De opkomst van zogenaamde AI-browsers, die autonoom taken voor gebruikers kunnen uitvoeren, brengt een nieuwe categorie beveiligingsrisico’s met zich mee. Onderzoekers van Straiker STAR Labs hebben een aanvalsmethode gedemonstreerd waarbij cybercriminelen de autonome functies van deze browsers kunnen misbruiken om cloudopslag leeg te halen—en dat zonder dat de gebruiker daar iets voor hoeft te doen.
De ontdekking werpt een verontrustend licht op een technologie die nog in de kinderschoenen staat. Waar traditionele cyberaanvallen vaak afhankelijk zijn van menselijke fouten—denk aan het aanklikken van een verdachte link of het openen van een geïnfecteerd bestand—functioneert deze nieuwe aanvalsvorm volledig automatisch. Een enkele e-mail kan volstaan om de kwaadaardige actie in gang te zetten, zonder dat het slachtoffer daar enige weet van heeft.
Hoe de aanval werkt
In hun onderzoek richtten de beveiligingsexperts zich specifiek op Comet, de AI-browser van zoekmachine Perplexity, in combinatie met Google Drive. De zwakke plek ligt in de autonome aard van deze nieuwe generatie browsers: ze zijn ontworpen om zelfstandig acties uit te voeren op basis van natuurlijke taalinstructies.
De aanval begint met een ogenschijnlijk onschuldige e-mail die instructies bevat in gewone mensentaal. Bijvoorbeeld: een verzoek om de Google Drive “eens op te kuisen” of bestanden te reorganiseren. Voor een traditionele browser zou dit niets meer zijn dan tekst op een scherm. Maar een AI-browser interpreteert dergelijke zinnen als commando’s die direct moeten worden uitgevoerd—zonder tussenkomst of expliciete goedkeuring van de gebruiker.
Het resultaat kan ingrijpend zijn: mappen krijgen nieuwe namen, bestanden worden verplaatst, en in sommige gevallen worden documenten volledig verwijderd. Allemaal uitgevoerd door software die bedoeld was om het leven makkelijker te maken.
Prompt injection in een nieuw jasje
Wat deze aanval bijzonder zorgwekkend maakt, is de eenvoud ervan. Er is geen ingewikkelde malware aan te pas gekomen, geen verborgen code of geraffineerde exploit. De aanvallers maken simpelweg gebruik van natuurlijke taal en de inherente automatisering van AI-browsers.
Beveiligingsexperts herkennen hierin een variant van wat in AI-kringen bekend staat als “prompt injection”—het manipuleren van AI-systemen door ze misleidende of kwaadaardige instructies te geven. We hebben vergelijkbare kwetsbaarheden al eerder gezien bij AI-chatbots, die soms verrassend gemakkelijk te overtuigen zijn om ongewenste acties uit te voeren als de vraag op de juiste manier geformuleerd wordt.
Het probleem wordt verergerd doordat beveiligingssystemen zelden of nooit ingrijpen. Vanuit het perspectief van de AI-browser zijn het immers legitieme instructies van de gebruiker zelf. Er gaat geen alarmbel af, geen bevestigingsvenster verschijnt—de software doet gewoon wat haar wordt opgedragen.
Bredere implicaties voor clouddiensten
Hoewel de demonstratie zich richtte op Comet en Google Drive, wijzen de onderzoekers erop dat de onderliggende kwetsbaarheid waarschijnlijk niet beperkt blijft tot deze specifieke combinatie. Andere AI-browsers en cloudopslagdiensten gebruiken vergelijkbare architecturen en automatiseringsmechanismen, wat hen potentieel even vatbaar maakt voor dit type aanval.
Die vaststelling roept vragen op over de snelheid waarmee tech-bedrijven deze nieuwe technologie op de markt hebben gebracht. AI-browsers worden gepresenteerd als de volgende evolutie in gebruiksvriendelijkheid—software die niet alleen reageert op commando’s, maar actief meedenkt en handelt. Maar zoals zo vaak bij baanbrekende technologie, blijken de beveiligingsimplicaties pas achteraf volledig duidelijk te worden.
Wat kunnen gebruikers doen?
Gelukkig is de situatie niet hopeloos. Er zijn praktische stappen die gebruikers kunnen nemen om hun risico te beperken, al vereist dat wel een proactieve houding.
De meest directe maatregel is het inperken van de rechten die een AI-browser krijgt. De meeste van deze applicaties vragen bij installatie om uitgebreide toegang tot e-mail, cloudopslag en andere diensten. Gebruikers kunnen die permissies selectiever toekennen—bijvoorbeeld alleen leestoegang geven in plaats van volledige schrijf- en verwijderrechten.
Ook de ontwikkelaars van AI-browsers lijken zich bewust te worden van de problematiek. Naar verluidt werken verschillende bedrijven aan aanvullende beveiligingslagen, zoals bevestigingsdialogen voor potentieel gevaarlijke acties. Het automatisch verwijderen van bestanden zou bijvoorbeeld altijd een expliciete goedkeuring van de gebruiker moeten vereisen, ongeacht hoe de instructie is geformuleerd.
Een kat-en-muisspel in de maak
Toch blijft het afwachten hoe effectief dergelijke maatregelen zullen zijn op lange termijn. De geschiedenis van cyberbeveiliging leert dat elke nieuwe verdedigingsmaatregel gevolgd wordt door nieuwe aanvalstechnieken. AI-systemen zijn bijzonder complex en vaak moeilijk volledig te beveiligen tegen manipulatie door slimme aanvallers.
Bovendien zijn de huidige demonstraties relatief mild—het gaat “slechts” om verwijderde bestanden, die in veel gevallen nog uit de prullenbak te herstellen zijn. Maar het is niet moeilijk je ergere scenario’s voor te stellen: gestolen vertrouwelijke documenten, gemanipuleerde financiële gegevens, of aanvallen die zich via meerdere verbonden systemen verspreiden.
Transparantie als wapen
Een cruciaal element in de verdediging tegen dit type aanvallen is gebruikersbewustzijn. Bij traditionele cyberaanvallen helpt het om alert te zijn op verdachte links of vreemde e-mailadressen. Maar bij zero-click aanvallen werkt dat niet—er valt simpelweg niets te vermijden op het moment zelf.
In plaats daarvan moeten gebruikers vooraf nadenken over welke autonomie ze hun software willen geven. Dat vereist een beter begrip van hoe AI-browsers werken en welke risico’s daaraan verbonden zijn. Tech-bedrijven hebben hier een verantwoordelijkheid in transparantie en voorlichting, al is het maar omdat het in hun eigen belang is dat gebruikers vertrouwen blijven houden in hun producten.
De prijs van gemak
De opkomst van AI-browsers illustreert een breder spanningsveld in de technologie-industrie: de constante afweging tussen gebruiksgemak en veiligheid. Hoe autonomer en “slimmer” software wordt, hoe meer potentieel voor misbruik.
Dat betekent niet dat we terug moeten naar de pre-AI tijd. Maar het vraagt wel om een genuanceerdere benadering dan het onkritisch omarmen van elke nieuwe technologische mogelijkheid. AI-browsers kunnen ongetwijfeld nuttig zijn—als ze op de juiste manier ontworpen en ingezet worden, met voldoende waarborgen tegen misbruik.
Voorlopig lijkt het verstandig om deze nieuwe technologie met de nodige voorzichtigheid te benaderen. Niet elke taak hoeft geautomatiseerd te worden, en niet elke applicatie heeft alle rechten nodig die ze vraagt. Een gezonde dosis scepsis is geen techno-pessimisme, maar gewoon verstandig gebruikersgedrag.
Perplexity en Google zijn voor commentaar benaderd maar reageerden nog niet op vragen over de beveiligingskwestie.
