De onlangs gelanceerde ChatGPT Atlas-browser belooft sneller zoeken en “agentic” hulp bij online taken, maar kort na de release zijn meerdere, concrete kwetsbaarheden openbaar geworden.
Dit is geen theoretisch risico: in de week van 21–27 oktober 2025 lieten verschillende onderzoeken zien hoe Atlas gevoelige gegevens kan lekken en hoe aanvallers het AI-gedrag kunnen kapen. Organisaties doen er verstandig aan om het uitrollen van Atlas voorlopig te blokkeren en eerst beleid, monitoring en mitigaties op orde te brengen.
Onversleutelde OAuth-tokens in Atlas openen de deur naar sessiekaping
Onderzoekers toonden aan dat Atlas op macOS werkende OAuth-tokens onversleuteld in een lokaal SQLite-bestand bewaart, met permissies die uitlezen door andere processen mogelijk maken. Daarmee kan een aanvaller sessies overnemen en profielen of gespreksgeschiedenis opvragen, zonder extra authenticatie. Dit probleem werd al op 24 oktober 2025 uitvoerig gedocumenteerd en staat haaks op gangbare browsers die systeemkeychains gebruiken voor secrets-bescherming. Zolang dit gedrag niet aantoonbaar is verholpen, hoort Atlas niet op systemen met bedrijfsdata.
Prompt-injectie en AI-manipulatie: wanneer de assistent tegen je werkt
Naast lokale opslagkwetsbaarheden melden beveiligingsexperts dat Atlas gevoelig is voor prompt-injecties via webcontent. Kwaadwillenden kunnen instructies verstoppen in pagina’s of URL’s, waardoor de ingebouwde AI ongewenste acties uitvoert of data prijsgeeft. Dit vergroot de kans dat interne informatie — denk aan snippets uit geheugen of recente opdrachten — via de browseromgeving weglekt. De kern van het risico is dat data en instructies in één kanaal samenkomen, met een AI-agent die die context actief gebruikt.
Analistenadvies aan enterprises: stel implementatie uit en isoleer testgebruik
Gezien de combinatie van lokale token-exposure en injectierisico’s raden analisten expliciet af om Atlas in bedrijfsomgevingen te installeren. Het advies is om testgebruik te beperken tot strak geïsoleerde sandboxes, met verscherpte logging en zonder toegang tot productiesystemen of cloud-adminrollen. Dit standpunt werd kort na de lancering breed uitgedragen en is tot op heden niet wezenlijk weerlegd door security-patchdetails of transparante releasenotes.
Praktijktest: significant hogere kwetsbaarheid dan gevestigde browsers
Veldtesten en vergelijkingen laten zien dat Atlas veel meer malafide pagina’s doorlaat dan mainstream browsers. Publieke rapportage spreekt over een veelvoud aan succesvolle aanvallen vergeleken met bijvoorbeeld Chrome, waarbij phishing, CSRF en injecties relatief gemakkelijk slagen. Voor organisaties betekent dit dat het totale aanvalsoppervlak toeneemt zodra eindgebruikers overstappen op een AI-geïntegreerde browser zonder volwassen mitigaties.
Wat betekent dit allemaal?
Wie eindgebruikers browserkeuze wil bieden, kan Atlas alleen onder strikte voorwaarden laten testen: op niet-bevoorrechte accounts, met gescheiden identiteiten, en zonder toegang tot gevoelige SaaS-tenants of bedrijfs-SSO. Productiegebruik is af te raden totdat een onafhankelijke bevestiging beschikbaar is dat tokenopslag versleuteld is en dat AI-injectiemitigatie aantoonbaar werkt.
Combineer dit met heldere awareness-boodschappen richting medewerkers: AI-assist is geen vrijbrief om vertrouwelijke data in een browsercontext te plakken. Voor het uitrollen van structurele verbeteringen helpt een volwassenheidsmodel; praktische handvatten staan in het artikel Cybersecurity Maturity Model (CMM) als managementinstrument.
Vervolgstappen voor risicogedreven adoptie van AI-browsers zonder hype
De belofte van AI-assisted browsing is groot, maar adoptie vraagt dezelfde volwassenheid als elke andere high-risk technologie. Begin desnoods met een pilot in een streng gecontroleerde VDI-omgeving, beoordeel logs op datalekindicatoren en leg vast welke gegevens niet via AI-browsers mogen stromen. Eis daarnaast leverancierstransparantie: detailleer welke beveiligingscontroles zijn geïmplementeerd, hoe secrets worden beschermd, welke third-party audits bestaan en hoe snel updates security-relevante regressies oplossen.
Conclusie: wacht met uitrollen, eis transparantie en volledige fixes
Zonder aantoonbare encryptie van tokens, duidelijke mitigaties tegen prompt-injecties en onafhankelijke testresultaten is Atlas geen veilige standaardbrowser voor zakelijke inzet. Communiceer dit standpunt actief naar stakeholders, documenteer de afwijking van standaardsoftware en vraag leveranciers om concrete patchdetails en auditbare releasenotes voordat heroverweging aan de orde is. De combinatie van onversleutelde sessietokens en AI-manipulatie is precies het soort tweesnijdend zwaard dat aanvallers zoeken; neem dus geen onnodig risico in een periode waarin de feiten over Atlas nog te vers zijn.
Wie verder wil inzoomen op detectie en respons vindt achtergrond in de rol en ontwikkeling van AI en ML in moderne cybersecurity-oplossingen.
Bronnen en verdere lectuur
Dit artikel is gebaseerd op berichtgeving en analyses die in de periode 23–27 oktober 2025 zijn gepubliceerd, waaronder een diepgaande rapportage over kwetsbaarheden in de Atlas-browser bij Fortune (23 oktober 2025), een waarschuwing van analisten voor enterprise-gebruik bij Computerworld (24 oktober 2025), een kritische vergelijking met Google Chrome bij Forbes (27 oktober 2025) en technische details over datalekken en manipulatie bij CybersecurityNews (24 oktober 2025).
Fortune — Experts warn OpenAI’s ChatGPT Atlas has security flaws:
https://fortune.com/2025/10/23/cybersecurity-vulnerabilities-openai-chatgpt-atlas-ai-browser-leak-user-data-malware-prompt-injection/
Computerworld — Enterprises should not install OpenAI’s new Atlas browser, analysts warn:
https://www.computerworld.com/article/4078115/enterprises-should-not-install-openais-new-atlas-browser-analysts-warn.html
Forbes — ChatGPT Atlas ‘90% More Vulnerable’ To Attacks Than Google Chrome:
https://www.forbes.com/sites/zakdoffman/2025/10/27/chatgpt-atlas-soundly-beaten-by-google-chrome-browse-carefully/
CybersecurityNews — ChatGPT Atlas Stores OAuth Tokens Unencrypted / exposes users:
https://cybersecuritynews.com/chatgpt-atlas-exposes-users/
