Anthropic's Claude Chrome-extensie kan websites kapen via verborgen AI-instructies. Aanvallen slagen in 11% van gevallen ondanks beveiligingsmaatregelen.
Maxim Hoekmeijer
AI software development expert
De race om kunstmatige intelligentie in webbrowsers te integreren heeft een donkere kant blootgelegd. Anthropic's nieuwe Claude voor Chrome-extensie kan namens gebruikers websites bedienen, maar onderzoek toont aan dat kwaadwillende websites de AI kunnen kapen met verborgen instructies - en dat lukt in meer dan één op de tien gevallen.
Claude voor Chrome belooft veel: de AI-assistent kan agenda's beheren, vergaderingen inplannen, e-mails beantwoorden en uitgavenrapporten verwerken. Gebruikers chatten met Claude in een zijbalk terwijl de AI meekijkt met alles wat er in de browser gebeurt.
Maar deze krachtige functionaliteit brengt nieuwe risico's met zich mee. Anthropic testte 123 scenario's en ontdekte dat AI-browseragents vatbaar zijn voor 'prompt-injection' aanvallen. Hierbij verstoppen kwaadwillende partijen instructies in websites om de AI te misleiden.
Een veelzeggend voorbeeld: een kwaadaardige e-mail instrueerde Claude om gebruikers-e-mails te verwijderen voor 'mailbox hygiëne'. Zonder beveiligingsmaatregelen volgde Claude deze instructies blindelings op en wiste e-mails zonder bevestiging.
De testresultaten zijn zorgwekkend. Zonder beveiligingsmaatregelen slaagden aanvallen in 23,6% van de gevallen. Anthropic implementeerde daarop verschillende verdedigingslinies: gebruikers kunnen toegang per website beheren, het systeem vraagt bevestiging bij risicovolle acties, en bepaalde categorieën websites zijn standaard geblokkeerd.
Deze maatregelen verlaagden het succespercentage naar 11,2%. Voor gespecialiseerde browseraanvallen daalde het zelfs naar 0%. Maar AI-beveiligingsexpert Simon Willison noemt 11,2% nog altijd 'catastrofaal'. Hij stelt dat zonder 100% betrouwbare bescherming het hele concept van AI-browserextensies 'fataal gebrekkig' is.
De risico's zijn al realiteit geworden. Vorige week ontdekte Brave's beveiligingsteam dat Perplexity's Comet-browser kon worden misleid om Gmail-accounts te benaderen via kwaadaardige instructies in Reddit-posts. Wanneer gebruikers Comet vroegen een Reddit-thread samen te vatten, konden aanvallers onzichtbare commando's invoegen die de AI opdroegen Gmail te openen en ongeautoriseerde acties uit te voeren.
Hoewel Perplexity probeerde het lek te dichten, bevestigde Brave later dat de beveiligingsmaatregelen waren omzeild en het probleem bleef bestaan.
Voor Nederlandse bedrijven die overwegen AI-browsertools in te zetten, is voorzichtigheid geboden. De technologie belooft aanzienlijke efficiëntiewinst bij repetitieve taken zoals administratie en planning, maar de beveiligingsrisico's zijn nog niet onder controle.
Anthropic beperkt daarom de toegang tot Claude voor Chrome tot 1.000 betalende gebruikers van hun duurste abonnement (100-200 dollar per maand). Het bedrijf wil eerst aanvalspatronen identificeren voordat bredere uitrol plaatsvindt.
De concurrentie tussen AI-labs - met Perplexity's Comet, OpenAI's ChatGPT Agent en Google's Gemini-integraties - drijft innovatie aan, maar ook overhaasting. Willison waarschuwt dat het onredelijk is om van eindgebruikers te verwachten dat zij goede beveiligingsbeslissingen nemen over deze complexe risico's.
Voorlopig valt de beveiligingslast dus op gebruikers zelf. Bedrijven die nu al willen experimenteren met AI-browsertools moeten strikte protocollen hanteren: beperkte toegang, zorgvuldige websiteselectie en altijd menselijke controle bij gevoelige acties. De belofte van volledig geautomatiseerde browsing blijft vooralsnog een gevaarlijke illusie.
