Agentic Browser Security: de les van de Perplexity-kwetsbaarheid

Geschreven door BijzonderStrafrecht.nl

Met de komst van zogeheten agentic browsers verandert de manier waarop we het web gebruiken fundamenteel. Waar een AI-assistent vroeger alleen tekst samenvatte, kunnen moderne varianten – zoals Brave’s Leo of Perplexity’s Comet – zelfstandig op internet handelen. Een gebruiker kan bijvoorbeeld vragen: “Boek een vlucht naar Londen volgende week vrijdag.” De AI voert die handeling vervolgens autonoom uit binnen de browser, met toegang tot ingelogde sessies en gevoelige gegevens. Deze autonomie maakt het werk van juristen, onderzoekers en kennisprofessionals efficiënter, maar brengt ook geheel nieuwe veiligheids- en privacyrisico’s met zich mee.

Indirecte promptinjection: een nieuw aanvalstype

De ontdekking draait om een kwetsbaarheid in Perplexity Comet, een browser-geïntegreerde AI-assistent. De fout lag in de manier waarop Comet webinhoud verwerkte: bij het samenvatten van een webpagina stuurde het systeem de tekst integraal naar het onderliggende taalmodel, zonder onderscheid tussen wat de gebruiker vroeg en wat afkomstig was van de website zelf.

Een kwaadwillende kon zo verborgen instructies in webinhoud plaatsen – bijvoorbeeld met witte tekst op een witte achtergrond of in HTML-commentaar – die het AI-model onbedoeld als commando’s uitvoerde. Dit heet een indirecte promptinjection: het model ontvangt een malafide opdracht via externe content, niet via de gebruiker.

Hoe de aanval werkte

De onderzoekers demonstreerden het risico via een proof-of-concept:

  1. Injectie: op een Reddit-pagina werd een verborgen instructie geplaatst in een reactie.

  2. Trigger: een gebruiker vroeg Comet om “deze pagina samen te vatten”.

  3. Uitvoering: het model las de verborgen tekst en voerde die uit alsof het een legitiem verzoek was.

  4. Exploit: de AI bezocht daarop websites waarop de gebruiker al was ingelogd, haalde e-mailadressen en een eenmalige inlogcode (OTP) op, en stuurde deze terug naar de Reddit-pagina.

Het resultaat: de aanvaller kon de Perplexity-account van de gebruiker overnemen – zonder extra handeling van de gebruiker zelf.

Waarom traditionele beveiliging tekortschiet

Normale webbeveiliging vertrouwt op mechanismen als de same-origin policy (SOP) en cross-origin resource sharing (CORS). Die voorkomen dat scripts van het ene domein toegang krijgen tot data van een ander domein. Maar zodra een AI-assistent in de browser zelf handelt, gelden die beperkingen niet langer. De AI opereert met dezelfde rechten als de gebruiker en kan daardoor in authentieke sessies gevoelige informatie benaderen: bankrekeningen, e-mails, cloudbestanden.

Deze aanval is dus niet gericht op één specifieke website, maar op het gedrag van de AI-assistent zelf. Daarmee ondergraaft ze een fundamentele aanname van webbeveiliging: dat elke website slechts binnen zijn eigen domein kan handelen.

Gevolgen voor privacy en compliance

Voor juristen en compliance-specialisten is de impact evident. Wanneer een AI-assistent handelt binnen ingelogde sessies, kunnen datalekken optreden die niet onder de traditionele beveiligingscategorieën vallen. Denk aan:

  • onrechtmatige doorgifte van persoonsgegevens (in strijd met art. 5 en 32 AVG);

  • verlies van vertrouwelijkheid bij beroepsgeheim of cliëntgegevens;

  • risico’s bij due diligence-onderzoek of interne onderzoeken, waarbij AI-tools gevoelige documenten samenvatten of analyseren.

De casus onderstreept dat organisaties die AI-assistenten in browsers inzetten, aanvullende technische en organisatorische maatregelen moeten nemen om gegevensbescherming te waarborgen.

Voorstellen voor mitigatie

De onderzoekers deden vier aanbevelingen die de basis kunnen vormen voor toekomstige beveiligingsstandaarden:

  1. Scheid gebruikersinstructies van webinhoud.
    De browser moet expliciet markeren wat van de gebruiker komt en wat van de website. Alleen het eerste mag als betrouwbaar worden beschouwd.

  2. Controleer modeluitvoer op gebruikers-alignment.
    Acties die het model voorstelt, moeten worden getoetst aan het oorspronkelijke verzoek van de gebruiker. Alleen als er overeenstemming is, mag uitvoering volgen.

  3. Vereis bevestiging bij gevoelige handelingen.
    Elke actie met beveiligings- of privacy-impact – zoals het verzenden van e-mails of het openen van bankwebsites – moet expliciet door de gebruiker worden goedgekeurd.

  4. Isoleer agentic browsing van regulier surfen.
    De modus waarin de AI zelfstandig handelt moet duidelijk herkenbaar en technisch gescheiden zijn, zodat gebruikers niet onbedoeld in een risicovolle stand werken.

Disclosure en opvolging

De kwetsbaarheid werd op 25 juli 2025 gemeld aan Perplexity. Binnen twee dagen volgde een eerste fix, maar aanvullend onderzoek toonde aan dat de oplossing onvolledig was. Op 13 augustus 2025 werd de patch opnieuw getest en leek het probleem verholpen, maar bij verdere controles na publicatie bleek dat sommige aanvalsvormen nog mogelijk waren. Brave rapporteerde dit opnieuw aan Perplexity.

Deze open disclosure-aanpak sluit aan bij de veiligheidsprincipes die ook in de juridische sector gelden: transparantie, verantwoord melden en proportionaliteit.

De bredere betekenis voor de juridische praktijk

Voor juristen die met AI-tools werken, is de casus een wake-upcall. Agentic systemen combineren autonomie met toegang tot vertrouwelijke gegevens – precies de combinatie die binnen de rechtspraktijk het grootste risico vormt.

  • Advocaten en notarissen die AI inzetten bij dossieranalyse moeten weten hoe data worden verwerkt en welke instructies de AI zelfstandig uitvoert.

  • Compliance-afdelingen moeten beoordelen of gebruik van agentic browsers verenigbaar is met interne beveiligingsprotocollen en de AVG.

  • Beleidsmakers dienen rekening te houden met dit nieuwe risicotype bij het ontwikkelen van AI-toezicht- en auditkaders.

Conclusie

De kwetsbaarheid in Perplexity Comet laat zien dat traditionele webbeveiliging ontoereikend is zodra een AI-assistent de browser bestuurt. Indirecte promptinjection vormt een nieuwe klasse van dreigingen die niet via klassieke scripts of malware verlopen, maar via natuurlijke taal.

Voor de juridische wereld betekent dit dat het begrip “gegevensbeveiliging” moet worden uitgebreid met modelbeveiliging: het beschermen van de context waarin AI-modellen opereren. Alleen met duidelijke scheiding tussen gebruikersinstructies en externe content, verplichte gebruikersinteractie bij gevoelige taken en een streng privacy-by-design-regime kan agentic browsing veilig worden ingezet.

De boodschap is helder: veiligheid en privacy moeten vooraf in het ontwerp van agentic AI worden ingebouwd, niet achteraf worden toegevoegd.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Vorige

OpenAI: ChatGPT geeft geen juridisch advies

Volgende

De AI Act is er. De toezichthouder(s) nog niet (allemaal)