ceLLMate: Sandboxing Browser AI Agents

Dit paper introduceert ceLLMate, een browser-uitbreiding die browser-gebaseerde AI-agenten beveelt tegen prompt-injectieaanvallen door hun macht te beperken op het HTTP-niveau, waardoor de kwetsbaarheid van laag-niveau UI-acties wordt omzeild met een minimale vertraging.

De kern

CELLMATE: De Digitale Boodschapper met een Onbreekbare Koffer

Stel je voor dat je een zeer slimme, maar naïeve digitale assistent hebt. Laten we hem "de Agent" noemen. Deze Agent kan voor jou online boodschappen doen, e-mails beantwoorden of reserveringen maken. Hij doet dit precies zoals jij dat zou doen: hij klikt op knoppen, scrolt door pagina's en typt tekst in.

Het probleem? De Agent is als een klein kind dat alles gelooft wat hij leest. Als een boze hacker een slimme, verborgen boodschap verbergt op een website (bijvoorbeeld in een productbeoordeling), kan de Agent die boodschap lezen en denken: "Oh, de gebruiker wil nu zijn geheime wachtwoorden naar deze hacker sturen!" En dat doet hij dan ook, zonder dat jij het merkt. Dit heet een prompt-injectie-aanval.

De onderzoekers van dit paper hebben CELLMATE bedacht. Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het Probleem: De "Semantische Kloof"

Vroeger dachten beveiligingsexperts: "Laten we de Agent gewoon verbieden om op bepaalde knoppen te klikken of naar bepaalde plekken te scrollen."

Maar dat werkt niet goed. Het is alsof je een kind verbiedt om op een specifieke rode knop te drukken. Maar als de knop morgen blauw wordt, of als het kind via een andere route (zoals een zoekmachine) toch bij datzelfde doel komt, faalt je beveiliging. De Agent ziet alleen "klik hier", maar jij wilt weten "wat gebeurt er eigenlijk?" (bijvoorbeeld: "Is dit een aankoop van €50 of €5000?").

Er is een enorme kloof tussen wat de Agent doet (klikken) en wat er echt gebeurt (geld overmaken).

2. De Oplossing: CELLMATE als de "Douane"

CELLMATE lost dit op door niet naar de klikken te kijken, maar naar de post die de Agent verstuurt.

Stel je voor dat je Agent een boodschapper is die door een stad loopt.

• De oude manier: Je probeerde de boodschapper te verbieden om op bepaalde straten te lopen of op bepaalde deuren te kloppen. Maar hij kon altijd een omweg vinden.
• De CELLMATE-methode: Je plaatst een douanepost op de uitgang van de stad. Alles wat de boodschapper naar buiten stuurt (de HTTP-verzoeken), moet hier langs.

De douanier kijkt niet naar de boodschapper of zijn schoenen (de klikken), maar naar de inhoud van de envelop (de HTTP-berichtjes).

• "Ah, deze envelop is voor Amazon. De inhoud zegt: 'Koop een koffiezetapparaat'."
• "Geweldig, dat mag."
• "Oh, deze envelop zegt: 'Verstuur mijn wachtwoorden naar een onbekende hacker'."
• "Nee, dat mag niet! Hier blijft hij."

3. De "Agent Sitemap": De Gids voor de Douane

Hoe weet de douanier (CELLMATE) nu wat er mag en wat niet? Hij heeft een speciale gids nodig: de Agent Sitemap.

Dit is een lijst die door de eigenaren van de websites (zoals Amazon of GitHub) wordt gemaakt. Het is als een menukaart voor robots.

• Op deze kaart staat niet: "Klik op knop X op positie 100, 200".
• Maar wel: "Deze knop betekent: 'Voeg item toe aan winkelwagen'".
• En: "Deze knop betekent: 'Koop alles af'".

De website-eigenaren zeggen tegen CELLMATE: "Voor de actie 'Koop alles af', mag de prijs nooit hoger zijn dan €50."

4. Hoe werkt het in de praktijk?

1. Jij geeft een opdracht: "Koop een koffiezetapparaat op Amazon, maar niet meer dan €50."
2. CELLMATE kijkt naar de gids: Hij ziet dat Amazon een lijst heeft met regels. Hij pakt de regel voor "Kopen" en de regel voor "Prijscheck".
3. Jij bevestigt: CELLMATE vraagt jou: "Ik ga nu alleen aankopen toestaan tot €50. Mag ik dat?" Jij zegt ja.
4. De Agent gaat aan het werk: De Agent klikt en typt wat hij wil. Maar elke keer als hij iets wil sturen, gaat het bericht eerst naar de CELLMATE-douane.
5. De controle: Als de Agent probeert een dure laptop te kopen (of data te stelen), ziet de douane: "Deze actie past niet bij de regels die we hebben afgesproken." De boodschap wordt geblokkeerd, zelfs als de Agent er zelf niet van op de hoogte is dat hij iets verkeerd doet.

Waarom is dit zo slim?

• Onafhankelijk van de Agent: Het maakt niet uit welke AI je gebruikt (Google, OpenAI, etc.). De beveiliging zit in de browser, niet in het brein van de AI.
• Onbreekbaar: Zelfs als de hacker de Agent volledig heeft gekaapt en hem dwingt om iets te doen wat niet mag, kan hij de douane niet omzeilen. De Agent kan wel proberen, maar de deur blijft dicht.
• Snel: Het kost de Agent maar een heel klein beetje extra tijd (ongeveer 7% tot 15% trager), wat je in de praktijk nauwelijks merkt.

Samenvatting

CELLMATE is als een onzichtbare, onbreekbare koffer voor je digitale boodschapper. Je geeft hem de sleutel om de wereld te verkennen, maar hij kan alleen de deuren openen waar jij (of de website-eigenaar) een pasje voor hebt. Als hij probeert een deur open te forceren die niet voor hem is, stopt de koffer hem gewoon. Zo blijft je data veilig, zelfs als de boodschapper zelf een beetje gek is geworden door een hacker.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "CELLMATE: Sandboxing Browser AI Agents" in het Nederlands.

Titel: CELLMATE: Sandboxing Browser AI Agents

Auteurs: Luoxi Meng, Henry Feng, Ilia Shumailov, Earlence Fernandes (UC San Diego & AI Security Company)

---

1. Het Probleem: Kwetsbaarheden in Browser-gebruikende Agents (BUA's)

Browser-gebruikende agents (BUA's) zijn een nieuwe klasse van AI-systemen die websites autonoom manipuleren op een menselijke manier (klikken, scrollen, formulieren invullen). Voorbeelden zijn Gemini-CUA, OpenAI Atlas en Anthropic Claude-for-Chrome. Hoewel ze nuttig zijn voor het automatiseren van taken, zijn ze fundamenteel kwetsbaar voor prompt injection-aanvallen.

• De Dreiging: Aanvallen kunnen de agent manipuleren tot het uitvoeren van ongewenste acties, zoals het lekken van privé-informatie of het initiëren van onbedoelde transacties (bijv. aankopen doen of bestanden verwijderen).
• De Oorzaak: BUAs combineren "omgevingsbevoegdheden" (ambient authority, zoals een ingelogde browsersessie) met onbetrouwbare input. Omdat ze werken via lage-niveau UI-primitieven (klikken op coördinaat X, Y), is het moeilijk om semantisch betekenisvolle veiligheidsbeleid te definiëren.
• De "Semantische Kloof" (Semantic Gap): Het is broos en foutgevoelig om beveiligingsregels te schrijven op basis van UI-acties (bijv. "klik niet op pixel 246, 1023"). Dezelfde coördinaten kunnen op verschillende websites of in verschillende staten totaal verschillende betekenissen hebben. Bestaande ML-verdedigingen (zoals het trainen van modellen om injecties te detecteren) lopen vast in een eindeloze wapenwedloop met adaptieve aanvallen.

2. Methodologie: De CELLMATE Architectuur

CELLMATE is een sandboxing-framework dat op browser-niveau werkt en de agent omzeilt door beveiliging op het HTTP-niveau te forceren. De kerninzicht is dat alle UI-acties uiteindelijk resulteren in HTTP-berichten naar de backend van de website. HTTP-berichten hebben een inherente semantische betekenis (bijv. een POST naar /checkout), in tegenstelling tot een muisklik.

Het systeem bestaat uit drie fasen:

A. Registratie (Agent Sitemap & Policy Generator)

• Agent Sitemap: Webontwikkelaars leveren een "agent sitemap" aan. Dit is een mapping van HTTP-verzoeken naar hun semantische betekenis (bijv. GET /cart = "Bekijk winkelwagen"). Dit fungeert als API-documentatie voor agents.
• Policy Generator: Vertrouwde bronnen (ontwikkelaars, beheerders) definiëren een bibliotheek van vooraf gedefinieerde beleidsregels (toestaan, weigeren, of voorwaardelijk toestaan) gebaseerd op deze semantische acties.

B. Policy Instantiatie (Selectie)

• Gegeven een natuurlijke taal-taak van de gebruiker (bijv. "Koop een koffiezetapparaat op Amazon voor max. $50"), gebruikt CELLMATE een LLM om de benodigde domeinen te voorspellen.
• Vervolgens selecteert de LLM het minimale noodzakelijke set beleid uit de vooraf gedefinieerde bibliotheek om de taak uit te voeren.
• De gebruiker moet de geselecteerde beleidsregels expliciet bevestigen via een dialoogvenster voordat de sessie start.

C. Policy Handhaving (Enforcement)

• CELLMATE wordt geïmplementeerd als een Chrome-extensie die HTTP-verkeer van de agent-browsersessie onderschept.
• Het vertaalt het HTTP-verzoek naar een semantische actie via de sitemap en controleert dit tegen de geïnstancierde beleidsregels.
• Dynamische Controle: Voor voorwaardelijke beleidsregels (bijv. "maximale aankoopbedrag") haalt CELLMATE runtime-waarden op (uit de request of de DOM via content scripts) en voert een functie uit om te beslissen of het verzoek wordt toegestaan of geweigerd.
• Stateful Policies: Het systeem kan ook tellers bijhouden (bijv. "maximaal 1 keer afrekenen") om herhaaldelijke misbruiken te voorkomen.

3. Belangrijkste Bijdragen

1. Eerste Systeem-niveau Sandbox: CELLMATE is het eerste framework dat beleidsafdwinging ontkoppelt van lage-niveau UI-tools en dit doet op het HTTP-niveau, waardoor de semantische kloof wordt overbrugd.
2. Agent-agnostisch Ontwerp: Het werkt met elke bestaande BUA zonder de agent zelf te hoeven wijzigen. Het vereist samenwerking tussen gebruikers, browsers en webontwikkelaars.
3. Nieuwe Benchmark: De auteurs hebben een benchmark ontwikkeld om te evalueren hoe goed moderne LLMs beleidsregels kunnen selecteren en instantiëren op basis van natuurlijke taal-taken.
4. Open Source Implementatie: De code is beschikbaar als een Chrome-extensie.

4. Resultaten en Evaluatie

De auteurs hebben CELLMATE geëvalueerd op drie fronten:

• Beleidsselectie Accuratie:

  • State-of-the-art LLMs (zoals GPT-5.1, Gemini-2.5-pro, Claude Opus 4.5) werden getest op het selecteren van de juiste beleidsregels voor taken in retail, reizen en versiebeheer (GitLab/GitHub).
  • De modellen bereikten een accuratie van boven de 94% voor beleidsselectie en domeinvoorspelling.
  • Argumentextractie (bijv. het juiste bedrag instellen) had een accuratie van >80% bij retail-taken.

• Aanvalsblokkering (Case Study):

  • In een case study met GitLab-taken uit de WASP-benchmark werden 12 geëmulgeerde prompt injection-aanvallen uitgevoerd (o.a. het stelen van tokens, verwijderen van projecten).
  • Resultaat: Alle 12 aanvallen werden succesvol geblokkeerd door de CELLMATE-enforcementlaag, omdat de aanvallen buiten de toegestane beleidsregels vielen.

• Performance Overhead:

  • Latentie: De latentie-overhead is minimaal. Bij een sitemap van 300 entries steeg de totale responstijd met ongeveer 15% (van 13,93s naar 16,02s). Omdat de uitvoeringstijd van BUAs meestal wordt gedomineerd door de LLM-inferentie, is deze overhead in de praktijk verwaarloosbaar.
  • Geheugen: De extensie verbruikt ongeveer 25 MB extra geheugen, wat als bescheiden wordt beschouwd.

5. Betekenis en Conclusie

CELLMATE biedt een paradigmaverschuiving in de beveiliging van AI-agents. In plaats van te vertrouwen op probabilistische verdedigingen binnen het model (die vaak falen door adaptieve aanvallen), introduceert het een deterministische, systeem-niveau verdediging.

• Scheiding van Belangen: Het lost het probleem op door verantwoordelijkheid te verdelen: ontwikkelaars definiëren de semantiek (sitemap), gebruikers geven toestemming, en de browser voert de controle uit.
• Toekomstbestendig: Door te werken op het HTTP-niveau is het immuun voor UI-manipulatie-aanvallen (zoals TOCTOU of branch steering) die andere methoden omzeilen.
• Standaardisatie: Het paper pleit voor de "agent sitemap" als een nieuwe standaard (vergelijkbaar met robots.txt of CSP) om AI-veiligheid te faciliteren en te voldoen aan toekomstige AI-regelgeving (zoals de EU AI Act).

Kortom, CELLMATE bewijst dat het mogelijk is om browser-gebruikende agents veilig te maken zonder de functionaliteit van de agent te beperken, zolang er maar een gestructureerde mapping bestaat tussen HTTP-verkeer en semantische acties.