: Darin können User mit einem LLM chatten, während dieses sich an alle besuchte Seiten erinnert. Das LLM kann beim Antworten darauf zugreifen, so wie ein Mensch sich an Vorheriges erinnert.

Starte als Entwickler oder teile uns dein Interesse mit

Wie all unsere Client-Software ist die Erweiterung Open Source für volle Transparenz. Developer können sie auf GitHub herunterladen, auf ihrer Maschine ausführen und jede Code-Zeile prüfen.

Noch ist sie nur ein Demo. Unser Kernprodukt ist die Inference API selbst – gedacht für alle, die KI mit Datenschutzfokus in eigene Apps integrieren wollen. Wer ein eigenes KI-Tool oder eine Integration baut, muss die Sicherheit nicht neu erfinden: Nutze unsere Confidential Inference API und halte Nutzerdaten mit Kryptografie geschützt.

Wer kein Developer ist, aber eine KI-Browser-Extension mit Fokus auf Datenschutz will, kann sich in unsere Interessentenliste eintragen. Falls genügend Interesse besteht, bauen wir aus dem Prototyp ein vollständiges Produkt.