Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. mit dem Ende des Web durch KI-Suche, nicht gelöschten Signal-Chats und ob man für KI Leitplanken setzen kann und wie man KI übertölpelt. Aber auch mit einer gehörigen Portion Souveränität.
Bei Google sucht jetzt die KI
Google hat letzte Woche an der jährlichen Entwickler-Konferenz Google I/O angekündigt, bei der klassischen Google-Suche verstärkt auf KI zu setzen. Die Zeit, als die Google-Suche aus einem einfachen Textfeld bestand, ist ja schon länger vorbei, und neben Werbung in den Suchergebnissen ist der erste Treffer schon seit einigen Monaten eine KI-generierte Zusammenfassung. Interessanterweise hat dies zu einer verstärkten Nutzung von Google geführt, und zu mehr als 1 Milliarde Suchanfragen pro Monat. Ars Technica erklärt dies damit, dass die pseudo-interaktive Art des KI-Modus zu Suchen im Unterhaltungsstil führt, und natürlich jede dieser Interaktionen eine weitere Suchanfrage darstellt.
Weiter ausbauen wird Google in den kommenden Monaten die KI-Fähigkeiten der Suchseite. Diese wird sich daher verstärkt in Richtung Chatbot entwickeln und verstärkt darauf setzen, Benutzerfragen direkt auf der Google-Seite zu beantworten. Je nach Anfrage ist es ja heute schon so, dass Google Resultate so aufbereitet, dass ein Besuch der Quellseite überflüssig wird. In Zukunft soll dies vermehrt geschehen, und auch zu interaktiven Ergebnissen führen, mit welchen man anschliessend (wenn man zum Beispiel nach mathematischen Konzepten fragt) experimentieren kann.
Leidtragende dieser Änderungen sind unterm Strich die Anbieter der Seiten, bei denen Google die relevanten Informationen abholt und aufbereitet. Sie werden in Zukunft weniger Traffic erhalten, was sich direkt auf allfällige Werbeeinnahmen auswirken dürfte, und generell Webseiten zu Content-Lieferanten für Google (und KI-Anbieter generell) macht. Der zukünftigen Entwicklung des offenen Webs dürfte diese Entwicklung nicht zuträglich sein.
Wer sich dieser Entwicklung ein Stückchen weit entziehen möchte (und vielleicht auch vermeiden möchte, dass 10 % seiner Suchanfragen von der KI schlicht falsch beantwortet werden), wird bei Produkten wie Startpage, Duckduckgo oder Ecosia fündig (und wer bereit ist, für Websuche zu bezahlen, ist mit Kagi gut bedient). Auch diese Anbieter erlauben teilweise KI-basierte Suchen, diese müssen aber entweder explizit ausgewählt werden oder sind zumindest nicht so allumfassend wie der Ansatz von Google.
Und noch mehr Google-KI
Generell war die Google-IO-Konferenz sehr stark auf KI ausgerichtet, was sich unter anderem bei einer Zusammenfassung der Keynote zeigt. Generell waren die Ankündigungen aber so zahlreich, dass es schwierig war, den Überblick zu behalten. The Verge hat einige davon glücklicherweise bereits zusammengefasst, darunter finden sich unter anderem folgende:
- Es gibt (nicht ganz unerwartet) neue KI-Modelle für die Erzeugung von Texten wie auch von audiovisuellen Inhalten.
- Mit Gemini Spark ist neu ein KI-Agent im Angebot welcher ähnlich wie OpenClaw verschiedene Applikationen kombinieren und den Benutzern so unterstützen soll. Der Fokus liegt für Google dabei primär auf der Verknüpfung von Webapplikationen (nicht nur derjenigen von Google selbst). Ob Spark im Vergleich zu OpenClaw besser davor schützt, durch einen unkontrollierten Agenten Daten zu verlieren oder Bestellungen für Tausende von Franken zu tätigen, wird die Zukunft zeigen.
- Die Entwicklungsumgebung für Android erlaubt neu, Apps als ganzes durch KI vibe-coden zu lassen. Die Flut an schnell auf den Markt geworfenen Über-Nacht-Entwicklungen wird dadurch auch im Google Play Store weiter zunehmen, verbunden mit den bereits bekannten Problemen bezüglich Sicherheit, mittelfristiger Wartung und Nachhaltigkeit an sich.
Auch Google dreht die KI-Spirale also weiter und hofft, dass es sich nicht nur um eine Blase handelt. Dabei profitiert das Unternehmen weiterhin doppelt vom Boom: Einerseits werden die eigenen Produkte um KI angereichert auf den Markt gebracht, andererseits sind die Google Cloud-Services für die eigentlichen KI-Anbieter als Rechenzentren unentbehrlich. Das dürfte gut gehen, solange sich die KI-Blase weiter aufbläht …
Gelöschte Signal-Chats leben länger
Wie ein finnischer Sicherheitsforscher herausgefunden hat, bleiben vom User (oder automatisch) gelöschte Signal-Nachrichten länger erhalten als man dies erwarten würde. Konkret entsteht das Problem dadurch, dass Signal der für die Speicherung der Nachrichten in der App integrierten Datenbank zwar den Auftrag zum Löschen von Nachrichten gibt, die physische Löschung aber erst beim nächsten Zurückschreiben der Datenbank auf die jeweilige Disk erfolgt. In der Zeitspanne zwischen dem Löschbefehl und dem Zurückschreiben bleiben die in der App selber nicht mehr sichtbaren Nachrichten in der Datenbank, und können ohne Verwendung von Signal ausgelesen werden. Die Häufigkeit des Zurückschreibens hängt dabei von der Intensität der Signal-Nutzung ab: Wer nur wöchentlich eine oder zwei Signal-Nachrichten verschickt, ist stärker betroffen als jemand welcher pro Tag 100e empfängt oder sendet.
Betroffen davon sind gemäss dem Entdecker die Desktop-Applikationen von Signal sowie die Android-App, auf iOS scheint das Problem nicht zu bestehen. Wer bis zur Behebung des Problems auf Nummer Sicher gehen will, startet Signal nach dem Löschen vertraulicher Nachrichten neu (dadurch wird die Datenbank auf die Disk zurückgeschrieben und die Schattennachrichten gelöscht).
KI ohne Leitplanken
Moderne KI-Systeme haben Leitplanken und Schutzfunktionen, welche dazu beitragen sollen, Fehlfunktionen zu reduzieren. Konkret sollen damit Halluzinationen (also das Erfinden von „Tatsachen“ durch die KI) reduziert und Datenabflüsse (durch zum Beispiel in den Model-Daten enthaltene Passwörter) vermieden werden. Leitplanken existieren auch, um Manipulationen von Modellen durch präparierte Prompts zu verhindern.
Diese Schutzfunktionen sind allerdings bei weitem nicht so stark wie man vielleicht meinen könnte. Wie die Financial Times schreibt, lassen sich Modelle mit wenig Aufwand dazu bringen, auch Resultate zu produzieren welche über den ursprünglichen Zweck hinausgehen. Hierzu reicht das auf Github verfügbare Tool Heretic aus, mit welchem die Journalisten die Schutzfunktionen des Llama 3.3-Models von Meta innert 10 Minuten entfernen konnten. Dem so modifizierten Modell konnten anschliessend problemlos Informationen über die notwendige Dosierung tödlicher Wirkstoffe oder Geschichten mit Kindesmissbrauch entlockt werden.
Überraschend kommt das vermutlich nicht, auch KI-Modelle sind schlussendlich einfach Daten, welche sich manipulieren lassen. Bewusst sein muss man sich allerdings folgendes:
- Öffentliche Versprechen von KI-Anbietern, ihre Modelle „sicher“ zu gestalten, sind schlussendlich wenig wert, wenn diese Sicherheit einfach ausgehebelt werden kann
- Die Diskussionen über den beschränkten Einsatz von OpenAI- und Anthropic-Modellen für militärische Zwecke wirken etwas vorgeschoben. Wenn schon Privatpersonen innert weniger Minuten die Sicherheitsfunktionen eines Modells aushebeln können, dürfte das für das US-Militär ein Kinderspiel sein.
Übrigens: Anthropic sagt seinen Modellen sogar explizit, wann sie für Sicherheitslücken ausnutzen dürfen. Du musst ihnen einfach sagen, dass du an einem Hacking-Wettbewerb teilnimmst oder Sicherheitsforscher seist. Steht so in den vor ein paar Wochen geleakten Anweisungen in Claude Code. Und in der Schweiz sollen sich Anbieter von generativer KI einer Bewertung von Risiken und Schäden unterziehen, wie der Bundesrat auf eine Motion von Raphaël Mahaim antwortet.
Leitplanken sind schwierig für Haushaltsroboter
IEEE Spectrum hat Jae-Seong Lee zur Sicherheit bei Haushaltsrobotern interviewt. Aktuell wird nämlich über ein Update des ISO-Standards für Betreuungsroboter diskutiert. ISO 13482 hat nämlich schon 12 Jahre auf dem Buckel, eine Ewigkeit in diesem Feld. Lee beschreibt die Schwierigkeit der Beschreibung der Betriebsparameter von humanoiden Robotern im Haushalt. Auf die Frage, weshalb Ingenieure nicht einfach die Rahmenbedingungen für den sicheren Einsatz von solchen Robotern klarer definieren können, antwortet er:
Because the value proposition of a domestic humanoid depends on operating in uncontrolled environments. A robot that is safe only in standardized rooms, with healthy adults, under well-defined conditions is not really a domestic humanoid at all.
Auf Deutsch etwa: Der erwartete Wert eines heimischen Humanoiden besteht darin, dass er in einer beliebigen Umgebung arbeiten kann, ohne Einschränkungen. Ein Roboter der nur in standardisierten Räumen mit gesunden Erwachsenen unter wohldefinierten Bedingungen interagieren soll, der ist nicht wirklich ein Haushaltshumanoide.
Jae-Seong Lee in Home Robot Safety Is All About Relationships, IEEE Spectrum, 2026-05-19.
Autonome Allzweck-Haushaltsroboter werden also wohl noch etwas auf sich warten lassen. Ausser, wir lassen sie von Menschen fernsteuern. Was aber diverse ethische Fragen aufwirft und im Prinzip zu einer perfektionierten Apartheid 2.0 führt.
Audio-Sprachmodelle übertölpeln
Schon vor Jahren haben Forscher mit Ultraschall erfolgreich unhörbare Sprachanweisungen an die heimischen Audio-Assistenten geschickt, welche diese dann umgesetzt haben.
Nun hat ein chinesisches Forschungsteam diese Angriffe auf heimische Smart Speaker einen Schritt weiter gebracht, wie IEEE Spectrum berichtet. So unterlegten sie eine normale Sprachnachricht mit etwas, was für Menschen nach einer harmlosen Übertragungsstörung auf der Leitung klingt (hier gibt es Audiosamples davon). Diese „Störungen“ verändern die Bedeutung der Sprache für die Audio-Verständnis-KIs komplett.
Wer vom Ansatz her verstehen möchte, wie so etwas funktioniert: Wir haben diese Angriffe bei DNIP vor 4 Jahren mal für Bilder beschrieben: Die Idee dort ist, mittels kleinflächiger starker Änderungen oder grossflächigen minimalen Änderungen ein Stop-Schild als Geschwindigkeitstafel gegenüber Machine-Learning-Modellen erscheinen zu lassen. Oder ein Faultier als Rennauto klassifizieren zu lassen. (Hier sehr vereinfacht, mehr Infos im Artikel.)
Und schliesslich:
- Auch die Stadt Zürich will den hybriden Ansatz zur digitalen Souveränität ausprobieren und für gewisse Arbeiten versuchsweise auf OpenDesk statt Microsoft 365 setzen. Wir sind gespannt auf die Resultate.
- In Österreich ist das Heer ganz weg von Microsoft 365. Sie nutzen LibreOffice, wie auch schon seit über 10 Jahren das Bundesgericht.
- Ebenfalls in Österreich hat das Bundesministerium für Wirtschaft, Energie und Tourismus innert zehn Monaten 1200 Mitarbeitende von Sharepoint/Teams auf Nextcloud Files/Talk umgestellt. Das ganze „hybrid“, also immer noch Outlook für Mails etc. und Teams für externe Meetings, aber von dort auch Zugang zu Nextcloud Files.
