Ook OpenAI's Atlas-browser kwetsbaar voor prompt injection

In dit artikel:

Verborgen instructies — ook wel indirecte prompt injection genoemd — vormen een van de grootste, nog onopgeloste beveiligingsproblemen voor ai-browsers. Dat geldt ook voor OpenAI’s nieuwe Atlas-browser: het bedrijf erkent dat dergelijke aanvallen niet volledig zijn uit te sluiten, ondanks maatregelen die het heeft ingebouwd.

Bij een indirecte prompt injection plakken kwaadwillenden instructies in webpagina’s of documenten die een ai-agent ertoe brengen ongewenste taken uit te voeren, zoals gegevens ophalen of gedrag veranderen. Onderzoekers lieten zien dat dit risico reëel is: een Google Docs-bestand kon Atlas bijvoorbeeld misleiden en ervoor zorgen dat de browser "Trust No AI" weergeeft in plaats van een correcte samenvatting; een ander document veranderde zelfs de modus van de browser.

Vergelijkbare problemen doen zich voor bij andere ai-browsers zoals Fellou en Perplexity’s Comet. In tests exfiltreerde Fellou e-mails, terwijl Atlas en Comet aanvankelijk dergelijke verzoeken weigerden — maar dat bleek geen garantie tegen creatievere omwegen. Brave Software noemt prompt injection geen eenmalig euvel maar een structurele uitdaging voor systemen die ai-agents integreren.

OpenAI reageert terughoudend maar open: ciso Dane Stuckey noemde prompt injections op X een "frontier, onopgelost beveiligingsprobleem". Het bedrijf zet guardrails, nieuwe detectiesystemen en red-teaming in, maar erkent dat aanvallers steeds nieuwe manieren kunnen vinden om agenten te misleiden. Security-onderzoekers vergelijken de situatie met social engineering bij mensen of phishing: er is geen perfecte mitigatie.

Voor organisaties en gebruikers betekent dit dat voorzichtigheid en een gelaagde verdediging nodig blijven — bijvoorbeeld strengere content‑sanering, bronverificatie, sandboxing van agents en bewustzijnstraining — terwijl onderzoekers en bedrijven blijven werken aan robuustere detectie- en afweermechanismen.