Een USENIX-studie door onderzoekers van University College London, Mediterranea University of Reggio Calabria en University of California, Davis, gevonden dat populaire AI-browserextensies gevoelige gebruikersgegevens verzamelen, waaronder medische dossiers, bankgegevens, burgerservicenummers en sociale media-activiteit tijdens gesimuleerde real-world browserscenario’s. AI-ondersteunde webbrowsers ontstonden in 2025 en boden functies zoals websitesamenvattingen, verfijnde zoekopdrachten, chatbots en autonome taakuitvoering. Deze browsers dagen gevestigde opties zoals Google Chrome, Apple Safari, Microsoft Edge en Mozilla Firefox uit. Met Atlas van OpenAI kunnen gebruikers bijvoorbeeld rechtstreeks binnen de browserinterface zoekopdrachten uitvoeren of met ChatGPT communiceren. Google Chrome beheert ongeveer 70 procent van het wereldwijde gebruikersbestand. AI-browsers, waaronder Perplexity’s Comet, Opera Neon, Dai en ChatGPT, streven ernaar gebruikers aan te trekken via geavanceerde mogelijkheden. Oudere browsers zoals Firefox bevatten AI-elementen om hun marktaanwezigheid uit te breiden. McKinsey & Company voorspelt dat de browserindustrie in 2028 750 miljard dollar aan inkomsten zal genereren. AI-browsers vervullen functies die verder gaan dan internettoegang, zoals het invullen van formulieren, het doen van Amazon-aankopen of het herzien van essays. Ze werken via een altijd beschikbare chatbot die de inhoud van de website onderzoekt en agentische modi die complexe taken afhandelen. Deze processen vereisen analyse van open webpagina’s en integratie met eerdere verzoeken, zoekgeschiedenis en interacties. De meeste AI-browsers functioneren autonoom, zonder expliciete gebruikersinstructies of toestemming. Browserextensies dienen als interfaces voor generatieve AI-modellen, waaronder OpenAI’s ChatGPT, Google’s Gemini en Meta’s Llama. Extensies hebben toegang tot de applicatieprogrammeringsinterface van het grote taalmodel op de backend van de browser om gepersonaliseerde ervaringen te bieden. Voor autonome werking injecteren ze inhoudsscripts in webpagina’s, verwerkt door achtergrondservicemedewerkers. Deze opzet onderscheidt AI-browsers van standaard chatbots, die alleen door de gebruiker ingevoerde gegevens verwerken. AI-browsers halen automatisch informatie uit bezochte websites. Het USENIX-onderzoek van augustus 2025 richtte zich uitsluitend op browserextensies, niet op volledige AI-browsers, omdat toonaangevende producten zoals OpenAI’s Atlas en Perplexity’s Comet daarna werden gelanceerd. De onderliggende gegevensvereisten blijven voor beide typen identiek. Het onderzoek, dat werd gepresenteerd op het USENIX Security Symposium van 2025, onderzocht extensies zoals ChatGPT voor Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind en Microsoft’s Copilot. Onderzoekers repliceerden het dagelijkse browsen in privé- en openbare contexten, waaronder het lezen van nieuws, kijken op YouTube, toegang tot pornografie en het invullen van belastingformulieren. Privacytests omvatten specifieke aanwijzingen om verzamelde gegevens te identificeren. Extensies legden afbeeldingen en tekstinhoud vast, waaronder medische diagnoses, burgerservicenummers en voorkeuren voor dating-apps. Merlin stuurde bankgegevens en gezondheidsgegevens door naar externe bestemmingen. Merlin en Sider AI legden activiteit vast, zelfs in privé-browsingmodi. Uit verkeersdecoderingsanalyse bleek dat meerdere assistenten de inhoud van webpagina’s doorstuurden naar hun servers en trackers van derden. Sider en TinaMind stuurden gebruikersprompts en identificerende details zoals IP-adressen door naar Google Analytics, waardoor het volgen van gebruikers tussen sites werd vergemakkelijkt. Microsoft’s Copilot behield de chatgeschiedenis van eerdere sessies op de browserachtergrond en bleef bij alle toepassingen behouden. Google, Copilot, Monica, ChatGPT en Sider analyseerden de gebruikersactiviteit om profielen samen te stellen op basis van leeftijd, geslacht, inkomen en interesses, en pasten deze toe voor gepersonaliseerde reacties gedurende meerdere sessies. Onder de geteste assistenten toonde Perplexity de sterkste privacymaatregelen. Het ontbrak de mogelijkheid om eerdere interacties te herinneren, en de servers vermeden toegang tot persoonlijke gegevens binnen privé-browseruimtes. Perplexity verwerkte nog steeds paginatitels en informatie over de locatie van de gebruiker. De overstap van extensies naar zelfstandige browsers brengt aanhoudende privacyproblemen aan het licht. OpenAI’s Atlas en Perplexity’s Comet, de toonaangevende AI-browsers, vertonen praktijken voor gegevensverzameling. OpenAI stelt dat Atlas selectief inhoud analyseert, maar deze selectiviteit sluit privacyoverwegingen uit. De chatbot verwerkt alle websiteafbeeldingen en tekst. De belangrijkste functies van Atlas zijn afhankelijk van optionele geheugenfuncties die afbeeldingen van de browsegeschiedenis vasthouden om gebruikersinteracties aan te passen. Gebruikers kunnen niet specificeren welke website-elementen de browser ophaalt. De helppagina van OpenAI schetst de stappen om dit probleem te verhelpen: het verwijderen van pagina’s uit de chatinterface, het blokkeren van gevoelige URL’s voor toegang tot de chatbot en het wissen van de browsegeschiedenis. Perplexity’s Comet houdt de zoekgeschiedenis bij op de lokale apparaten van gebruikers in plaats van op bedrijfsservers. Het heeft toegang tot URL’s, tekst, afbeeldingen, zoekopdrachten, downloadgeschiedenis en cookies om kernactiviteiten te ondersteunen. De agentmodus van Comet en de persoonlijke zoekfunctie Memory maken gebruik van de zoekgeschiedenis en voorkeuren voor het voltooien van taken. De browser vraagt toestemming voor Google-accounts, voor e-mails, contacten, instellingen en agenda’s. Het ondersteunt opt-in-integraties met derde partijen. Beveiligingsexperts adviseren om de zijbalk van de chatbot te beperken tot niet-gevoelige webpagina’s. Perplexity biedt een gedetailleerde uitleg over gegevensinstellingen op haar website. Eenmaal opgeslagen op AI-bedrijfsservers vallen gebruikersgegevens buiten de individuele controle. Aanbieders gebruiken deze gegevens opnieuw om grote taalmodellen te trainen, vaak zonder expliciete toestemming. Soortgelijke praktijken vinden plaats op sociale media, e-commerce, zoekmachines en berichtenplatforms via ondoorzichtige overeenkomsten en standaardopt-ins. Browsers hebben toegang tot bijzonder gevoelige informatie. OpenAI heeft in de eerste helft van 2025 aan 105 gegevensverzoeken van de Amerikaanse overheid voldaan. Atlas biedt twee opties voor gegevensgebruik. De standaard “Verbeter het model voor iedereen” staat OpenAI toe webpagina-informatie op te nemen in ChatGPT-training tijdens chatbot-query’s. “Inclusief surfen op internet” integreert de volledige browsegeschiedenis in trainingsdatasets. OpenAI anonimiseert gegevens voorafgaand aan het gebruik van het model, hoewel de details over de anonimiseringsgrenzen beperkt blijven. Gebruikers kunnen beide instellingen uitschakelen. AI-browsers worden vanwege hun operationele ontwerp geconfronteerd met aanzienlijke beveiligingsproblemen. Dankzij snelle injectie-aanvallen kunnen hackers kwaadaardige instructies in backend-systemen insluiten. AI-browsers hebben moeite om deze te onderscheiden van legitieme invoer, waardoor het risico bestaat dat inloggegevens, bankgegevens en persoonlijke gegevens worden geëxtraheerd. Het onderzoek van Brave uit oktober 2025, uitgevoerd door het privacyonderzoeksteam, identificeerde snelle injecties als een systemische uitdaging voor AI-browsers, waardoor het risico op phishing toeneemt. LayerX Security meldde dat Perplexity Comet-gebruikers 85 procent meer kwetsbaar zijn voor dergelijke aanvallen vergeleken met Google Chrome-gebruikers. OpenAI Chief Information Officer Dane Stuckey verklaarde op X dat snelle injectie “een grensverleggend, onopgelost veiligheidsprobleem blijft”. Perplexity’s blogpost riep AI-bedrijven op om “de beveiliging van de grond af aan te heroverwegen”.
