OpenAI waarschuwt: slimme AI-browsers brengen nieuwe risico’s met zich mee

AI-browsers beloven een toekomst waarin digitale taken eenvoudig geautomatiseerd worden in je browser. Denk aan mailtjes versturen, documenten uitwerken, afspraken plannen: het lijkt slechts een kwestie van tijd voordat dit allemaal automatisch gebeurt via eenvoudige interfaces, zoals je browser. Toch groeit onder de oppervlakte een ongemakkelijke vraag. Wat gebeurt er als zo’n slimme browser niet alleen luistert naar jou, maar ook naar verborgen instructies die je zelf nooit ziet?

OpenAI erkent inmiddels openlijk dat prompt injection aanvallen bij AI-browsers waarschijnlijk nooit volledig verdwijnen, zo deelt het bedrijf in een recente blog post. Prompt injection is een aanvalstechniek waarbij kwaadwillende instructies worden verstopt in webpagina’s, documenten of e-mails, zodat een AI-agent die instructies opvolgt zonder dat de gebruiker dat doorheeft. Volgens OpenAI is dit probleem te vergelijken met phishing en social engineering: zolang systemen met open web content werken, blijft het risico bestaan.

De discussie laaide op rond de AI-browser ChatGPT Atlas van OpenAI. Deze browser werkt met een zogeheten agent mode, waarbij de AI niet alleen informatie leest, maar ook zelfstandig acties uitvoert. Denk aan berichten sturen, formulieren invullen of agenda’s aanpassen. Die extra autonomie vergroot het gemak, maar ook het aanvalsoppervlak.

Kort na de lancering toonden onderzoekers al aan hoe kwetsbaar dit kan zijn. In een experiment bleek het mogelijk om verborgen instructies in een Google Docs-bestand te plaatsen, waardoor de browser zijn gedrag veranderde. De gebruiker zag een normaal document, maar de AI kreeg ondertussen andere opdrachten mee.

OpenAI staat niet alleen in deze zorgen. Ook andere partijen waarschuwen dat indirecte prompt injection een structureel probleem is voor AI-browsers. De Britse National Cyber Security Centre stelt zelfs dat dit type aanval mogelijk nooit volledig te mitigeren is. De focus moet daarom liggen op risicobeperking, niet op een illusie van totale veiligheid.

OpenAI benadrukt dat veilig gebruik niet alleen een technische kwestie is, maar ook een verantwoordelijkheid van de gebruiker. Het advies is om AI-browsers zo min mogelijk rechten te geven. Laat ze bijvoorbeeld niet automatisch ingelogd zijn op e-mail of betaalde accounts.

Daarnaast is het verstandig om bevestiging te eisen bij gevoelige acties, zoals het versturen van berichten of het doen van betalingen. Ook helpt het om duidelijke en beperkte instructies te geven, in plaats van vage opdrachten met te veel vrijheid.