Slechts enkele dagen na de lancering van de ambitieuze ChatGPT Atlas-browser worstelt OpenAI publiekelijk met een fundamentele beveiligingsfout waarvan experts waarschuwen dat deze de hele categorie van AI-aangedreven webtools kan treffen.
In een gedetailleerde openbare verklaring erkende de hoogste beveiligingsfunctionaris van het bedrijf dat’snelle injectie’een onopgelost probleem blijft, zelfs toen onderzoekers live aanvallen op de nieuwe browser begonnen te demonstreren.
Na de lancering van de browser op dinsdag ging OpenAI’s Chief Information Security Officer, Dane Stuckey, woensdag naar X om de groeiende zorgen weg te nemen.
Zijn post confronteerde direct het risico van indirecte prompt injectie, waar kwaadaardige instructies die verborgen zijn op websites de AI-agent van de browser kunnen misleiden om onbedoelde en potentieel schadelijke acties uit te voeren.
Stuckey erkende de kwetsbaarheid en legde uit dat het langetermijndoel van het bedrijf is om de agent net zo betrouwbaar te maken als een veiligheidsbewuste collega.
Hij gaf echter toe dat de technologie er nog niet is. “…een snelle injectie blijft een grensverleggend, onopgelost beveiligingsprobleem, en onze tegenstanders zullen aanzienlijke tijd en middelen besteden aan het vinden van manieren om de ChatGPT-agent voor deze aanvallen te laten vallen.”
Deze bekentenis werd door velen in de beveiligingsgemeenschap gezien als een openhartige en noodzakelijke erkenning van de risico’s die inherent zijn aan de nieuwe golf van agentische AI.
Een ‘onopgelost beveiligingsprobleem’
Een snelle injectie is geen nieuw of geïsoleerd probleem. Winbuzzer heeft eerder gerapporteerd over vergelijkbare kwetsbaarheden, zoals de indirecte prompt injection-fout die eerder dit jaar werd ontdekt in de Comet-browser van Perplexity.
Een rapport van het beveiligingsteam van Brave beschreef de fout als een systemische uitdaging waarmee alle AI-aangedreven browsers worden geconfronteerd. “…indirecte promptinjectie is geen op zichzelf staand probleem, maar een systemische uitdaging waarmee de hele categorie van AI-aangedreven browsers wordt geconfronteerd.” Het kerngevaar schuilt in het onvermogen van een AI-agent om onderscheid te maken tussen de instructies van een gebruiker en kwaadaardige commando’s die zijn ingebed in de inhoud die hij verwerkt.
Dit kan de AI in een “verwarde hulpsheriff” veranderen, een klassiek cyberveiligheidsdilemma waarbij een programma met autoriteit wordt misleid om het te misbruiken.
Slechts enkele uren na de lancering van Atlas demonstreerde een onderzoeker bijvoorbeeld een nieuw “Clipboard” Injection”-aanval, waarbij verborgen code op een webpagina op kwaadaardige wijze het klembord van een gebruiker kan wijzigen wanneer de AI-agent op een knop klikt, waardoor een gebruiker later zonder medeweten een kwaadaardig commando kan plakken.
Voor beveiligingsonderzoekers bood de lancering van de browser een onmiddellijke gelegenheid om de verdediging ervan tegen aanvallen uit de echte wereld te testen.
Verscheidenen publiceerden snel demonstraties die lieten zien hoe ze Atlas ertoe konden brengen kwaadaardige instructies op te volgen ingebed in Google Documenten of op webpagina’s.
Dit toont aan dat er veel op het spel staat in wat sommigen de tweede browseroorlog noemen, een conflict dat niet wordt gevoerd over functies, maar over intelligentie en autonomie, met concurrenten zoals Perplexity’s Comet zijn al in het veld.
OpenAI’s verdediging:’Watch Mode’en andere vangrails
Hoewel de transparantie van OpenAI een welkome stap is, waarschuwen experts dat’diepgaande verdediging’vaak niet genoeg is om vastberaden tegenstanders tegen te houden.
Stuckey heeft verschillende overlappende veiligheidsmaatregelen beschreven die in Atlas zijn ingebouwd om deze te verzachten. risico’s. Een van de belangrijkste verdedigingen is een functie genaamd’Uitgelogde modus’, waarmee de agent kan bladeren en namens een gebruiker kan handelen zonder toegang te hebben tot zijn inloggegevens voor ingelogde sessies.
Gisteren hebben we ChatGPT Atlas gelanceerd, onze nieuwe webbrowser. In Atlas kan de ChatGPT-agent dingen voor u doen. We zijn blij om te zien hoe deze functie het werk en het dagelijkse leven efficiënter en effectiever maakt voor mensen.
De ChatGPT-agent is krachtig en behulpzaam, en ontworpen om…
— DANΞ (@cryps1s) 22 oktober 2025
AI-expert Simon Willison noemde dit een “zeer slim” en getest patroon voor sandboxing AI-interacties.
In de krachtigere “Ingelogde modus” escaleren de risico’s echter. Voor situaties die geauthenticeerde toegang vereisen, heeft OpenAI nog een beveiliging geïmplementeerd:
“Wanneer een agent op gevoelige sites werkt, hebben we ook een ‘Kijkmodus’ geïmplementeerd die u waarschuwt… en vereist dat u het tabblad actief heeft om te zien hoe de agent zijn werk doet.”
Deze functie is ontworpen om de gebruiker op de hoogte te houden wanneer de agent interactie heeft met potentieel gevoelige informatie. Het bedrijf heeft echter geen duidelijke technische definitie gegeven van wat een “gevoelige site” inhoudt.
Een officiële helpcentrumdocumentaantekeningen waarin functies zoals paginasamenvattingen worden geblokkeerd op”bepaalde gevoelige websites (zoals sites voor volwassenen)”maar aanbiedingen weinig verdere details. Deze dubbelzinnigheid is een groot probleem.
Willison merkte op dat tijdens zijn tests de modus niet werd geactiveerd op sites als GitHub of zijn online bank, en concludeerde dat het delegeren van beveiligingsbeslissingen aan eindgebruikers een “oneerlijke last” is.
De beveiligingsgemeenschap reageert met scepsis en live demo’s
De reactie van de beveiligingsgemeenschap was een mix van lof voor OpenAI’s openhartigheid en diepgewortelde scepsis over de voorgestelde oplossingen.
AI-beveiligingsonderzoeker Johann Rehberger, die talloze snelle injectie-aanvallen heeft gedocumenteerd, verklaarde dat de dreiging alomtegenwoordig is.
“Op een hoog niveau blijft snelle injectie een van de belangrijkste opkomende bedreigingen in AI-beveiliging… de dreiging kent geen perfecte mitigatie – net zoals social engineering-aanvallen tegen mensen.”
Willison herhaalde dit sentiment, met het argument dat vangrails vaak onvoldoende zijn tegen gemotiveerde aanvallers. Ik
Hij waarschuwt dat bijna perfect op het gebied van applicatiebeveiliging niet goed genoeg is.
“Zoals ik al eerder heb geschreven, is 99% van applicatiebeveiliging op het gebied van applicatiebeveiliging een onvoldoende. Als er een manier is om langs de vangrails te komen… zal een gemotiveerde aanvaller dat uitzoeken.”
De lancering van Atlas heeft al een tastbare impact op de markt gehad, wat de hoge inzet van het vernieuwde programma benadrukt. browseroorlogen. Na de aankondiging daalden de aandelen van Alphabet aanvankelijk met 3%, een verlies van ongeveer $18 miljard aan marktwaarde, voordat ze zich herstelden.
Analisten als Gene Munster van Deepwater Asset Management voerden echter aan dat Atlas geen “10x betere” ervaring is en dat Google de functies ervan gemakkelijk kan kopiëren, waardoor het voor de nieuwe browser moeilijk wordt om een aanzienlijk marktaandeel te verwerven.
Uiteindelijk moet OpenAI navigeren door een moeilijke,, oorlog op twee fronten. Aan de ene kant moet het een product aanbieden dat zo overtuigend is dat het de wurggreep van Google op gebruikersgewoonten kan doorbreken.
Aan de andere kant moet het pionieren in de beveiliging van een nieuw computerparadigma vol ongekende risico’s. Terwijl het bedrijf eraan werkt om het vertrouwen van gebruikers op te bouwen, zal de bredere beveiligingsgemeenschap elke stap in de gaten houden en testen.
