AI-browsers kunnen je zomaar duizenden euro’s kosten dankzij phishing
Agentic AI, waarbij AI-agents taken van de gebruiker overnemen, doet langzaam zijn intrede in webbrowsers. De Comet-browser van Perplexity is één van de eerste die dit mogelijk maakt. Veilig is dat echter niet altijd, concluderen beveiligingsonderzoekers van Guardio. Volgens hen bevat Comet ‘onvoldoende veiligheidsmaatregelen’ tegen zowel bekende als nieuwe AI-aanvallen.
Comet winkelt bij malafide webshops
Zo blijkt de browser niet of nauwelijks bestand tegen phishing, prompt injection en het plaatsen van bestellingen bij malafide webshops. Het lukte de onderzoekers zelfs om Comet een Apple Watch te laten aanschaffen via een frauduleuze Walmart-webshop. Dit proces verliep volledig geautomatiseerd: de smartwatch werd in het winkelmandje geplaatst, betaalgegevens werden ingevuld en de aankoop werd voltooid.
Voor deze test werd de AI weliswaar opgedragen om naar de malafide Walmart-webshop te surfen, die met Lovable was opgezet, maar desalniettemin gaf de AI geen enkele waarschuwing dat er mogelijk iets mis was. Bovendien, zo benadrukken de onderzoekers, kan een browser in een vergelijkbare situatie belanden via SEO-poisoning of malvertising. In dat laatste geval worden malafide diensten gepromoot via bijvoorbeeld sociale media of Google.
Hoewel het handig kan zijn dat Perplexity’s browser taken voor de gebruiker uitvoert, controleert de software onvoldoende of de inhoud van websites veilig is. Daarbij wordt geen toestemming gevraagd voor acties, terwijl dat juist wenselijk is bij grote aankopen zoals een Apple Watch.
Minstens zo zorgwekkend is de manier waarop Comet omgaat met phishingmails. Wanneer de AI wordt gevraagd om openstaande e-mails te controleren, klikt de agent zonder aarzeling op gevaarlijke links. Sterker nog: de AI moedigt de gebruiker zelfs aan om op de frauduleuze site in te loggen. Op geen enkel moment controleert de software de authenticiteit van de website, terwijl gebruikers er mogelijk van uitgaan dat dat wél gebeurt en zo hun gegevens te goeder trouw invullen.
Prompt injection
Een andere test betrof prompt injection, een bekende techniek om AI-modellen te manipuleren. Daarbij voegen websites onzichtbare instructies toe die de AI tot bepaalde acties aanzetten.
In dit geval werd aan een phishingsite onzichtbare tekst en een knop toegevoegd. Daarin werd uitgelegd dat de AI een Captcha kon omzeilen door op een zogenoemde AI Bypass-knop te klikken. In werkelijkheid werd daarmee geen Captcha omzeild, maar een malwarebestand gedownload. Ook dat vond de AI blijkbaar niet bijzonder genoeg om te controleren of het wel veilig was.
Niet blindelings vertrouwen
De onderzoekers van Guardio benadrukken dat gebruikers niet alle acties aan AI-browsers moeten overlaten. Het invullen van inloggegevens kan je beter zelf doen, zodat je de authenticiteit van een website kunt controleren. Ook bij aankopen is het verstandiger om het proces in eigen hand te houden, aangezien een AI-browser aanzienlijke schade kan veroorzaken.
Dat betekent echter niet dat AI-browsers geen nut hebben. Voor repetitieve taken, zoals zoekopdrachten of uitgebreider onderzoek, kunnen AI-agents juist erg handig zijn. Het blijft dus zaak om per situatie af te wegen of je die taken aan AI toevertrouwt.
