Uit een onderzoek van het USENIX Security Symposium, gepubliceerd in augustus 2025, bleek dat populaire AI-browserextensies gevoelige gebruikersgegevens verzamelen, waaronder medische dossiers, bankgegevens, burgerservicenummers en activiteiten op sociale media. Onderzoekers van University College London, Mediterranea University of Reggio Calabria en University of California, Davis voerden de analyse uit. De bevindingen brachten de privacyrisico’s in AI-ondersteunde webbrowsers aan het licht, die sinds hun introductie in 2025 aan populariteit hebben gewonnen.
AI-ondersteunde browsers zoals OpenAI’s Atlas en Perplexity’s Comet bieden functies zoals websitesamenvattingen, verfijnde zoekopdrachten, chatbots en autonome taakuitvoering. Deze tools dagen gevestigde browsers uit, waaronder Google Chrome, dat 70 procent van de wereldmarkt in handen heeft, Safari, Edge en Firefox. Andere deelnemers zijn onder meer Opera Neon-, Dai- en ChatGPT-integraties. McKinsey & Het bedrijf voorspelt dat de browserindustrie in 2028 750 miljard dollar aan inkomsten zal genereren.
AI-browsers functioneren via permanente chatbots die open webpagina’s analyseren en agentische modi die taken uitvoeren zoals het invullen van formulieren, winkelen op Amazon of het bewerken van essays. Ze verwerken de inhoud van webpagina’s naast eerdere verzoeken, zoekgeschiedenis en interacties zonder gebruikersinstructies. Browserextensies dienen als interfaces voor modellen als OpenAI’s ChatGPT, Google’s Gemini en Meta’s Llama. Extensies injecteren inhoudsscripts in webpagina’s via achtergrondservicemedewerkers, waardoor autonoom gegevensschrapen mogelijk wordt. Dit verschilt van webgebaseerde chatbots, die alleen gebruikersinvoergegevens verwerken.
Het USENIX-onderzoek richtte zich op browserextensies in plaats van op volledige browsers, zoals leiders als Atlas en Comet na voltooiing ervan lanceerden. Onderzochte extensies waren onder meer ChatGPT voor Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind en Microsoft’s Copilot. Onderzoekers simuleerden browsen in privé- en openbare contexten: nieuws lezen, YouTube-video’s bekijken, pornografie bekijken en belastingformulieren invullen. Extensies legden afbeeldingen en tekst vast, zoals medische diagnoses, burgerservicenummers en voorkeuren voor dating-apps.
Merlin heeft bankgegevens en gezondheidsgegevens doorgegeven. Merlin en Sider AI registreerden activiteit, zelfs in privé-browsingmodi. Verkeersanalyse na decodering toonde transmissies naar bedrijfsservers en trackers van derden. Sider en TinaMind deelden gebruikersprompts en IP-adressen met Google Analytics, waardoor cross-site tracking mogelijk werd gemaakt. Microsoft’s Copilot behield de chatgeschiedenis van sessies in browseropslag.
Google, Copilot, Monica, ChatGPT en Sider profileerden gebruikers op leeftijd, geslacht, inkomen en interesses voor gepersonaliseerde reacties gedurende meerdere sessies. Perplexity kwam naar voren als de meest privacy-respecterende onder de geteste tools. Het herinnert zich geen eerdere interacties en de servers vermijden persoonlijke gegevens uit privéruimtes. Perplexity verwerkt nog steeds paginatitels en gebruikerslocatie.
OpenAI heeft Atlas na het onderzoek vrijgegeven. OpenAI stelt dat Atlas selectief de inhoud analyseert, maar alle websiteafbeeldingen en tekst verwerkt. Optionele geheugenfuncties slaan browsegeschiedeniselementen op om ervaringen aan te passen. Gebruikers kunnen niet specificeren welke site-aspecten de browser ophaalt. De helppagina van OpenAI adviseert pagina’s uit het chatvenster te verwijderen, gevoelige URL’s te blokkeren of de geschiedenis te verwijderen om de blootstelling te beperken.
Atlas bevat twee gegevensgerelateerde instellingen. “Verbeter het model voor iedereen” wordt standaard geactiveerd en staat OpenAI toe om webpaginagegevens van chatbotquery’s te gebruiken voor ChatGPT-training. Met ‘Webbrowsen opnemen’ wordt de volledige browsegeschiedenis in de training opgenomen. OpenAI anonimiseert gegevens vóór gebruik in de training, hoewel de details over grenzen beperkt blijven. Gebruikers kunnen beide instellingen uitschakelen.
Perplexity’s Comet slaat de zoekgeschiedenis lokaal op gebruikersapparaten op, niet op servers. Het heeft toegang tot URL’s, tekst, afbeeldingen, zoekopdrachten, downloadgeschiedenis en cookies voor kernfuncties. De agentmodus en de geheugentool van Comet analyseren de zoekgeschiedenis en voorkeuren. De browser vraagt om toegang tot een Google-account, inclusief e-mails, contacten, instellingen en agenda’s, met aanmelding voor integraties van derden. De uitlegpagina van Perplexity geeft details over gegevensinstellingen. Experts raden aan om de zijbalk van de chatbot te beperken tot niet-gevoelige pagina’s.
AI-bedrijven hergebruiken opgeslagen gebruikersgegevens vaak zonder expliciete toestemming voor training van grote taalmodellen. Deze praktijk strekt zich verder uit dan AI en strekt zich uit tot sociale media, retailers, zoekmachines en berichtendiensten via ondoorzichtige overeenkomsten en standaardopt-ins. Browsers hebben toegang tot gevoeligere informatie dan andere platforms. OpenAI heeft in de eerste helft van 2025 aan 105 gegevensverzoeken van de Amerikaanse overheid voldaan.
Kwetsbaarheden in de beveiliging verergeren privacyproblemen. Dankzij snelle injectie-aanvallen kunnen hackers kwaadaardige inhoud insluiten in de backends van browsers, die niet te onderscheiden zijn van legitieme invoer. Deze maken phishing en diefstal van inloggegevens, bankgegevens en persoonlijke gegevens mogelijk.
Een dappere studie in oktoberBer 2025 beschreef snelle injecties als een systemische uitdaging voor AI-browsers, waardoor het risico op phishing toeneemt. LayerX Security meldde dat Perplexity Comet-gebruikers met 85 procent meer kwetsbaar zijn voor dergelijke aanvallen vergeleken met Chrome-gebruikers. OpenAI Chief Information Officer Dane Stuckey verklaarde op X dat snelle injectie “een grensverleggend, onopgelost veiligheidsprobleem blijft”. Perplexity’s blog riep AI-bedrijven op om “de beveiliging van de grond af aan te heroverwegen”.
De USENIX-onderzoekers testten extensies in gecontroleerde scenario’s om de gegevensverzameling te meten. Bij het bladeren door nieuws registreerden extensies artikeltekst en afbeeldingen. YouTube-sessies resulteerden in het vastleggen van videominiaturen en het schrapen van reacties. Pornografiesites leidden tot beeld- en voorkeursregistratie. Simulaties van belastingformulieren brachten burgerservicenummers en financiële details aan het licht.
Gedecodeerd verkeer van Merlin toonde de overdracht van medische gegevens in platte tekst, inclusief diagnoses zoals aantekeningen over diabetesbeheer en bankaanmeldingen met rekeningnummers. De pakketten van Sider AI bevatten IP-adressen gecombineerd met aanwijzingen met persoonlijke identificatiegegevens. TinaMind stuurde vergelijkbare gegevens naar de eindpunten van Google Analytics.
In de lokale opslag van Copilot werden gesprekslogboeken bewaard, inclusief vragen over financiële planning gekoppeld aan inkomensgegevens van eerdere sites. Voorbeelden van profilering zijn onder meer dat Sider het geslacht van gebruikers afleidt van winkelsites en de leeftijd van nieuwsvoorkeuren, en deze toepast op advertentie-achtige aanbevelingen.
De beperkingen van Perplexity verhinderden het geheugen tussen sessies en blokkeerden profilering. De serverlogboeken bevatten alleen metagegevens zoals paginatitels (“Login – Bank of America”) en geolocatiecoördinaten, zonder inhoudspayloads van privétabbladen.
Atlas-documentatie bevestigt beeld-OCR en tekstextractie op alle tabbladen. Geheugensnapshots omvatten URL-lijsten en samengevatte geschiedenissen, zoals ‘Bezocht Amazon-karretje met elektronica’. De trainingsopt-ins verwerken gegevens via anonimiseringspijplijnen, hash-IP’s en aggregatiesessies, volgens de openbaarmakingen van OpenAI.
De lokale opslag van Comet gebruikt IndexedDB voor geschiedenis en synchroniseert optioneel met Perplexity-accounts. Voor de Google-integratie zijn OAuth-bereiken vereist voor lees-/schrijftoegang tot Gmail en Agenda. Tools van derden, zoals Zapier, maken verbinding via API-sleutels.
Overheidsverzoeken aan OpenAI omvatten dagvaardingen voor dreigingsonderzoeken en nationale veiligheidsbevelen, voor 6.000 gebruikersaccounts. Nalevingslogboeken beschrijven gegevenstypen: chats, bestanden en IP-traceringen.
De analyse van Brave uit oktober simuleerde 500 injectiepogingen in verschillende browsers. AI-modellen voerden 72 procent van de kwaadaardige aanwijzingen uit, tegenover 4 procent in traditionele browsers. LayerX testte 1.200 gebruikers: Comet-sessies leverden 2,1 exploits per uur op, Chrome 1.1.
De mechanismen voor het injecteren van extensies zijn afhankelijk van Manifest V3-servicemedewerkers en verlenen machtigingen voor brede tabbladen. Autonomie komt voort uit “content_scripts” die overeenkomen met alle URL’s, waardoor DOM-bomen naar LLM’s worden geleid.
De marktcontext toont het aandeel van 70 procent van Chrome uit StatCounter-gegevens eind 2025. AI-browsers veroverden samen 12 procent, per SoortgelijkeWeb. Firefox AI-integraties verhoogden zijn aandeel naar 8 procent.
