Er zijn ernstige kwetsbaarheden gevonden in de onlangs uitgebrachte Atlas-browser van OpenAI.
Een browser is iets wat we meerdere keren per dag gebruiken, waardoor het een perfect contactpunt is voor technologiebedrijven die wereldheerschappij nastreven — of op zijn minst de concurrentie voor willen blijven. De modaliteiten van dit programma, waarvan de lijst met toepassingen schijnbaar eindeloos blijft groeien, brengen met zich mee dat er allerlei soorten gegevens via de browser worden ingediend. Dit maakt het profileren van klanten — en wij zijn voor big tech allemaal klanten — tot een eenvoudige opgave. Deze profielen worden vervolgens gebruikt om gerichte advertenties te tonen, wat nog de meest onschuldige manier is waarop dergelijke data kunnen worden misbruikt.
Het is dan ook niet verwonderlijk dat bedrijven zoals Google hun eigen browsers hebben gebouwd. Evenmin is het verrassend dat de huidige koplopers in de AI-race zo’n product aan hun portfolio willen toevoegen. Er zijn inmiddels ongeveer een dozijn AI-gestuurde browsers, of browsers die beweren dat te zijn, van Perplexity’s Comet en Dia tot Opera Neon (blijf op de hoogte; we publiceren binnenkort een overzichtsartikel over AI-gebaseerde browsers).
Op 21 oktober 2025 sloot OpenAI zich met Atlas bij de race aan. Vooralsnog is alleen een macOS-versie beschikbaar voor het publiek. De browser is expliciet “agentic” — in staat om namens de gebruiker betekenisvolle acties uit te voeren — wat, zo blijkt, zowel een zegen als een vloek is.
Belangrijkste kwetsbaarheden in OpenAI’s Atlas (per oktober 2025)
Prompt-injectie-aanvallen. Net als andere AI-gebaseerde browsers is ChatGPT Atlas kwetsbaar voor indirecte prompt-injectie-aanvallen. Deze omvatten kwaadaardige instructies die in een webpagina of ingesloten tekst zijn verborgen. De prompts zijn ontworpen om de AI-agent acties te laten uitvoeren die kwaadwillenden ten goede komen, variërend van het delen van gevoelige informatie tot het op de een of andere manier veroorzaken van financiële schade.
Klembord-injectie-exploit. Dit is bijzonder interessant: de AI kan ertoe worden gebracht een link naar het klembord te kopiëren, die de gebruiker later in de adresbalk van de browser kan plakken. Het behoeft geen betoog dat de link naar een phishingsite leidt.
UI-redressing en fullscreenspoofing (CVE-2025-7021). Deze kwetsbaarheid heeft al een CVE-nummer (Common Vulnerabilities and Exposures) gekregen. De browser kan de fullscreen-API en UI-rendering mogelijk niet correct afhandelen, waardoor hij niet kan detecteren wanneer een site phishinginhoud over de interface heen legt. Ook kunnen de bedieningselementen mogelijk niet goed reageren op spoofing.
Een dieper probleem ligt in het kernontwerp van de browser: realtime-integratie met OpenAI’s grote taalmodel betekent dat Atlas ten minste enkele gegevens naar de servers van het bedrijf verzendt, wat een bepaalde interne geheugenruimte vereist die mogelijk kan worden benaderd of misbruikt.
De situatie is in ontwikkeling; blijf op de hoogte voor verdere berichtgeving en richtlijnen over hoe de inherente tekortkomingen van AI-gebaseerde browsers kunnen worden beperkt.
