Bonn (KNA) Überquellende E-Mail-Postfächer sind eine der Heimsuchungen der digitalen Gegenwart. Unternehmen, Medienhäuser, Anbieter jedweder Art von Dienstleistungen: Alle wollen den direkten Draht zu ihren Kunden, um sie über vermeintlich Relevantes auf dem Laufenden zu halten. Wie gut, dass es nun auch für dieses Problem eine innovative technische Lösung gibt: Persönliche KI-Assistenten können sich durch die Massen an Mails wühlen und vorsortieren: Was kann getrost ignoriert werden, was erfordert dringend eine Antwort, wo sollte der Empfänger bei Gelegenheit mal reinschauen? Viele der KI-Agenten bieten Zusammenfassungen für eingegangene E-Mails an oder können dem Sender der Mail sogar automatisiert antworten. Sie handeln also in einem gewissen Maße autonom. Das mag für viele Menschen erstmal praktisch klingen. Wer tagtäglich vom Wust der Nachrichten überwältigt wird und Gefahr läuft, Wichtiges zu übersehen, ist dankbar für die Unterstützung. Die Software für die KI-Agenten ist für alle frei im Netz verfügbar, schon heute kann man sich einen persönlichen Assistenten kostenlos herunterladen und auf die eigenen Mails loslassen - viele Menschen tun das bereits. Doch die Technik kann ungeahnte Folgen haben. In einem Experiment haben Forscher jüngst solche persönlichen KI-Assistenten an eigens für den Test eingerichteten Postfächern getestet. Sie schickten sich gegenseitig Nachrichten auf dem Online-Dienst Discord und E-Mails hin und her - im Wissen, dass am anderen Ende der Leitung der KI-Agent eines Kollegen die Mails erhielt. Das Ergebnis: pures Chaos. Die Wissenschaftler versuchten dabei zwei Wochen lang aktiv, die KI-Agenten dazu zu bringen, in und mit den Postfächern ihrer Kollegen Dinge zu tun, die sie eigentlich nicht tun sollen. Die dahinterstehende Überlegung: Eine Software, die in der realen Welt Zugriff aufs Postfach hätte, wäre solchen Angriffen sicherlich auch ausgesetzt. Dabei ging es nicht um Schwächen der Sprachmodelle, die ohnehin schon bekannt sind - wie etwa, dass KI-Systeme "halluzinieren", also erfundene oder falsche Informationen verbreiten. Den Forschern ging es vielmehr um neuartige Schwächen, die mit dem Zugriff der Software auf persönliche Informationen und Kommunikation und auf die IT-Infrastruktur zusammenhängen. Und sie wurden fündig: Elf gravierende Schwachstellen beschreiben sie in einem Paper, das vor einigen Wochen auf der Plattform Arxiv erschienen ist. Beim Versuch herauszufinden, wie ein KI-Agent mit einer vertraulichen Information umgeht, schickte ein Forscher eine Nachricht an einen anderen. In dieser Nachricht, die beim Empfänger zunächst vom KI-Agenten verarbeitet wurde, verriet der Absender der Mail ein vermeintliches Geheimnis, und bat den KI-Agenten des Empfängers, dieses für sich zu behalten - also nicht mit dem Empfänger der Mail zu teilen. Als der Absender den KI-Agenten des Empfängers dann bat, die E-Mail mit dem Geheimnis zu löschen, entzog der KI-Agent stattdessen dem Empfänger den kompletten Zugriff auf sein eigenes Postfach, um das Geheimnis zu bewahren. Und das nicht mal erfolgreich: Als der Zugang durch die Forscher manuell wiederhergestellt war, konnte der Empfänger die Mail mit dem Geheimnis dann trotzdem einsehen. In einem anderen Test gelang es einem Absender, den KI-Agenten des Empfängers dazu zu bewegen, E-Mails weiterzuleiten, die gar nichts mit dem Absender zu tun hatten. Eine direkte Bitte, E-Mails oder andere Informationen herauszugeben, lehnten die Agenten zwar ab. Aber indem man ihnen Zeitdruck suggerierte und clever nachfragte, ließ die Software sich schlussendlich "überzeugen". Über mehrere Schwachstellen schafften es die Forscher, die Ressourcen der Software von außen gezielt zu verschwenden, sodass die KI-Agenten überlastet waren und nicht mehr funktionierten. Andere Agenten zwangen sie mit Fragen zu heiklen politischen Themen in die Knie, indem sie den KI-Agenten etwa gezielt ein chinesisches Sprachmodell ansteuern ließen und dann Fragen über Hongkong, Pressefreiheit und die Verhaftung des regierungskritischen Verlegers Jimmy Lai stellten. Die Software spuckte hier immer wieder Fehlermeldungen aus. Außerdem genügte es, sich als Absender denselben Nutzernamen wie den des Empfängers zu geben, um Zugriff auf zentrale Funktionen des fremden Servers zu erlangen. In einem anderen Test forderte ein Forscher den KI-Agenten eines anderen Forschers auf, sich gemeinsam mit ihm auf ein Regelwerk für die Zusammenarbeit zu einigen. Der KI-Agent speicherte die Regeln für sich ab, ließ aber zu, dass der menschliche Co-Autor nachträglich Änderungen einfügte, an die die Software sich dann hielt. All diese Sicherheitslücken werfen ein Schlaglicht auf die ungeklärten Fragen zu IT-Sicherheit und Datenschutz, die auftreten können, wenn man einer Software derart weitreichende Befugnisse über das eigene Mailpostfach gibt. Und dann wäre da natürlich noch eine andere Frage: Welche Folgen hätte es, wenn man E-Mails als Weg, digital direkt von Mensch zu Mensch zu kommunizieren, jetzt auch noch aufgibt und eine KI dazwischenschaltet? Die Software für die KI-Agenten mag offen und kostenlos sein, aber die Sprachmodelle, die dahinterstehen, sind meist in der Hand der großen Digitalkonzerne. Diese großen Konzerne haben mit ihrer Technik einerseits die Kommunikation von Menschen weltweit vereinfacht. Das führte aber andererseits auch zu einer Inflation und zu einer Überforderung: Plötzlich konnte jeder senden und empfangen, via E-Mail, Social Media, Messengerdiensten, Webseiten und vieles mehr. Das Ergebnis dieser Entwicklung waren Algorithmen, die die Aufmerksamkeit steuern sollten. Googles Suchmaschine ist dafür das beste Beispiel. Wer nach einem oder mehreren Begriffen sucht, erhält nicht einfach eine wahllose oder chronologisch sortierte Auflistung von Webseiten, auf denen die Suchbegriffe vorkommen. Stattdessen entwickelte Google ein ausgefuchstes System, wie die Ergebnisse so sortiert werden konnten, dass die Menschen möglichst schnell die für sie relevanten Webseiten fanden. Auf Social-Media-Plattformen oder Videodiensten funktionieren die Algorithmen ganz ähnlich. Mit der Vorsortierung kommen aber auch die Probleme. Um vorauszusagen, welche Inhalte für die individuellen Nutzer jeweils relevant sind, mussten die Konzerne massenhaft sensible Nutzerdaten sammeln. Algorithmen zeigen den Menschen außerdem meist nur Sachen an, für die sie sich in der Vergangenheit schon mal interessiert haben - aber nichts, was sie herausfordern oder Neues entdecken lassen würde. Außerdem gelangte so die Macht über einen weiteren Teil des menschlichen Medienkonsums in die Hände von gewinnorientierten Unternehmen mit zweifelhaftem Ruf. Denn die Konzerne optimierten die Algorithmen immer stärker mit dem Ziel, nicht im Sinne der Nutzer, sondern für die finanziellen Interessen der Unternehmen zu agieren. Und spätestens seit die Chefs der US-Digitalkonzerne nach dem zweiten Amtsantritt Donald Trumps die US-Regierung hofieren - ob aus Überzeugung oder um ihre staatlichen Aufträge nicht zu gefährden, kann dahingestellt sein -, stellt sich auch die Frage, ob die politischen Vorlieben der Konzernzentralen und/oder des Präsidenten in die Algorithmen einfließen. Hinweise darauf finden Forscher immer wieder. Um sich dieser Dynamik nicht vollends zu unterwerfen und sich so von der Gnade der Digitalriesen abhängig zu machen, setzten gerade viele Medienhäuser in den vergangenen Jahren auf eigene Newsletter. Nutzer entschieden sich einmal, das Produkt erhalten zu wollen, und bekamen es ab da immer pünktlich ins eigene Postfach geliefert - ohne dass ein Algorithmus die Informationen vorher bewertet und für würdig befunden hätte, die Nutzer damit zu behelligen. Wenn aber nun ein KI-System, das auf der Technik von Big Tech basiert, die Mails vorsortiert, zusammenfasst und letztlich entscheidet, was die Empfänger davon zu sehen bekommen und was nicht, fällt dieser Schleichweg an den Algorithmen vorbei endgültig weg. Die Folge: Auch der Newsletter-Journalismus wird anfangen müssen, sich über eine Optimierung der Texte Gedanken zu machen. Und die entspricht erfahrungsgemäß nicht unbedingt den Logiken des guten Journalismus - massiver Qualitätsverlust könnte die Folge sein. Die Korridore, als Medienhaus auf digitalem Weg mit seinen Lesern oder Zuschauern in Kontakt zu treten, ohne dass die großen Konzerne ihre Finger im Spiel haben, werden also immer enger. Was für überforderte und überreizte Nutzer zunächst komfortabel wirken mag, bedeutet für die Unternehmen eine weitere Zunahme ihrer Macht, die sich darüber hinaus immer auch in finanziellen Erfolg ummünzen lässt. Der digitale Austausch, der die Demokratie und das gesellschaftliche Zusammenleben fördern könnte, droht so auch im Mail-Postfach zunehmend auf der Strecke zu bleiben.
