BioShocking: wanneer het ‘manipuleren’ van AI-agenten geen spelletje meer is

| 1 juli 2026
bioshocking – er is maar één uitweg

Door AI aangestuurde browsers en agents beloven het saaie werk bij webtaken uit handen te nemen. Ze kunnen pagina’s samenvatten, gegevens uit je accounts ophalen en zelfs fungeren als een slimme assistent die voor je klikt en typt. Maar uit nieuw onderzoek blijkt dat wanneer die assistenten het onderscheid tussen de werkelijkheid en een spel kwijtraken, je inloggegevens en gevoelige informatie het slachtoffer kunnen worden.

Het kenmerk van elk type aanval is dat het een van de basisregels omzeilt:

“LLM’s zijn ontworpen met veiligheidsmaatregelen die bedoeld zijn om schadelijke handelingen te voorkomen.”

Onderzoeker Roy Paz heeft een aanval bedacht en bekendgemaakt die hij „BioShocking“ noemt, een techniek waarmee AI-browsers worden overgehaald om hun veiligheidsmaatregelen te negeren door hen een fictief scenario als de werkelijkheid voor te schotelen.

Hiermee bevindt BioShocking zich op het snijvlak van prompt-injectie en doelmanipulatie. Prompt-injectie werkt omdat AI-modellen geen onderscheid kunnen maken tussen de instructies van de app en die van de aanvaller, waardoor ze soms de verkeerde instructies opvolgen. Bij doelmanipulatie-aanvallen wordt op subtiele wijze veranderd waar de agent denkt op te moeten optimaliseren, waardoor „de gebruiker helpen“ verandert in „het spel koste wat kost winnen“.

In de BioShocking-proof-of-concept beheert de aanvaller een ogenschijnlijk onschuldige webpagina die is gebaseerd op het speluniversum van BioShock. De pagina bevat een puzzel die de AI-agent, die fungeert als een autonome browser, namens de gebruiker moet oplossen. Maar hier zit de clou: de puzzel beloont foute antwoorden en maakt de agent expliciet duidelijk dat dit een speciale omgeving is waar de gebruikelijke regels niet gelden.

De laatste stap van de puzzel geeft de agent de opdracht om een GitHub-repository te bezoeken, gevoelige gegevens zoals wachtwoorden of inloggegevens in de code op te sporen en deze te delen als onderdeel van het voltooien van het spel. Bij tests met zes gangbare AI-browsers en -plug-ins – ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser en de Chrome extensie– volgde elke agent de instructies op in plaats van het verzoek te weigeren.

Door de AI-agent dus onder te dompelen in een fictieve werkelijkheid, wist de aanvaller hem ervan te overtuigen om buiten de veiligheidsgrenzen te treden.

BioShocking is geen op zichzelf staand fenomeen. Het is weer een voorbeeld van een groeiende categorie aanvallen waarbij AI-agenten zelf het doelwit zijn. Uit een recent onderzoek naar de AI-e-mailagent van OpenClaw is gebleken dat de agent met behulp van eenvoudige phishingtactieken kon worden misleid, waardoor AWS-inloggegevens en klantgegevens werden gelekt.

Het is duidelijk dat het algemene zwakke punt ligt in de manier waarop deze browsers omgaan met geauthenticeerde contexten. Wanneer een AI-browser in de „agentmodus“ werkt, neemt hij vaak de ingelogde status van de gebruiker over op gevoelige platforms zoals e-mail, coderepositories, clouddashboards, wachtwoordbeheerders, enzovoort. Vanuit het perspectief van het AI-model zijn dat gewoon weer een pagina om te lezen en meer velden om te kopiëren. Ze hebben voor het model geen speciale betekenis.

Als uit de context blijkt dat het kopiëren van inloggegevens deel uitmaakt van een onschuldige uitdaging, zullen veel huidige implementaties hieraan meewerken.

Wat zorgwekkend is, is de reactie – of het gebrek daaraan – van de leveranciers. Paz heeft het BioShocking-probleem in oktober 2025 gemeld bij zes betrokken leveranciers. Volgens het rapport hebben drie van hen niet gereageerd, en alleen ChatGPT Atlas van OpenAI heeft momenteel een oplossing geïmplementeerd die de proof-of-concept blokkeert. Anthropic heeft geprobeerd zijn Claude Chrome te patchen, maar naar verluidt blijft de maatregel ondoeltreffend tegen het aanvalsscenario. Perplexity AI had het probleem op het moment van rapporteren afgesloten zonder een oplossing te bieden.


We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.