Gartner: 'Blokkeer AI-browsers op de werkvloer vanwege beveiligingsrisico's'

AI-browsers zijn voor de meeste organisaties een te groot risico om te gebruiken, waarschuwt ict-onderzoeksbureau Gartner. De standaardinstellingen voor software als Perplexity Comet en ChatGPT Atlas geven namelijk de gebruikerservaring voorrang boven beveiliging.

Vanuit beveiligingsoogpunt moeten organisaties het gebruik van AI-browsers blokkeren, adviseren analisten van Gartner in een rapport. Agentic AI, verpakt in webbrowsers, kan het gebruik van websites door gebruikers drastisch veranderen, door bijvoorbeeld transacties te automatiseren, schrijft The Register. Daarbij spelen echter flinke beveiligingsrisico's. Gartner concludeert dat dit cybersecurity te veel aantast en raadt securitytopmanagers aan om AI-browsers voorlopig geheel te blokkeren.

Het beveiligingsgevaar zit volgens de analisten van het onderzoeksbureau in het delen van gebruikersdata met AI- en cloudproviders. AI-functionaliteit die browsers in een zijbalk of deelvenster bieden, zoals het samenvatten van webpagina's of onlinevideo's, 'lekt' dan gevoelige gegevens. Dit omvat naast bezochte webpagina's en bekeken video's ook openstaande tabbladen, de browsegeschiedenis en meer, waarschuwt Gartner. Daarnaast zijn AI-browsers vatbaar voor promptinjectieaanvallen.

Blik op de backend

Organisaties die het gebruik van AI-browsers toch willen toestaan, moeten de instellingen voor beveiliging en privacy strak vastleggen en centraal beheren. Het Gartner-rapport stelt dat het mogelijk is om de securityrisico's van AI-browsers in te perken, maar dat daarvoor ook een inschatting nodig is van de achterliggende diensten die deze AI-agents gebruiken. Zijn de daar toegepaste beveiligingsmaatregelen wel in lijn met wat een organisatie zelf hanteert? Zo niet, is er dan sprake van een acceptabel risico?

Naast een inschatting van backenddiensten is het ook nodig om gebruikers te instrueren over het gebruik van AI-browsers. Alles wat gebruikers zien en doen met hun AI-browser kan mogelijk naar een AI-dienst worden verstuurd. Het is dus belangrijk dat gevoelige data niet in een browservenster is geopend wanneer AI-functionaliteit wordt gebruikt, aldus Gartner.

Reacties (41)

jeroen3 8 december 2025 14:53

Dit is natuurlijk ook van toepassing op de verschillende IDE voor software met AI, zoals vscode of jetbrains.

mxchael @jeroen3 • 8 december 2025 15:13

Dat is wel een wezenlijk verschil, toch? In een IDE werk je voornamelijk met je eigen, gecontroleerde source code en lokale omgeving. Met AI-browsers ga je het openbare, onveilige internet op, waar je websites bezoekt die dan mogelijk kwaadaardige prompts bevatten.

Een promp injectie kan dan zo je hele browsergeschiedenis lekken, of je opgeslagen wachtwoorden etc.

Forte @mxchael • 8 december 2025 15:21

Maar als jij in je IDE een .env of andere file met allerlei secrets hebt staan kan AI dat natuurlijk wel zo crawlen. IDE's met een agentic functie gaan nog verder, die kunnen zo je hele filesystem door. Zo raakte iemand al zijn hele D schijf kwijt na gebruik IDE van Google Antigravity.

timeraider @Forte • 8 december 2025 16:13

"'die kunnen zo je hele filesystem door"

meestal zolang je toegang geeft jup.. gewoon geen toegang geven tot dingen buiten de folder waar hij in moet zijn dus, lijkt me logisch

punishedbrains @timeraider • 8 december 2025 16:49

Dat klopt, maar ik heb ook geen flauw idee of dat dan ook ter aller tijden nooit gaat gebeuren. Het is een black box die netjes om toestemming vraagt, maar ik heb daar verder nauwelijks zicht op en dat maakt me wel voorzichtig. Ik had automatisch al een ongemakkelijk gevoel toen ik Claude "ls -l" zag uitvoeren op mijn systeem. :)

Ryunoru @timeraider • 8 december 2025 18:46

Als het allemaal zo simpel was als "gewoon geen toegang geven", hadden we nooit last gehad van trackers, virussen, etcetera. Was het maar zo'n feest!

mxchael @Forte • 8 december 2025 15:51

Klopt! Er kan een hoop mis gaan met AI tools en agents, dat is zeker een risico, maar dat zijn geen gecoördineerde aanvallen.

We hebben het hier dus niet over ongelukjes, data farming of privacy issues, maar echt gecoördineerde hacks door kwaadwillige derde partijen waar AI-browsers vatbaar voor zijn m.b.v. prompt injectie.

Pep7777 @jeroen3 • 8 december 2025 15:08

In feite geld het voor alle AI die niet "lokaal" gehost wordt.

jpsch @Pep7777 • 9 december 2025 10:08

Al hoost je het lokaal, kan er toch nog steeds info gedeeld worden met de buitenwereld?

demianmonteverd @jpsch • 9 december 2025 12:14

Je kunt ook de modellen lokaal draaien. Bijv. codestral van Mistral. Of qwen-coder, etc..

jpsch @demianmonteverd • 9 december 2025 14:16

Gaat niet om het draaien, gaat erom dat er misschien toch trainingsdata naar buiten lekt.

demianmonteverd @jpsch • 9 december 2025 14:40

Als je zelf lokaal modellen draait en je werkt met de lokale OpenAI API van die modellen (via bijv. een LMStudio of vllm) dan komt er niets naar buiten. Je kunt zelfs dan nog agents gebruiken, als je maar oplet welke het is, bijv. Aider kan gewoon werken met je lokale modellen.

Haiku @demianmonteverd • 9 december 2025 15:32

Dat hoor ik wel vaker langskomen.

Het model draait dan wel lokaal maar de informatie die nodig is voor het antwoord haalt het model toch niet van lokaal? Want dan zou je wat storage moeten vullen lijkt me.

Stel je draait OpenAI lokaal, maar ik vraag hoe kook ik een ei, dan moet het model dat toch ergens vandaan halen.. Of hoe gaat dat dan in z'n werk?

Llopigat

OpenAI
Browsers
Politiek en recht

@Haiku • 9 december 2025 16:40

Dat zit in de trainings data. Het kleinste OpenAI model dat je lokaal kan draaien (gpt-oss) is maar 20GB groot! En zelfs kleinere modellen kunnen zo'n vraag goed beantwoorden.

Je kan het koppelen aan zoekmachines maar dat is optioneel, en agents ook. Dat is wel prettig als je verifieerbare antwoorden wil hebben (met bronlinks). Maar zonder dat kan hij dat soort simpele vragen ook beantwoorden.

[Reactie gewijzigd door Llopigat op 9 december 2025 16:41]

demianmonteverd @Haiku • 9 december 2025 18:56

Llopigat legt het goed uit. Je gebruikt de kennis die het model heeft opgepikt tijdens de training. Daarom is het ook zo belangrijk dat er modellen gepubliceerd worden zoals de Qwen-reeks, gpt-oss-20b (die Llopigat aanhaald) en Mistral. Er zijn allerlei modellen die je lokaal kunt draaien, inclusief image generation, voice models en ga zo maar door. Ze lopen doorgaans achter op de flagships waarvoor je een cloud dienst moet afnemen. Ik haal het regelmatig aan, maar alleen al Mellum (een 4B model!) van Jetbrains, werkt erg goed, ook als je deze met neovim of vscode integreert (wel lastig om te doen de laatste keer dat ik dat probeerde). Als je meer wilt, dan gebruik je codestral, qwen-coder, etc..

Niet alles is geweldig, ze zijn vaak niet op de hoogte van de laatste libraries (als je die gebruikt) of bepaalde concepten zoals lch CSS truukjes doen ze nog niet echt denderend, etc..

Haiku @demianmonteverd • 15 december 2025 15:13

Dank jullie voor jullie uitleg! Weer wat wijzer geworden :-)

Omega @jeroen3 • 8 december 2025 14:56

Inderdaad. Wel een uitzondering om te noemen is wanneer je bedrijf een zakelijk contract heeft met een provider, in deze gevallen zitten hier (meestal) wel strenge eisen begaande dataveiligheid aan gebonden, zo wordt er dan bijvoorbeeld geen data opgeslagen.

GeroldM @Omega • 9 december 2025 14:38

Een velletje papier met wat inkt van een printer en een pen of 2, dat is lang niet zo'n goede "firewall" als jij denkt. En het gaat inderdaad meer over de uittocht van data, naast systeem manipulatie waardoor jij als bedrijf niet slagkrachtig genoeg bent en je concurrent jouw klanten en/of business kan overnemen.

demianmonteverd @jeroen3 • 9 december 2025 12:13

Het is ongeloofelijk dat ze niet allemaal dezelfde files accepteren. Jetbrains had .aiignore, aider heeft .aiderignore en ga zo maar door. Je zou zeggen, pak gewoon .aiignore en neem dat als standaard. Het is al vervelend genoeg als je zit met allerlei tooltjes met dotfiles en dan krijg je nog extra dotfiles voor ai-tooling als je dat wilt gebruiken.

Net zoals het met het begin van www ooit (met de robots.txt alternatieven), moet dit gewoon geregeld worden.

jeroen3 @demianmonteverd • 9 december 2025 12:53

Dit zal zich uiteindelijk wel recht trekken. De veranderingen zijn nu erg snel.

3raser 8 december 2025 15:00

In hoeverre weet je met een AI browser dat de content die je bekijkt niet gebruikt wordt om hun modellen te trainen?

DigitalExorcist @3raser • 8 december 2025 15:01

Door de EULA's goed na te lezen. :)

m-a-r-t-1 @3raser • 8 december 2025 15:13

Ik vermoed dat het eerder andersom is en dat je er vanuit kunt gaan daar alles dat je er mee doet gebruikt wordt om het model mee te trainen.

mafino 8 december 2025 14:56

Het 'internet' staat op een kantelpunt te veranderen naar een AI-tijdperk. Handige nieuwe functies die voor veel gebruikers echt voordelen biedt maar zich niet bewust zijn van de gevolgen als de gegevens door derden worden verwerkt.

Het zou verplicht moeten worden dat je binnen de browsers uitsluitend AI-functies wilt toe staan toegestane sites/webapplicatie en waarvoor die mogen worden gebruikt (net als cookies/popup-blocker etc), of is dit al zo?

blorf @mafino • 8 december 2025 15:04

Het is alleen maar een platform-insluit-spel. Dit is een goed voorbeeld. Wat heeft AI met een browser te maken? Waar het om gaat is dat de internetter niks anders meer kan gebruiken om aan informatie te komen.

mafino @blorf • 8 december 2025 16:08

Dat is zeker een belangrijke, ik denk zelf de internetter straks niet meer weet hoe hij aan informatie kan komen buiten AI om en dat mensen niet bewust zijn waar de bronnen zich bevinden.

De zoekmachines verwijzen zeer beperkt naar de onderliggende bronnen, waar de internetter/ai-consument al veel minder naar doorklikt, mensen zijn lui, ze hebben het antwoord toch al.

rocqua 9 december 2025 08:55

Ik mis een grote zorg, en lees in de reacties hier een 2e.

Mijn zorg is hallucinaties van de AI, in het sturen van web requests met authenticatie cookies. Dat soort web requests zijn de basis van de moderne samenleving en commercie. Je kan daarmee enorme hoeveelheden geld uitgeven, opdrachten of verklaringen maken naar belangrijke instanties, en publieke statements in jou naam doen. En AIs blijken via onder andere hallucinaties enorm foutgevoelig, zonder daar enige zelfremming in te hebben.

Dit wordt nog erger als je prompt injections meeneemt zoals veel andere reaguurders ook noemen.

Pablo 8 december 2025 15:01

Waarom zou ik uberhaupt a.i. browsers moeten blokkeren ?
Alles behalve hetgeen wat op de whitelist staat is geblokt.
Daarnaast hebben users geen rechten om zelf te installeren....

telenut @Pablo • 8 december 2025 15:15

Zeer leuk, maar dat werkt niet in elke omgeving natuurlijk. Dat krijg je niet verkocht aan de proffen op een universiteit bijvoorbeeld.

Pablo @telenut • 8 december 2025 15:23

Werken met een whitelist ?
Zeker wel.
zowel in Edu omgevingen gewerkt als omgevingen waar ook proffen en PHD's werken.
Ook daar is het in te regelen.
Ik kan mij bijna geen usecase verzinnen waarom je reguliere users, admin en install rechten zou willen geven.
ongeacht het opleidings niveau van iemand.
De ervaling leert hoe hoger ze zijn opgeleid, hoe minder ze van IT snappen.

Keypunchie

Marktontwikkelingen
Beveiliging

@Pablo • 8 december 2025 19:24

Behalve dan dat in omgevingen die zo dichtgetimmerd zijn, mensen gewoon hun werk op eigen devices gaan uitvoeren…

Doei beveiliging!

telenut @Pablo • 8 december 2025 21:13

Mijn ervaring leert: hoe hoger ze opgeleid zijn, hoe minder last ze willen hebben van IT problemen :-)
En management kijkt naar wat hun job brengt aan inkomsten, en dan naar wat IT security brengt aan aankomsten, en neemt dus nogal snel het besluit: IT, maak dat het veilig is, maar zie dat er niemand last van heeft é!

eurotypo @Pablo • 8 december 2025 15:09

sommige programma's installeren zich in het profiel van de gebruiker dus in een standaard omgeving kost het wat extra werk om dit soort programma's te blokkeren waardoor het voorkomt dat mensen dit wel zelfstandig kunnen installeren zonder administrator rechten.

Pablo @eurotypo • 8 december 2025 15:13

Ook dat gaat hier niet werken

GeroldM @Pablo • 9 december 2025 14:42

En daarom ontstaat er "schaduw-IT" in jouw toko. Want men ziet jou nu als een tegenstander die ieders "lekker" werken in de weg zit. Werknemers, ze zijn nogal wispelturig.

dEAd0 8 december 2025 20:17

Ik ben zo klaar met de AI hype/bubbel/race...
Laat me mijn hardware en software gebruiken zoals IK wil, desnoods tegen betaling...

CorneelV @dEAd0 • 9 december 2025 16:40

Kagi

dEAd0 @CorneelV • 10 december 2025 15:13

Gezondheid

Frituurbaas 8 december 2025 23:40

Ben zelf geen groot fan van Gartner. Over het algemeen is het een BCG-niveau advies dat vol open deuren zit en wat tegen betaling in een persoonlijk gesprek nogmaals aan je gegeven kan worden. Dat gezegd hebbende is het gevaar uiteraard reëel maar dat weet toch iedereen?

Sp3ci3s8472 8 december 2025 23:42

Prompt injection via een website, je moet wel gek zijn om zo'n browser te willen gebruiken.

Vind het raar dat ze dat niet als gevaar noemen.

PomPomPom 9 december 2025 10:00

Het lijkt dat bedrijven die AI diensten leveren het ook graag zo vaag mogelijk houden, wat ze met informatie doen en welke informatie ze van je systeem halen. Hieronder mijn mailwisseling met Jetbrains van IntelliJ.

Het is zeker wel mogelijk je 'eigen' AI te gebruiken, dat wil zeggen een die alleen binnen jouw organisatie blijft. Maar dat kost wel geld en tijd om het zo te regelen.

Thank you for contacting JetBrains support.
Let me address your questions one by one:

Could you please clarify the consequences wrt confidentiality of using AI for code assistance in IntelliJ?

You may find the answers to your question in the following articles:

Also, if you have a restriction on using a cloud model, you can consider this approach:

Are there any plans in the future that would make it possible for us to enter into a Data Processing Agreement with IDEA, where IDEA would use an inhouse LLM and keep data of different IDEA customers separate and in this way ensure confidentiality?

For on-premises scenarios, the JetBrains AI service is served by AI Enterprise that supports platform-specific LLMs. This lets the JetBrains AI service use customizable AI models, select and configure LLM providers according to the specific needs and privacy settings of your organization, all while ensuring you maintain complete control over the data and AI operations within your organization infrastructure.

If you don’t find the information you’re looking for, please let us know — we’ll be glad to help further.

Op dit item kan niet meer gereageerd worden.

Blik op de backend

Lees meer

Reacties (41)

Sorteer op:

Weergave: