OpenAI heeft toegegeven dat hun ChatGPT Atlas browser, net als andere AI-browsers, waarschijnlijk altijd kwetsbaar zal blijven voor prompt injection aanvallen. Deze aanvallen manipuleren AI-agents door kwaadaardige instructies te verbergen in webpagina’s of e-mails, waardoor de AI ongewenst gedrag kan vertonen.
Wat zijn prompt injection aanvallen?
Prompt injection aanvallen zijn vergelijkbaar met oplichting en social engineering op het web. Kwaadwillenden kunnen verborgen instructies in content plaatsen die AI-browsers ertoe aanzetten om acties uit te voeren die niet door de gebruiker bedoeld waren. OpenAI’s Atlas browser, gelanceerd in oktober, werd al snel getest door beveiligingsonderzoekers die aantoonten dat simpele tekst in Google Docs het gedrag van de browser kon veranderen.
OpenAI’s aanpak: een geautomatiseerde aanvaller
Om deze uitdaging aan te pakken, heeft OpenAI een innovatieve oplossing ontwikkeld: een “LLM-gebaseerde geautomatiseerde aanvaller.” Deze bot is getraind met reinforcement learning om de rol van een hacker te spelen die zoekt naar manieren om kwaadaardige instructies naar AI-agents te smokkelen. De bot kan aanvallen testen in simulatie voordat deze in de echte wereld worden gebruikt, waardoor OpenAI sneller kwetsbaarheden kan ontdekken dan externe aanvallers.
In een demonstratie toonde OpenAI hoe hun geautomatiseerde aanvaller een kwaadaardige e-mail in een gebruikers inbox plaatste. Toen de AI-agent later de inbox scande, volgde het de verborgen instructies en stuurde een ontslagbrief in plaats van een out-of-office reply te maken. Na de beveiligingsupdate kon de “agent mode” echter succesvol de prompt injection poging detecteren en de gebruiker waarschuwen.
Risico’s en voorzorgsmaatregelen
Beveiligingsexpert Rami McCarthy van cybersecurity firma Wiz waarschuwt dat AI-browsers zich in een uitdagende positie bevinden: “matige autonomie gecombineerd met zeer hoge toegang.” Voor de meeste dagelijkse gebruikssituaties leveren AI-browsers nog niet genoeg waarde om hun huidige risicoprofiel te rechtvaardigen, aldus McCarthy.
OpenAI raadt gebruikers aan om agents specifieke instructies te geven in plaats van brede toegang te verlenen tot gevoelige data zoals e-mail en betalingsinformatie. Het bedrijf heeft Atlas ook getraind om gebruikersbevestiging te vragen voordat berichten worden verzonden of betalingen worden gedaan.
Wat betekent dit voor jou als ondernemer?
Deze ontwikkelingen zijn cruciaal voor Nederlandse MKB-bedrijven die overwegen AI te implementeren in hun bedrijfsprocessen. Als AI trainer en specialist in generative AI workshops zie ik dagelijks hoe bedrijven worstelen met de balans tussen AI-innovatie en veiligheid.
Voor directeuren en marketingmanagers die een AI strategie workshop overwegen, is het essentieel om deze beveiligingsrisico’s te begrijpen. In onze AI workshop voor bedrijven behandelen we niet alleen de mogelijkheden van generative AI, maar ook de veiligheidsaspecten die cruciaal zijn voor verantwoorde implementatie.
Of je nu een AI training marketing wilt volgen of een gen AI workshop voor je team organiseert, het is belangrijk om te beseffen dat AI-veiligheid geen eenmalige oplossing is, maar een continu proces. OpenAI’s transparantie over deze kwetsbaarheden toont aan dat zelfs de grootste AI-bedrijven worstelen met deze uitdagingen.
Voor bedrijven die AI training onderwijs willen implementeren, raad ik aan om altijd te beginnen met een grondige AI strategie workshop. Hierin bespreken we niet alleen de technische mogelijkheden, maar ook de risico’s en hoe je deze kunt mitigeren.
De toekomst van AI-browsers zal afhangen van hoe goed bedrijven zoals OpenAI deze beveiligingsuitdagingen kunnen aanpakken. Tot die tijd blijft voorzichtigheid geboden bij het gebruik van AI-agents met toegang tot gevoelige bedrijfsdata.
