De komst van AI-assistenten die zelfstandig webbrowsers kunnen bedienen, levert niet alleen gemak op, maar ook een nieuwe uitdaging op het gebied van browserveiligheid. Gebruikers moeten erop vertrouwen dat de websites die zij bezoeken geen verborgen, kwaadaardige instructies bevatten die hun AI-agent kunnen misleiden. Onderzoekers waarschuwen dat dit vertrouwen allerminst vanzelfsprekend is.
Op dinsdag kondigde Anthropic de lancering aan van Claude for Chrome, een AI-agent die in de browser opereert en taken namens de gebruiker kan uitvoeren. De uitbreiding is voorlopig alleen beschikbaar als research preview voor duizend abonnees van het Max-abonnement, dat tussen de 100 en 200 dollar per maand kost.
Browserveiligheid
De extensie maakt het mogelijk om in een zijbalk met Claude te chatten, waarbij de AI context bewaart van alles wat in de browser gebeurt. Gebruikers kunnen toestemming geven voor uiteenlopende taken, zoals het plannen van vergaderingen, schrijven van e-mails of testen van websitefunctionaliteit. Daarmee bouwt de extensie voort op Computer Use, een experimentele functie die Anthropic in oktober 2024 lanceerde en waarmee Claude de muis en schermafbeeldingen kan gebruiken.
Beveiligingsrisico’s
Uit eigen tests van Anthropic blijkt dat browser-gebaseerde AI-modellen kwetsbaar zijn voor zogenoemde prompt-injection attacks. Daarbij verstoppen aanvallers verborgen instructies in websites of e-mails om de AI schadelijke acties te laten uitvoeren. In 123 testgevallen, verdeeld over 29 aanvalsscenario’s, volgde Claude in 23,6 procent van de gevallen de malafide instructies zonder waarschuwing.
Voorbeelden zijn mails die de AI aansporen om berichten van een gebruiker te verwijderen ‘voor mailboxhygiëne’. Zonder extra beveiliging voerde Claude deze opdrachten daadwerkelijk uit.
Verdedigingsmaatregelen
Anthropic heeft inmiddels diverse verdedigingsmaatregelen ingebouwd, zoals toestemming op siteniveau, verplichte bevestiging voor risicovolle acties en blokkades voor financiële en illegale websites. Daarmee daalde het slagingspercentage van aanvallen naar 11,2 procent; bij enkele specifieke browsertests zelfs naar nul. Toch noemt onafhankelijk AI-onderzoeker Simon Willison dit resterende percentage ‘catastrofaal’. Volgens hem is het hele idee van een agentische browserextensie fundamenteel onveilig en vormt het een directe bedreiging voor de browserveiligheid van gebruikers.
Breder probleem
De zorgen beperken zich niet tot Anthropic. Vorige week ontdekte de beveiligingsteams van Brave dat de Comet-browser van Perplexity via verborgen instructies in Reddit-posts toegang kreeg tot Gmail-accounts van gebruikers. Pogingen om dit te repareren bleken onvoldoende. Voorlopig gebruikt Anthropic de beperkte preview om aanvallen in de praktijk te monitoren. Maar zolang absolute bescherming ontbreekt, ligt de verantwoordelijkheid vooral bij de gebruiker. Zoals Willison concludeert: “Het is onredelijk om te verwachten dat eindgebruikers de juiste beslissingen nemen over zulke complexe beveiligingsrisico’s in het domein van browserveiligheid.”