Direkt zum Hauptinhalt

Ihr KI-Agent ist gerade zum Kriminellen geworden: Wie das Perplexity-Urteil von Amazon die Regeln für autonome Software neu schreibt

· 10 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Ein Bundesrichter in San Francisco hat gerade eine Grenze gezogen, die jeder Entwickler, der KI-Agenten baut, verstehen muss. Am 9. März 2026 entschied Richterin Maxine M. Chesney, dass der Comet-Browser von Perplexity sowohl gegen den bundesweiten Computer Fraud and Abuse Act (CFAA) als auch gegen den Comprehensive Computer Data Access and Fraud Act von Kalifornien verstoßen hat, indem er im Namen von Benutzern auf Amazon-Konten zugegriffen hat – selbst wenn diese Benutzer ausdrücklich ihre Erlaubnis erteilt hatten. Die entscheidende Unterscheidung: Die Autorisierung durch den Benutzer ist nicht dasselbe wie die Autorisierung durch die Plattform.

Dieses Urteil betrifft nicht nur Perplexity. Es kriminalisiert potenziell eine ganze Klasse von Verhaltensweisen von KI-Agenten, die hunderte von Startups, Krypto-Protokollen und Web3-Projekten derzeit entwickeln.

Was Comet von Perplexity tatsächlich getan hat

Perplexity brachte Comet im Juli 2025 als KI-zentrierten Browser auf Basis von Chromium auf den Markt. Im Gegensatz zu einer herkömmlichen Browser-Erweiterung oder einem Chatbot-Overlay bettete Comet große Sprachmodelle direkt in die Kernarchitektur des Browsers ein und ermöglichte das, was das Unternehmen als "agentische Aufgabenausführung" (agentic task execution) bezeichnete. Benutzer konnten Comet anweisen, Preisvergleiche auf verschiedenen Websites durchzuführen, sich in ihre Konten einzuloggen, Artikel in den Warenkorb zu legen und Käufe abzuschließen – alles autonom.

Der Amazon-Konflikt begann bereits lange vor dem Gerichtssaal zu eskalieren. Laut Gerichtsunterlagen warnte Amazon Perplexity ab November 2024 mindestens fünfmal davor, Comet den Zugriff auf die Systeme von Amazon zu verweigern. Im August 2025 errichtete Amazon eine technische Barriere, um Comet zu blockieren. Perplexity reagierte innerhalb von 24 Stunden mit einem Software-Update, um diese zu umgehen.

Amazon reichte seine Bundesklage am 4. November 2025 ein und argumentierte, dass Perplexity den KI-Agenten von Comet absichtlich als reguläre Google Chrome-Browsersitzung getarnt habe, um der Entdeckung zu entgehen. Die im März 2026 erlassene einstweilige Verfügung untersagte Comet nicht nur den Zugriff auf die passwortgeschützten Systeme von Amazon, sondern verpflichtete Perplexity auch dazu, alle gesammelten Amazon-Daten zu vernichten.

Das rechtliche Erdbeben: Benutzererlaubnis vs. Plattformautorisierung

Die folgenreichste Erkenntnis des Urteils lässt sich in einem einzigen Satz aus der Stellungnahme von Richterin Chesney zusammenfassen: Comet griff auf Amazon-Konten zu, "mit der Erlaubnis des Amazon-Benutzers, aber ohne Autorisierung durch Amazon."

Diese Unterscheidung klingt einfach, aber ihre Auswirkungen sind tiefgreifend. Seit Jahrzehnten ist die Anforderung der "Autorisierung" im CFAA ein umkämpftes rechtliches Terrain. Der Oberste Gerichtshof der USA schränkte den Anwendungsbereich des CFAA in der Rechtssache Van Buren v. United States (2021) ein, aber in diesem Fall ging es um einen Mitarbeiter, der seine Zugriffsbefugnisse auf einem System überschritt, für das er ansonsten zugelassen war. Der Fall Amazon v. Perplexity stellt eine grundlegend andere Frage: Wenn ein KI-Agent im Namen eines Benutzers handelt, wessen Autorisierung zählt?

Die Antwort von Richterin Chesney ist eindeutig: die der Plattform. Die Frage ist nicht mehr nur, ob ein Benutzer zustimmt, dass eine KI in seinem Namen handelt. Die Frage ist, ob die Plattform, auf der diese Aktion stattfindet, zugestimmt hat, dass überhaupt ein KI-Agent erscheint.

Dies schafft drei kritische rote Linien für Entwickler:

  1. Zugriff auf Kontodaten: Jeder KI-Agent, der Kundendaten verwendet, um sich ohne explizite Zustimmung der Plattform bei einem Drittanbieter anzumelden, riskiert eine Haftung nach dem CFAA.
  2. Passwortgeschützte Bereiche: Der Zugriff auf Bereiche hinter Authentifizierungs-Schranken – selbst mit gültigen Benutzerdaten – stellt einen unbefugten Zugriff dar, wenn die Plattform den Agenten nicht genehmigt hat.
  3. Fortsetzung nach Plattform-Warnungen: Die Entscheidung von Perplexity, die technischen Blockaden von Amazon nach Erhalt ausdrücklicher Warnungen zu umgehen, stärkte die Position von Amazon erheblich.

Warum dies über das Online-Shopping hinaus wichtig ist

Die unmittelbare Einordnung dieses Falls als Streitigkeit im Bereich des "Agentic Commerce" unterschätzt seine Reichweite. Das Rechtsprinzip – dass die Autorisierung der Plattform Vorrang vor der Autorisierung des Benutzers hat – gilt gleichermaßen für KI-Agenten, die in den Bereichen Finanzdienstleistungen, soziale Medien, Gesundheitsportale, Enterprise SaaS und vor allem im Bereich Decentralized Finance (DeFi) tätig sind.

Betrachten wir die aktuelle Landschaft. Mehr als 68 % der neuen DeFi-Protokolle, die im ersten Quartal 2026 eingeführt wurden, enthielten autonome KI-Agenten. KI-Agenten machen mittlerweile etwa 18 % des gesamten Volumens an Prognosemärkten aus. 41 % der Krypto-Hedgefonds nutzen oder testen aktiv On-Chain-KI-Agenten. Die gesamte These von agentischer KI im Web3 – autonome Agenten, die Swaps ausführen, Portfolios verwalten und mit Protokollen interagieren – hängt davon ab, dass die Frage der Autorisierung korrekt beantwortet wird.

Der Unterschied im Web3 besteht darin, dass viele Protokolle konstruktionsbedingt "permissionless" (erlaubnisfrei) sind. Eine dezentrale Börse hat keine Nutzungsbedingungen im herkömmlichen Sinne. Smart Contracts werden auf der Grundlage gültiger Transaktionen ausgeführt, nicht darauf basierend, ob der Aufrufer ein Mensch oder ein Bot ist. Das Perplexity-Urteil schafft jedoch einen Präzedenzfall, der sich auf jede Plattform mit minimalen Zugriffskontrollen erstrecken könnte – sei es durch API-Ratenbegrenzungen, Einschränkungen in den Nutzungsbedingungen oder Authentifizierungsanforderungen.

Für zentralisierte Börsen und CeFi-Plattformen sind die Auswirkungen unmittelbar. Ein KI-Handelsagent, der sich mit gespeicherten Zugangsdaten in das Coinbase- oder Binance-Konto eines Benutzers einloggt – selbst mit der vollen Zustimmung des Benutzers –, könnte denselben rechtlichen Risiken ausgesetzt sein wie Comet.

Die Weggabelung: APIs vs. Zugriff über Anmeldedaten

Das Urteil zwingt das Ökosystem der KI-Agenten faktisch in eines von zwei Architekturmodellen.

Modell 1: Plattform-autorisierte APIs

Der „sichere“ Pfad erfordert, dass KI-Agenten ausschließlich über offizielle APIs und Partnervereinbarungen agieren. Dies zeichnet sich bereits ab:

  • Googles Universal Commerce Protocol (UCP), das im Januar 2026 mit über 20 Partnern wie Shopify, Target und Walmart angekündigt wurde, schafft einen offenen Standard für agentenbasierten Handel, der mit der bestehenden Einzelhandelsinfrastruktur funktioniert.
  • OpenAI und Stripes Agentic Commerce Protocol (ACP) treibt den Instant Checkout innerhalb von ChatGPT voran und konzentriert sich speziell auf die Checkout-Ebene.
  • Bybits AI Trading Skills stellen 253 API-Endpunkte für den Handel in natürlicher Sprache bereit, sodass Agenten Transaktionen ohne Zugriff auf Anmeldedaten ausführen können.

Diese Protokolle teilen eine gemeinsame Architektur: Die Plattform autorisiert explizit Interaktionen von Agenten über definierte Schnittstellen, Ratenbegrenzungen und Berechtigungsumfänge. Der Agent kommt nie direkt mit den Anmeldedaten des Benutzers in Berührung.

Modell 2: Zugriff auf Basis von Anmeldedaten (jetzt rechtlich riskant)

Die Alternative – KI-Agenten, die vom Benutzer bereitgestellte Anmeldedaten verwenden, um auf Plattformen so zuzugreifen, als wären sie der Benutzer selbst – ist das, was Perplexity versucht hat. Nach diesem Urteil birgt dieses Modell eine potenzielle strafrechtliche Haftung unter dem CFAA, unabhängig von der Zustimmung des Benutzers.

Für Web3 ist diese Weggabelung von besonderer Bedeutung. Dezentrale Protokolle bevorzugen naturgemäß das API-Modell – Smart-Contract-Interaktionen sind inhärent erlaubnisfrei (permissionless) und erfordern kein Spoofing von Anmeldedaten. Aber hybride Architekturen, die eine Brücke zwischen zentralisierten und dezentralisierten Systemen schlagen (beispielsweise die Verbindung des Bankkontos eines Benutzers mit einem DeFi-Protokoll), müssen diese Unterscheidung sorgfältig navigieren.

Chinas „kontrollierte Offenheit“ als Gegenpol

Während US-Gerichte die Grenzen von KI-Agenten durch Rechtsstreitigkeiten definieren, nähert sich China dem Problem über die regulatorische Architektur an. Die Fragmentierung des chinesischen mobilen Ökosystems – in dem verschiedene Apps und Dienste nicht miteinander interagieren oder Daten austauschen – stellt eine strukturelle Herausforderung für KI-Agenten dar, die über mehrere Super-Apps und Geräte hinweg agieren müssen.

Der Doubao-KI-Agent von ByteDance sieht sich beispielsweise potenziellen Kartellbeschränkungen gegenüber, die verhindern, dass er Nutzer auf die E-Commerce-Plattform von Douyin leitet. Alipays „AI Life Manager“ Zhixiabao operiert innerhalb des geschlossenen Systems (Walled Garden) der Ant Group. Das entstehende chinesische Modell betrachtet KI-Agenten als potenzielle „digitale Gatekeeper“ und wendet einen Rahmen für kontrollierte Offenheit an, bei dem der Zugriff verwaltet wird, um monopolistisches Verhalten zu verhindern.

Der Kontrast ist aufschlussreich. Der US-Ansatz, wie er im Perplexity-Urteil zum Ausdruck kommt, gibt Plattformen die Macht, KI-Agenten durch Nutzungsbedingungen vollständig zu blockieren. Chinas Ansatz schränkt potenziell die Fähigkeit von Plattformen ein, den Zugriff von Agenten zu beschränken, wenn dies wettbewerbswidrige Auswirkungen hat. Keines der beiden Modelle löst das Spannungsverhältnis zwischen Benutzerautonomie und Plattformkontrolle vollständig auf.

Der Joker des Ninth Circuit

Perplexity legte am 11. März 2026 Berufung gegen die einstweilige Verfügung ein. Die Überprüfung durch den Ninth Circuit (Neunter US-Berufungsgerichtshof) stellt einen entscheidenden Wendepunkt für die gesamte KI-Agenten-Branche dar.

Sollte das Berufungsgericht die Verfügung bestätigen, wird der CFAA zu einem mächtigen Werkzeug für jede Plattform, um KI-Agenten unabhängig von der Zustimmung des Benutzers zu blockieren. Verstöße gegen Nutzungsbedingungen könnten den Tatbestand des Computerbetrugs auf Bundesebene erfüllen. Jeder Entwickler von KI-Agenten bräuchte Autorisierungsvereinbarungen mit jeder einzelnen Plattform – was die Macht grundlegend in Richtung der etablierten Plattformen verschieben würde.

Falls der Ninth Circuit das Urteil aufhebt, signalisiert dies, dass die Autorisierung durch den Benutzer ausreicht und Plattformen keine Betrugsgesetze anführen können, um Tools zu blockieren, die Benutzer explizit aktiviert haben. Dies würde die Vision des „persönlichen KI-Agenten“ bewahren, bei dem Benutzer kontrollieren, wie sie mit dem Web interagieren, würde aber auch die Fähigkeit der Plattformen einschränken, ihre Ökosysteme vor unerwünschtem automatisiertem Zugriff zu schützen.

Rechtswissenschaftler stellen fest, dass keines der beiden Ergebnisse allen Interessen perfekt gerecht wird. Ein Benutzer, der seinem KI-Agenten Zugriff auf sein Amazon-Konto gewährt, übt eine Form von Verbraucherautonomie aus. Amazon hat jedoch legitime Interessen daran zu kontrollieren, wie auf seine Systeme zugegriffen wird, Scraping zu verhindern und die Integrität seines Marktplatzes zu wahren.

Was Entwickler jetzt tun sollten

Das Urteil schafft unmittelbaren Handlungsbedarf für jeden, der KI-Agenten entwickelt:

Überprüfen Sie Ihre Zugriffsmuster. Wenn Ihr Agent unter Verwendung von Benutzer-Anmeldedaten auf eine Plattform eines Drittanbieters zugreift, müssen Sie prüfen, ob die Plattform diesen Zugriff explizit autorisiert hat. Stillschweigende Duldung (die Plattform hat Sie noch nicht blockiert) ist nicht dasselbe wie eine Autorisierung.

Setzen Sie auf API-First-Architekturen. Entwerfen Sie Agenten so, dass sie über offizielle APIs, MCP-Integrationen (Model Context Protocol) und plattformseitig autorisierte Endpunkte interagieren. Googles UCP und OpenAIs ACP bieten hierfür entstehende Standards.

Dokumentieren Sie Autorisierungsketten. Führen Sie klare Aufzeichnungen darüber, welche Plattformen den Zugriff Ihres Agenten autorisiert haben, über welche Mechanismen und unter welchen Bedingungen.

Beachten Sie den Web3-Vorteil. Erlaubnisfreie Smart-Contract-Interaktionen sind nicht demselben CFAA-Risiko ausgesetzt wie der auf Anmeldedaten basierende Zugriff auf zentralisierte Plattformen. Protokolle, die auf öffentlichen Blockchains aufbauen, arbeiten mit einem grundlegend anderen Autorisierungsmodell – gültige Transaktionen werden durch die Regeln des Protokolls selbst autorisiert, nicht durch Nutzungsbedingungen.

Beobachten Sie den Ninth Circuit. Das Berufungsurteil wird voraussichtlich im dritten oder vierten Quartal 2026 ergehen und wird den aktuellen Präzedenzfall entweder festigen oder revidieren.

Das Gesamtbild : Wer kontrolliert die Agent-Ebene ?

Der Fall Amazon gegen Perplexity stellt letztlich eine Frage , die das nächste Jahrzehnt der Computertechnik definieren wird : ** Wer kontrolliert die Ebene zwischen Nutzern und Plattformen ? **

Im Web vor der KI-Ära war die Antwort klar – der Browser . Die Nutzer wählten Chrome , Firefox oder Safari , und diese Browser gaben originalgetreu wieder , was die Plattform anbot . Der Browser war ein neutraler Vermittler .

KI-Agenten verändern diese Dynamik grundlegend . Ein KI-Agent rendert nicht nur die Benutzeroberfläche einer Plattform – er interpretiert , navigiert , vergleicht und agiert innerhalb dieser . Er fasst ganze Shopping-Workflows in einzelnen Befehlen zusammen . Er kann Daten über konkurrierende Plattformen hinweg auf eine Weise aggregieren , die von diesen Plattformen nie beabsichtigt war .

Das Perplexity-Urteil schlägt sich in diesem Machtkampf auf die Seite der Plattformen . Aber die technologische Entwicklung – agentische Handelsprotokolle , erlaubnisfreie Blockchain-Interaktionen und die Nachfrage der Nutzer nach KI-gestützter Autonomie – deutet auf eine Zukunft hin , in der Agenten als autorisierte Vermittler und nicht als unbefugte Eindringlinge agieren .

Die Frage ist , ob diese Zukunft durch Partnerschaften ( offene Protokolle und API-Standards ) oder durch Rechtsstreitigkeiten erreicht wird . Das Urteil von 2026 deutet darauf hin , dass wir beides erleben werden .

  • Für Entwickler , die KI-Agenten erstellen , welche mit Blockchain-Infrastrukturen interagieren , bieten erlaubnisfreie Architekturen einen natürlichen Vorteil . BlockEden.xyz bietet RPC- und API-Endpunkte für über 30 Blockchain-Netzwerke an , die es Agenten ermöglichen , mit On-Chain-Protokollen über genehmigte , offene Schnittstellen zu interagieren – ganz ohne Credential Spoofing .*
Share on Twitter