Verborgen instructies zijn hét onopgeloste beveiligingsprobleem voor ai-browsers. Dat geldt ook voor de nieuwe Atlas-browser van OpenAI. Het bedrijf geeft toe dat deze ai-equivalent van phishing niet volledig is af te dekken.
OpenAI’s nieuwe Atlas-browser blijkt kwetsbaar voor indirecte prompt injection, een aanval waarbij verborgen instructies in webpagina’s of documenten de ai-agent ongewenste acties laten uitvoeren. Ondanks ingebouwde beveiligingsmaatregelen tonen onderzoekers aan dat het risico reëel blijft, zo legt nieuwsdienst The Register uit.
Prompt injection is een bekend probleem bij browsers die ai-agents integreren, zoals Fellou en Perplexity’s Comet. In een rapport van Brave Software wordt gesteld dat dit geen geïsoleerd probleem is, maar een systemische uitdaging.
Prompt injection voor ai als phishing voor mensen
Een test liet zien dat Fellou opdrachten uitvoerde om e-mails te exfiltreren, terwijl Atlas en Comet dit weigerden. Toch wisten andere onderzoekers Atlas te misleiden. Zo kreeg een Google Docs-bestand de browser zover om ‘Trust No AI’ te tonen in plaats van een samenvatting. Een andere onderzoeker demonstreerde hoe een document de modus van de browser kon wijzigen.
Prompt injection lijkt zo een van de grootste opkomende bedreigingen te zijn voor ai-beveiliging: het heeft geen perfecte mitigatie, net als social engineering bij mensen aldus The Register. OpenAI erkent de risico’s. OpenAI’s ciso Dane Stuckey schreef op X dat prompt injections een ‘frontier, onopgelost beveiligingsprobleem’ vormen. Volgens hem zijn er guardrails, nieuwe detectiesystemen en red-teaming ingezet, maar blijft het risico bestaan dat aanvallers manieren vinden om de agent te misleiden.
