Agentic browsers ‘gevaarlijker’ dan normale browsers?

De laatste tijd is er veel te doen om de komst van ‘agentic’ browsers. Comet van Perplexity bestaat al langer, en onlangs lanceerde OpenAI ‘Atlas’. Met de komst van deze browsers, worden internetgebruikers blootgesteld aan nieuwe gevaren. We staan stil bij wat die gevaren zijn, in hoeverre ze verschillen van hetgeen afkomt op gebruikers van ‘reguliere’ browsers, en of de problemen in de toekomst opgelost kunnen gaan worden.

Buiten het feit dat termen als AI, AI agent en agentic ook een hoog marketingsgehalte hebben, hebben we het hier wel degelijk over een andersoortige ervaring dan wanneer je met een reguliere browser zoals Google Chrome, Mozilla Firefox of Microsoft Edge, het wereld wijde web afstruint. Een ‘Agentic’ browser, of in beter Nederlands een ‘agent-achtige’ browser kan ook taken voor de gebruiker uitvoeren. De browser heeft kunstmatige intelligentie (AI) ingebouwd, of gebruikt een dergelijk systeem op de achtergrond. Door middel van die kunstmatige intelligentie probeert de browser te begrijpen wat je zoekt of probeert te doen, verzamelt deze informatie op het internet en voert eventueel zelf acties uit.

Een voorbeeld. Stel je wilt een dagje naar een dierentuin, gecombineerd met een hotelovernachting. In de dierentuin moet ten minste een giraffe en een olifant rondlopen, en je wilt van en naar het hotel kunnen lopen. Het hotel moet goed met de auto bereikbaar zijn en de maximale prijs voor twee personen die je voor het weekend kwijt wilt zijn, inclusief een restaurantreservering bij een degelijk restaurant, is 450 euro. 

De browser zou eerst de geschikte dierentuinen kunnen zoeken en uit de websites kunnen afleiden of de betreffende dieren aanwezig zijn. Vervolgens kan het kijken welke dierentuinen hotels in de omgeving hebben die voldoen aan de criteria, om tot slot prijzen te vergelijken en je een paar goede opties te bieden, of direct een reservering te maken bij het meest geschikte alternatief.

Is dat handig? Als je haast hebt zeker. Als je geniet van een dergelijke zoektocht, kun je altijd nog terugvallen op je reguliere browser… 

De browser voert acties uit, zoals het invullen van een formulier (en daarmee maken van een mogelijk wettelijk bindende reservering) en voert mogelijk online betalingen uit. Maar je kunt ook denken dat de browser bestanden op je computer kan opslaan of uitlezen, bijvoorbeeld om te kijken of je al op een van de betreffende locaties bent geweest (op basis van je fotoalbum).

De instructies, die geef jij doorgaans als gebruiker. Maar de browser leest en interpreteert ook de websites die het bezoekt. Er zijn al verschillende voorbeelden die aantonen dat het mogelijk is om instructies in een website op te nemen die de browser vervolgens acties kunnen laten uitvoeren die niet in het belang van de gebruiker zijn. Als je browser door jou gemachtigd is betalingen uit te voeren, kunnen die malafide instructies daar wellicht ook misbruik van maken.

Kan dat alleen gebeuren bij malafide websites, en kun je die niet gewoon standaard uitsluiten met behulp van je commando? Nou nee. Veel niet-malafide websites zijn tevens ook communities, waar gebruikers zelf inhoud kunnen toevoegen. Denk aan social media in al zijn verschillende vormen.

Is dit nu heel anders dan bij een reguliere browser? Die voert ook ‘scripts’ uit, in de vorm van Javascript. Een malafide site kan ook code uitvoeren op jouw systeem. De rechten waaronder die code draait, zijn echter beperkt. Je kunt prima cryptomunten proberen te minen, maar het opgeslagen foto-collecties benaderen is niet per definitie mogelijk. Daarnaast zijn websitebouwers (door schade en schande) wijzer geworden en zijn er legio technieken om gebruikers te verdedigen tegen ‘geïnjecteerde’ en ‘kwaadaardige’ websitecode.

De bouwers van de agentic browsers zullen waarschijnlijk dezelfde lessen moeten gaan leren. Zo zou er onderscheid tussen gebruikersinstructies en instructies afkomstig van de bezochte website kunnen (en moeten) worden gemaakt. Ook websitebouwers, zeker in geval gebruikers inhoud kunnen toevoegen, moeten hun verdediging aanpassen en uitbreiden. Daarmee zou het een kwestie van tijd kunnen zijn dat ‘agentic’ browsen ook gewoon veilig kan. 

Echter, zijn er fundamentele verschillen. Zo worden bouwers van AI systemen, en dus ook browsers die zo’n systeem gebruiken om tot antwoorden of acties te komen, zelf verrast door het gedrag van het systeem dat niet was voorzien of niet kan worden verklaard. Daarnaast zijn de huidige generatieve AI systemen en modellen inherent non-deterministisch. Stel ze twee keer dezelfde vraag en je kunt een compleet verschillend antwoord krijgen. In zo’n situatie, is het wellicht veel moeilijker, zo niet onmogelijk, om als ‘browser-bouwer’ verdediging in te bouwen tegen allerhande (subtiel) verschillende aanvalsscenario’s.

Daarnaast zijn de modellen ook continu in beweging. Een agentic browser zal wellicht eerst proberen een vraag te beantwoorden met behulp van het model, alvorens het internet af te gaan speuren. Het besluit om dat laatste te doen is natuurlijk afhankelijk of de informatie al bekend is (en betrouwbaar wordt geacht). Omdat de modellen echter continu worden aangepast en geupgrade, en je wellicht als gebruiker ook invloed hebt welke modellen worden gebruikt, zal informatie die eerst door een model werd beantwoord in de toekomst wellicht van het internet worden geplukt.

Tot slot kennen de traditionele browser veelal beperktere toegang tot het systeem waarop de browser draait en zijn een deel van de aanvallen (zoals CSRF) alleen mogelijk als de gebruiker toevallig al een sessie heeft draaien bij een dienst. De Agentic browsers, om ten volle te worden benut, hebben veel verdergaande toegang nodig en zijn bijvoorbeeld standaard gekoppeld met bepaalde van je accounts.

Naast het uitvoeren van mogelijk kwaadaardige en verborgen instructies, afkomstig van een malafide website of malafide uploader op een legitieme website, bestaat natuurlijk ook het gevaar dat bewust manipulatieve of foutieve informatie wordt teruggegeven door de browser. Dit gevaar bestaat bij chatbots al, maar daar is de drempel om het model te ‘vergiftigen’ veel groter. Je hebt als gebruiker van zo’n chatbot namelijk maar beperkt invloed of en hoe je invoer wordt gebruikt voor het trainen en uitbreiden van het model. 

Een agentic browser die content van de door jou gevulde website gebruikt, kan dat direct gebruiken in een antwoord aan de persoon die aan het browsen is. Als daar geen degelijke bescherming tegen wordt geïntroduceerd, lijkt de agentic browser een perfect middel voor desinformatie- en disruptiecampagnes, bijvoorbeeld van vijandige statelijke actoren.

Wat zijn de huidige ideeën om dit gevaar aan te pakken. Je zou kunnen werken met whitelists van mogelijke bronnen die mogen worden gebruikt, of ook wel de ‘zichtbaarheid voor de agent’ kunnen beperken. Neemt het gevaar niet helemaal weg, zeker als je ook een openbaar forum als Reddit zou willen toevoegen (meer dan 40% van de vragen aan AI chatbots halen hier informatie van). Daarnaast vraagt dit van jou als gebruiker de nodige moeite.

Input kan natuurlijk gefilterd worden, zoals ontwikkelaars van systemen dat ook behoren te doen om te voorkomen dat iemand in een blog Javascript injecteert. Er zijn allerlei trucs om instructies te verbergen. Met behulp van CSS kunnen ze buiten het scherm worden geplaatst of door gebruik van onzichtbare ‘characters’. Dit zou relatief eenvoudig kunnen worden gefilterd. Het is echter zeer problematisch dat de ‘instructies’ aan het AI systeem ook in natuurlijk tekst kunnen zijn geschreven, die mogelijk zeer moeilijk te onderscheiden is van de inhoud van de bron.

Agentic browsers (en AI systemen in het algemeen) zullen ongetwijfeld leiden tot een nieuwe beveiligingsindustrie waarbij (grote) bedrijven en organisaties het gebruik van AI agents in goede banen kunnen leiden. Er lijkt een nieuwe markt te ontstaan (of te worden gecreëerd) voor AI security platforms, die zogenoemde ‘guardrails’ voor de AI agent kunnen bieden. Deze scannen modellen, filteren prompts, en straks misschien dus ook de door de agent gebruikte externe content. 

In die zin, is dat een herhaling van zetten, als we kijken naar de opkomst van het internet, internetvirussen en anti-virus oplossingen. Alleen lijkt alles nu vooral een factor sneller te gaan. En hoewel er ook behoorlijk wat kritische geluiden zijn dat er meer oog voor veiligheid en ethische dilemma’s zou moeten zijn (die we verder onderschrijven), was er in de begintijd van het internet ook nauwelijks aandacht voor beveiliging. Dat werd niet nodig geacht. Daar hebben we nu, ruim 40 jaar later, nog steeds last van als we naar e-mail kijken.

Moet je nu zo’n browser wel of niet gebruiken? Dat is natuurlijk aan iedereen zelf om te beoordelen en aan organisaties om beleidsmatig op te lossen. Besef je dat het een potentieel mijnenveld kan zijn of kan worden, zeker wanneer je alles ‘openzet’. Ben dus zeer kritisch op eventuele uitkomsten en pas om met welke toegang je een agentic browser geeft, en geef die toegang alleen als die voor een specifiek taak nodig is. Vergeet deze niet weer in te trekken! Verberg websites met private informatie in beginsel en neem kleine stappen om dit uit te breiden. In de tussentijd zal er ongetwijfeld heel wat beweging zijn om de boel veiliger te maken.