Promptinjections vermomd als URL's vormen een nieuw risico voor AI-browsers

De truc is eenvoudig. Een aanvaller maakt een link die op een URL lijkt maar niet aan de regels voldoet. Achter die tekst staat een gewone zin met instructies. Atlas ziet de gehele invoer niet als webadres maar als een opdracht. De ingebedde instructies gelden dan als gebruikersintentie met hoge vertrouwensstatus, meldt NeuralTrust in een recent gepubliceerd onderzoek.

De gebruiker heeft altijd gelijk

De onderzoekers laten zien hoe het mis kan gaan met een dergelijke manier van werken. Het is vrij simpel. Het probleem is namelijk dat een malafide link, mogelijk verborgen onder een knop "copy link", zo geschreven kan zijn dat de AI dit interpreteert als normale taal en het dus ziet als een opdracht van de gebruiker. De AI zal hierbij geen twijfel trekken aan de opdracht, omdat hij deze ziet als afkomstig van de gebruiker en dit daardoor niet in twijfel zal trekken.

Dit verschilt van eerdere prompt‑injecties waarbij kwaadaardige tekst op een webpagina of in een afbeelding wordt gelezen als instructie. Deze zijn niet direct afkomstig van de gebruiker en worden door veel AI's daardoor extra gescreend. Voor de nieuwe manier van aanvallen is dus wel enige beïvloeding van de gebruiker nodig, maar wie uiteindelijk zonder te checken een link kopieert en plakt, loopt dus een risico.

URL of tekst?

De kernfout ligt in het scheiden van vertrouwde invoer en onbetrouwbare tekst. Atlas, en daarmee vermoedelijk ook andere AI-browsers, moeten een invoer herkennen als URL of als andere tekst. Als de URL‑controle faalt, valt de AI-browser terug op het interpreteren van de invoer als opdracht.

NeuralTrust adviseert duidelijke grenzen. Geen fallback naar opdrachtmodus wanneer het de URL-check faalt. Stop navigatie bij onduidelijke invoer. Behandel tekst in de invoerbalk standaard als onbetrouwbaar en vraag om bevestiging voor krachtige acties. Dat verkleint het aantal verrassingen.

OpenAI heeft nog niet gereageerd op de bevindingen.