Auf den Punkt: Die meisten kommerziellen Computer-Use Agents geben routinemäßig Daten aus Kontexten preis, in denen sie nicht relevant sind, weil sie die Grenze zwischen Datenquellen und Handlungskontext nicht respektieren.
Forschende haben gezeigt, dass KI-Agenten, die auf Nutzer:innen-Geräten arbeiten, routinemäßig sensible Daten aus einer Anwendung in eine andere übertragen, wo sie nicht gehören. Ein neuer Bewertungsmaßstab (AgentCIBench) offenbart bei 15 geprüften führenden Agenten Datenlecks in durchschnittlich 67,9% der Szenarien.
Computer-Use Agents (CUAs) sind KI-Systeme, die stellvertretend für Nutzer:innen auf persönlichen Anwendungen wie E-Mail, Kalendern und To-Do-Listen tätig sind. Während dieser Cross-Application-Zugriff funktionell sinnvoll ist, schafft er ein Datenschutzrisiko, das bislang kaum beachtet wurde: Agenten können Informationen aus einem Kontext in einen anderen übertragen, wo sie fehl am Platz sind.
Die Forschenden identifizierten drei häufige Fehlermodi. Der erste ist visuelle Co-Location: Der Agent zieht verbotene Informationen ein, die neben dem eigentlichen Task-Ziel in der Benutzeroberfläche angezeigt werden. Der zweite ist Task-Ambiguity-Overshare: Der Agent gibt dense persönliche Daten aus, wenn der Prompt unterbestimmt ist. Der dritte ist Recipient-Misalignment: Der Agent sendet Inhalte an eine Person, für die sie unangemessen sind. Die Evaluation von 15 führenden Agenten zeigte alarmierende Ergebnisse: 11 der 15 Agenten verursachten Lecks in mehr als 50% der Szenarien, mit einem durchschnittlichen Datenleck von 67,9%. Dieselben Fehler traten auch auf, wenn die Agenten end-to-end in der Umgebung agierten, um eine Aufgabe zu completieren.
Für CTOs bedeutet das konkret: Agenten, die in einer Multi-App-Umgebung eingesetzt werden, können systematisch sensible Daten offenlegen – selbst wenn der einzelne Agent technisch funktioniert. Das ist kein Randfall-Fehler, sondern ein strukturelles Problem bei der aktuellen Generation von Computer-Use-Agenten. Das Team stellt AgentCIBench kostenlos zur Verfügung, um die Entwicklung sicherer Computer-Use-Agenten zu fördern und Contextual-Disclosure-Tests als Pre-Deployment-Sicherheitsprüfung zu etablieren.
Quelle: arxiv.org · Erschienen 21. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.