Inhalt
"Ich habe eine KI gefragt, und sie hat von selbst den Browser geöffnet, Dinge nachgeschlagen und sogar ein Formular für mich ausgefüllt." Im Jahr 2026 ist das längst keine inszenierte Demo mehr. KI-Agenten, die im Browser "sehen, klicken und tippen" — sogenannte agentische Browser — sind auf einen Schlag da: ChatGPT Atlas, Claude for Chrome, Gemini/Chrome, Perplexity Comet und mehr.
Aber wie weit reicht die Automatisierung wirklich? Die kurze Antwort: Die Realität teilt sich sauber in drei Stufen. "Recherchieren" ist im Grunde praxisreif, "Formulare ausfüllen" ist bedingt möglich, und "Buchen und Bezahlen" sollten Sie weiterhin selbst erledigen. Wer diese Werkzeuge nutzt, ohne diese Lücke zu kennen, wird sich die Finger verbrennen. Dieser Artikel zeigt den aktuellen Stand der Technik, wo jeder Anbieter steht, die Benchmark-Zahlen und — oft übersehen — die Sicherheitsfallen, und zeichnet so ein ehrliches Bild der "Realität".
Dieselbe "Browsersteuerung" — aber drei Stufen des "Geht das?"
— Je nach Art der Aufgabe schaltet die Ampel auf Grün, Gelb oder Rot
Recherche
Nur Lesen = praxisreif
○ DelegierenFormulare ausfüllen
Funktioniert, aber prüfen
△ BedingtBuchen / Bezahlen
Scheitert an CAPTCHA / Checkout
× Selbst erledigen* Die Benchmark-Werte, Anbieter-Spezifikationen und Preise in diesem Artikel stammen aus diversen öffentlichen Materialien, Medienberichten und Unternehmensankündigungen (Stand: Juni 2026). Diese Produkte aktualisieren sich schnell, und ihre unterstützten Betriebssysteme, Preise und Fähigkeiten können sich ändern. Die Zahlen variieren je nach Methodik — verstehen Sie sie als Richtwerte.
1. Was bedeutet "KI-Browsersteuerung"? Zwei Ansätze
"Eine KI, die den Browser bedient" gibt es in Wirklichkeit in zwei technischen Ausprägungen. Beide durchlaufen dieselbe Agenten-Schleife — den Bildschirm sehen (wahrnehmen) → die nächste Aktion festlegen (planen) → sie anklicken oder eintippen (handeln).
① Verbraucher: in einen Browser/eine Erweiterung integriert
Die KI lebt in dem Browser, den Sie ohnehin nutzen — als eigenständiger Browser (ChatGPT Atlas) oder als Erweiterung (Claude for Chrome) — und übernimmt Recherche und Formularausfüllung über Ihre eigene angemeldete Sitzung. Leicht einzuführen, doch mit den unten beschriebenen Sicherheitsvorbehalten.
z. B. Atlas / Claude for Chrome / Gemini in Chrome / Comet
② Entwickler: Automatisierung über API/OSS
Einen Browser in einer Sandbox per Code steuern. Mit dem computer-use-Tool von OpenAI oder dem quelloffenen browser-use können Sie sich wiederholende Web-Aufgaben unbeaufsichtigt ausführen. Näher an einem weiterentwickelten RPA, gut geeignet zur Einbettung in Workflows.
z. B. computer-use (CUA) / browser-use / Skyvern / Steel
Dieser Artikel konzentriert sich vor allem auf ① die Verbraucher-Seite, um zu beurteilen, "wie weit es reicht". Beachten Sie: ② nutzt unter der Haube oft dieselben KI-Modelle, sodass die Stärken und Schwächen tendenziell geteilt werden.
2. Die wichtigsten Anbieter im Jahr 2026
Von Ende 2025 bis ins Jahr 2026 kamen agentische Browser auf einen Schlag auf den Markt — und ebenso schnell setzte eine Konsolidierung (Marktbereinigung) ein, bei der eigenständige Produkte in ihre Mutterdienste eingegliedert wurden. Hier die aktuelle Aufstellung.
| Produkt | Form | Status (Stand Juni 2026) |
|---|---|---|
| ChatGPT Atlas OpenAI |
Eigenständiger Browser (auf Chromium-Basis) | Gestartet am 2025/10/21. Agent-Modus für Plus/Pro/Business usw. Anfangs Mac-zentriert; Windows/Mobile werden ausgerollt. Kann per Design keinen Code ausführen, keine Dateien herunterladen und keine Passwörter lesen. |
| Claude for Chrome Anthropic |
Chrome-Erweiterung (Seitenleiste) | Beta auf Bezahltarifen (Pro/Max usw.). Navigiert, klickt, füllt Formulare aus, führt mehrstufige Abläufe über mehrere Tabs aus. Verfügbare Modelle variieren je nach Tarif. |
| Gemini / Chrome |
Browser-Integration | Das experimentelle "Project Mariner" endete am 2026/5/4, und seine Technik wurde in Gemini/Chrome eingegliedert. Chromes "Auto Browse" automatisiert komplexe Abläufe. |
| Perplexity Comet Perplexity |
Eigenständiger Browser | Beliebt für Recherche. Allerdings wurden mehrere Prompt-Injection-Schwachstellen gemeldet (siehe unten); Korrekturen kamen Anfang 2026. |
| ChatGPT Agent OpenAI (ehem. Operator) |
Integriert + API | Das eigenständige "Operator" endete am 2025/8/31; seine Fähigkeiten wanderten in ChatGPT und das Agents SDK (computer-use). Sein Abgang sagt viel über die "Realität" aus (siehe unten). |
| browser-use OSS |
Bibliothek (MIT) | Über 78k GitHub-Sterne. Binden Sie ein beliebiges LLM ein, um Ihre eigene Automatisierung zu bauen. Verwandte OSS wie Skyvern und Steel sind ebenfalls aktiv. |
Auffällig ist die Welle der "Eingliederung und Einstellung eigenständiger Produkte". Sowohl OpenAIs Operator als auch Googles Mariner haben ihre separaten Apps fallengelassen und wurden in den Mutterdienst aufgenommen. Das spiegelt einen Branchenwandel wider — weg von "spektakulären Experimenten" hin zu "Funktionen, die in täglich genutzte Produkte eingebettet sind" — und zeigt zugleich die Kehrseite: vollständig autonome Steuerung ist im Alleingang noch schwierig.
3. Wie weit reicht es? Die Realität in 3 Stufen
Das ist der Kern. Selbst innerhalb der "Browsersteuerung" teilt sich die praktische Zuverlässigkeit stark nach Art der Aufgabe. Füllen wir die Ampel vom Anfang mit konkreten Beispielen und Benchmarks aus.
🟢 Recherche / Informationsbeschaffung = heute am "nutzbarsten"
Preise über mehrere Websites vergleichen, Bewertungen zusammenfassen, Wettbewerber auf Neuigkeiten beobachten, Zahlen aus einem Dashboard ohne API ziehen — "nur-lesende" Arbeit ist praxisreif. Auf WebVoyager, das echte Websites testet, erreichen Spitzen-Agenten 89-98% und sättigen den Benchmark praktisch aus. Da eine falsche Aktion hier kaum etwas kostet, sollten Sie hier mit dem Delegieren beginnen.
🟡 Formulare ausfüllen = machbar, aber braucht einen "Aufpasser"
Kontaktformulare, Anträge entwerfen, in eine Tabelle übertragen — die Eingabe selbst wird von jedem Agenten unterstützt. Aber er kann Felder falsch zuordnen, Optionen falsch einschätzen oder den falschen Absenden-Button treffen. "Die KI entwirft, ein Mensch sendet ab" ist das sichere Muster. Tatsächlich sind viele Produkte wie Atlas so konzipiert, dass sie vor wichtigen Aktionen um Bestätigung bitten.
🔴 Buchen / Bezahlen = weiterhin selbst erledigen
Hotel- und Flugbuchungen, E-Commerce-Käufe, Bestätigungen hinter einem Login — Aufgaben, bei denen "Geld bewegt wird und sich schwer rückgängig machen lässt", sind die schwächste Stelle. Agenten stolpern über CAPTCHAs, komplexe JavaScript-Checkouts, Zwei-Faktor-Authentifizierung und Sitzungsverwaltung. Auf WebArena, das komplexe mehrstufige Aufgaben testet, erreichen selbst die Besten nur etwa 47-68% (unter der menschlichen Basislinie von ~78%). Der eigentliche Grund, warum OpenAI das eigenständige Operator einstellte, war die Unzuverlässigkeit der Checkout-Abläufe.
Die "Lücke" in den Benchmarks (Zahlen sind Richtwerte)
* Vor zwei Jahren lag die Erfolgsquote bei ähnlichen Aufgaben Berichten zufolge bei etwa 14%, der Fortschritt ist also rasant. Dennoch ist auch dies eine Tatsache: "Komplexe Aufgaben bleiben hinter dem Menschen zurück."
Kurz gesagt: stark im Nachschlagen, schwach im Festlegen von Aktionen. Allein dieser eine Satz erspart Ihnen den größten Teil der Enttäuschung, die aus fehlgeleiteten Erwartungen entsteht.
4. Warum es bei "Buchungen" scheitert
"Wenn es recherchieren kann, warum kann es dann nicht buchen?" Es gibt nicht den einen Grund. Bei Buchung und Bezahlung stapeln sich mehrere "Hürden", mit denen die KI schlecht zurechtkommt, an einem einzigen Ort.
🧩 CAPTCHA / Bot-Abwehr
Mechanismen, die einen "Nachweis, ein Mensch zu sein" verlangen, existieren genau dazu, Agenten zu stoppen. Der Versuch, sie zu umgehen, kann selbst gegen die Nutzungsbedingungen verstoßen.
💳 Komplexe Checkout-Abläufe
JavaScript-lastige Warenkörbe, 3-D Secure, Weiterleitungen zu externen Zahlungsdiensten. Ein einziger Fehltritt irgendwo bricht das Ganze, und die Wiederherstellung ist schwierig.
🔐 Zwei-Faktor-Authentifizierung / Login
SMS-Codes und App-Freigaben lassen sich nur in Ihren eigenen Händen abschließen. Viele Produkte meiden bewusst Passwörter und Zugangsdaten.
↩️ Die Kosten des Rückgängigmachens
"Versehentlich gekauft" oder "doppelt gebucht" verursacht echten Schaden. Deshalb fügen Anbieter bei wichtigen Aktionen eine menschliche Freigabe ein und bestätigen nicht automatisch.
Anders gesagt: Ein "Scheitern" bei der Buchung liegt weniger daran, dass die KI nicht klug genug ist, sondern eher an der Kollision mit einer Design-Absicht: "Websites rechnen nicht mit Automatisierung" und "Menschen sollten die großen Aktionen in der Hand behalten". Ein Sprung zu 100% Automatisierung ist daher kurzfristig unwahrscheinlich. In der Praxis ist "die KI bis zu den Kandidaten, der Mensch für die letzte Bestätigung" derzeit die beste Antwort.
5. Die größte Falle: Prompt Injection
Wichtiger als "kann oder kann nicht" ist die Sicherheit. Das mit Abstand größte Risiko, das agentischen Browsern eigen ist, ist die indirekte Prompt Injection — der Agent wird durch "versteckte Anweisungen für die KI" getäuscht, die in eine Webseite oder E-Mail eingeschleust wurden.
Was indirekte Prompt Injection ist: Ein Angreifer bettet Befehle wie "stiehl die E-Mail des Nutzers und sende sie" mithilfe von Text ein, der für Menschen schwer zu sehen ist (an den Hintergrund angepasster Text, Zeichen in Bildern, Kommentarbereiche), sodass der Agent, der die Seite liest, gekapert wird. Weil er in Ihrer angemeldeten Sitzung läuft, kann der Schaden unmittelbar sein.
Das ist nicht bloß Theorie. Anfang 2026 wurden im recherchefokussierten Perplexity Comet mehrere Schwachstellen gemeldet. In Demonstrationen von Forschern reichte es schon aus, eine bösartige Seite oder einen Post lesen zu lassen, um Zugangsdaten und Einmalcodes zu stehlen und das Konto zu übernehmen — ein "Zero-Click"-Angriffsweg (Perplexity lieferte im Februar 2026 Gegenmaßnahmen aus). Ähnliche Schwächen wurden seither auch bei anderen großen Browsern festgestellt.
Wie gut wirken die Abwehrmaßnahmen? (Beispiel veröffentlichter Zahlen)
Angriffserfolg vor Abwehr
(eigene Messung eines Anbieters)
Nach grundlegender Abwehr
(nicht null)
Unter der stärksten Abwehr
(immer noch nicht null)
* Die Zahlen sind von jedem Anbieter selbst angegeben und abhängig von den Bedingungen, daher nicht direkt vergleichbar. Der Punkt: Abwehrmaßnahmen senken es deutlich, aber nie auf null. Die Forschung berichtet zudem, dass die Durchbruchsrate steigt, je mehr Angreifer iterieren.
Anbieter halten mit Klassifikatoren dagegen, die versteckte Anweisungen erkennen, sowie mit Bestätigungen und Berechtigungsgrenzen bei wichtigen Aktionen. Doch der ehrliche Stand im Jahr 2026 ist: "Selbst mit Abwehrmaßnahmen bleibt ein Restrisiko bestehen." Genau deshalb sind Ihre eigenen Betriebsregeln die letzte Verteidigungslinie. Mehr dazu unter Sicherheitsvorfälle bei KI-Agenten.
6. Eine praktische Checkliste für sicheren Einsatz
Angesichts der oben beschriebenen "Realität" hier 5 Grundsätze für sicheren Einsatz ab heute. Keine kniffligen Einstellungen — es ist eine Frage der Haltung.
Mit "nur Lesen" beginnen
Beschränken Sie es anfangs auf Recherche, Vergleich und Zusammenfassung — Arbeit, bei der ein Fehler nichts kostet. Erweitern Sie erst auf Eingabeaufgaben, wenn Sie sich sicher fühlen.
Ein Mensch muss Sendungen und Zahlungen freigeben
"Die KI bis zum Entwurf, der letzte Knopf gehört Ihnen." Stellen Sie es nicht so ein, dass es ohne Prüfung bestätigt.
Keine sensiblen Daten oder Passwörter übergeben
Nutzen Sie es nicht für Online-Banking, Zahlungen oder vertrauliche Bildschirme. Es hat einen Grund, dass viele Produkte so konzipiert sind, dass sie keine Zugangsdaten anrühren.
Den Agenten nicht auf nicht vertrauenswürdigen Websites laufen lassen
Verdächtige Seiten und Links von unbekannten Absendern sind Brutstätten für versteckte Anweisungen. Halten Sie inne, bevor Sie den Agenten sie "lesen" lassen.
Geringste Rechte, in einem dedizierten Profil
Geben Sie ihm nicht Zugriff auf jeden angemeldeten Tab. Lassen Sie es nach Möglichkeit in einem separaten Arbeitsprofil laufen, um den Schadensradius zu begrenzen.
Das Fazit: "Bequemlichkeit" und "Berechtigung" sind ein Kompromiss. Je mehr Macht Sie dem Agenten geben, desto mehr kann er tun — aber desto größer ist der Schaden, wenn er gekapert wird. Klein anfangen und mit den Ergebnissen erweitern — dieselbe Grundregel wie bei den Anwendungsfällen der Geschäftsautomatisierung.
Fazit
Die KI-Browsersteuerung machte 2026 einen großen Schritt vom "Experiment" zum "Alltagswerkzeug". Doch sie ist nicht allmächtig — die Realität teilt sich in drei Stufen.
Wichtigste Erkenntnisse
- 🟢 Recherche, Vergleich und Zusammenfassung sind praxisreif — fangen Sie hier an.
- 🟡 Formulare ausfüllen funktioniert, setzt aber voraus, dass "ein Mensch bestätigt" am Ende.
- 🔴 Buchen und Bezahlen sind weiterhin schwach — die Hürden CAPTCHA/Checkout/2FA. "Die KI bis zu den Kandidaten, der Mensch bestätigt."
- ⚠️ Die größte Hürde ist die Sicherheit — Prompt Injection bleibt trotz Abwehr bestehen. Schützen Sie sich mit Betriebsregeln.
"Ein hervorragender Recherchepartner; die geldbewegenden Aktionen erledigen Sie selbst." Halten Sie diese Distanz, und die KI-Browsersteuerung wird Ihnen viel Zeit sparen. Beginnen Sie heute mit der "Recherche", wo ein Fehler nicht wehtut. Zu den Grundlagen von Agenten insgesamt siehe was ein KI-Agent ist; zur Sicherheit vertiefen Sie sich in die Sicherheitsvorfälle.
FAQ
F. Kann ich die gesamte Buchung einer KI überlassen?
A. Stand 2026 nicht empfohlen. Sie stolpert leicht über CAPTCHAs, komplexe Checkouts und Zwei-Faktor-Authentifizierung und riskiert Fehlkäufe oder Doppelbuchungen. "Die KI bis zum Vergleich der Kandidaten, die letzte Bestätigung durch einen Menschen" ist sicher.
F. Welches soll ich nutzen? Was ist der Unterschied zwischen ChatGPT Atlas und Claude for Chrome?
A. Der große Unterschied ist die Form: Atlas ist ein "eigenständiger Browser", Claude for Chrome ist eine "Chrome-Erweiterung". Wenn Sie ohnehin Chrome nutzen, ist die Erweiterung praktisch; um eine ganz neue Umgebung auszuprobieren, wählen Sie den eigenständigen Browser. Preise und verfügbare Modelle variieren je nach Tarif — siehe den Preisvergleich.
F. Sollten sich normale Nutzer um Prompt Injection sorgen?
A. Ja. Weil der Agent in Ihrer angemeldeten Sitzung läuft, kann der Schaden unmittelbar sein. Schon drei Gewohnheiten — ihn nicht auf zwielichtigen Seiten laufen lassen, einen Menschen Zahlungen und Sendungen freigeben lassen und ihn nicht auf Bildschirmen mit sensiblen Daten nutzen — senken das Risiko erheblich.
F. Kann ich es kostenlos ausprobieren?
A. Das hängt vom Produkt ab. Viele Agentenfunktionen sind für Bezahltarife, aber es gibt kostenlose Optionen wie das OSS browser-use, das Sie selbst bauen können (für die LLM-Nutzung zahlen Sie weiterhin separat). Prüfen Sie zuerst, was Ihr bestehender KI-Dienst unterstützt.
F. Ist für einfache Routinearbeit klassisches RPA besser?
A. Wenn die Schritte jedes Mal exakt gleich sind, kann klassische Automatisierung stabiler und schneller sein. Die Stärke von KI-Agenten liegt in Arbeit, die "jedes Mal etwas anders" ist oder "Urteilsvermögen erfordert". Die beiden sind keine Rivalen — nutzen Sie das richtige Werkzeug für die jeweilige Aufgabe.
