De AI-browserrevolutie met tools als Comet van Perplexity of ChatGPT Atlas brengt enorme produktiviteit, maar ook nieuwe, serieuze beveiligingsrisico’s met zich mee. Een van de grootste dreigingen is “prompt injection”: verborgen instructies in webpagina’s die een AI-agent kunnen misleiden om schadelijke acties uit te voeren. Perplexity lanceerde daarom recent een nieuw verdedigingssysteem: BrowseSafe. Dat moet AI-agenten realtime en systematisch beschermen tegen dit type aanvallen en op termijn AI-browsers veiliger maken voor dagelijks gebruik.

De opkomst van AI-browsers en het inherente gevaar

Met de komst van browsers zoals Comet, gebouwd door Perplexity als “agentic browser”, gaat het niet langer louter om surfen en informatie ophalen. Deze browsers bevatten AI-agenten die taken kunnen uitvoeren: websites navigeren, formulieren invullen, e-mails verwerken, aankopen doen … vergelijkbaar met een persoonlijke digitale assistent.

Het probleem: zulke AI-agenten openen ook een nieuw type aanvalsoppervlak. In plaats van dat kwaadwillenden server- of softwarefouten moeten exploiteren, volstaat het om simpelweg misleidende of verborgen instructies neer te zetten. Dit kan via tekst, HTML, zelfs verborgen velden of commentaar in pagina’s zodat de AI-agent ongewild schadelijke acties uitvoert. Dit type aanval heet prompt injection.

Onderzoek en praktische tests (o.a. door het security-bedrijf Brave) toonden aan dat deze dreiging heel reëel is. In sommige scenario’s kreeg de AI-agent toegang tot e-mails, kon hij wachtwoorden uitlezen of zelfs inloggegevens en OTP’s (one-time passwords) onderscheppen.

Beveiligingstechnieken die voldoende waren voor klassieke browsers, zoals same-origin-policy of CORS schieten tekort voor AI-browsers. De AI-agent interpreteert alle content (zowel van de gebruiker als van de website) als mogelijke instructies, waardoor klassieke grenzen vervagen.

Wat is BrowseSafe?

BrowseSafe is de nieuwe verdediging van Perplexity tegen deze verborgen AI-aanvallen. Centraal staat een speciaal getraind detectiemodel dat de HTML van elke bezochte webpagina scant op schadelijke “agent-instructies”, voordat de AI-agent de pagina verwerkt.

Cruciaal: BrowseSafe is geoptimaliseerd om full HTML-context te analyseren. Dus niet enkel zichtbare tekst op de pagina, maar ook verborgen elementen, data-attributen, comments of “verstopte” instructies. Zo probeert het systeem realistische aanvallen te spotten, niet enkel eenvoudige tekst-based hacks.

Daarnaast komt BrowseSafe met een openbare evaluatieset BrowseSafe-Bench. Die bevat tienduizenden echte en gesimuleerde aanvalsscenario’s: verschillende injectie-strategieën, aanvalstypen en taalkundige stijlen. Dit moet helpen om verdedigingen te testen en verbeteren.

Hoe effectief is BrowseSafe?

Volgens Perplexity behaalt browseSafe een detectienauwkeurigheid (F1-score) van circa 90–91% op de benchmark.

Dat is aanzienlijk beter dan veel andere oplossingen: kleinere gespecialiseerde modellen (bv. PromptGuard-2) detecteren vaak maar ~35% van de aanvallen, en zelfs “frontier” LLMs (zoals futuristische modellen) halen vaak “slechts” 85-87%, maar met veel hogere latency.

Belangrijker nog: BrowseSafe is ontworpen voor real-time gebruik, de scans gebeuren parallel en snel genoeg om het surfen niet te vertragen.

Grenzen en kritische kanttekeningen

• Hoewel 90-91% detectie een grote stap is, is het niet 100%: sommige complexe, subtiele of indirecte injecties bijvoorbeeld met meertalige of cryptisch geformuleerde instructies kunnen mogelijk nog tussen de mazen glippen.

• De effectiviteit van BrowseSafe hangt af van acceptatie: de beveiliging werkt enkel als de browser (of de gebruiker) het systeem constant en correct gebruikt. Niet alle AI-browsers zullen BrowseSafe integreren.

• Zelfs met bescherming: gebruikers zouden AI-browsers idealiter vermijden bij gevoelige taken zoals bankzaken, e-mail, medische of juridische documenten zolang de technologie nog evolueert.

Waarom dit relevant is voor de toekomst van AI-browsing

De komst van BrowseSafe én de bijbehorende benchmark is een keerpunt in de evolutie van AI-browsers. Voor het eerst is er een schaalbare, systematische verdediging tegen het type aanvallen dat inherent is wanneer AI-agenten handelen in “open-web” omgevingen. Dit toont dat AI-browsing niet per se onveilig hoeft te blijven , dat veiligheid kan ingebouwd worden.

Tegelijk onderstreept het hoe belangrijk het is dat de hele industrie meedoet. Als elke aanbieder eigen, incompatibele oplossingen bouwt, blijft het fragiel. Een open benchmark zoals BrowseSafe-Bench kan helpen om gemeenschappelijke standaarden te creëren.

Voor gebruikers betekent het: binnenkort kunnen AI-browsers veilig én bruikbaar worden, mits met de juiste technologie én kritische mindset.