GPT-5 en de nieuwe agentmodus: innovatie ten koste van privacy?

Met de introductie van GPT-5 heeft OpenAI haar krachtigste model tot nu toe gelanceerd. Het systeem vervangt alle eerdere modellen en is nu de standaard in ChatGPT, dat wereldwijd door meer dan 700 miljoen mensen wordt gebruikt. De verbeteringen zijn zichtbaar in uiteenlopende domeinen zoals coderen, redeneren en medische kennis. Maar de meest ingrijpende vernieuwing is de zogeheten agentmodus: de mogelijkheid om autonoom taken te laten uitvoeren, waaronder via gekoppelde externe diensten zoals Gmail, Google Calendar en Google Contacts.

Tijdens de livepresentatie kreeg het publiek te zien hoe GPT-5, gekoppeld aan een Gmail- en agenda-account, binnen enkele seconden een volledige dagplanning opstelde. Waar OpenAI dit demonstreerde als een handige toepassing, zien privacy-experts hierin juist een risicovolle casus. Het voorbeeld laat zien hoe ingrijpend de toegang is die gebruikers aan de AI kunnen geven, en hoe groot de potentiële schade kan zijn bij misbruik of fouten.

In dit artikel belichten we twee hoofdvormen van privacyrisico’s die met GPT-5 samenhangen. We sluiten af met een praktisch kader om deze risico’s zo veel mogelijk te voorkomen.

1. Integratie met externe diensten

De kern van agentic AI is dat het systeem niet alleen informatie verstrekt, maar zelfstandig taken uitvoert op basis van directe toegang tot persoonlijke of zakelijke gegevens. De integratie met e-mail, agenda’s en andere diensten maakt het mogelijk om gegevens te combineren, acties te plannen en complete workflows af te handelen zonder voortdurende handmatige input van de gebruiker. Deze diepe integratie kan het werkproces uiteraard stroomlijnen, maar brengt ook nieuwe kwetsbaarheden met zich mee.

We onderscheiden daarbij twee vormen van risico: directe blootstelling en indirecte misleiding (prompt injection).[1]

1a. Directe blootstelling

Elke machtiging die een gebruiker verstrekt, vergroot de hoeveelheid gevoelige informatie die de AI kan inzien, verwerken en (onbedoeld) delen. Een gekoppelde agenda bevat vaak meer dan alleen vergaderafspraken; er kunnen ook locatiegegevens, namen van relaties, vertrouwelijke projectinformatie en zelfs persoonlijke notities in staan. Gmail-toegang betekent toegang tot hele e-mail chains, inclusief financiële bevestigingen, medische uitslagen, juridische documenten en zakelijke correspondentie.

Zelfs met veiligheidsmaatregelen kan een verkeerde interpretatie van een opdracht of een fout in de interactie leiden tot het verzenden of openbaar maken van informatie die nooit bedoeld was om gedeeld te worden. De impact van een enkel incident wordt groter naarmate de AI toegang heeft tot meer onderling verbonden bronnen. Daarbij speelt mee dat GPT-5 in agentmodus minder afhankelijk is van expliciete prompts; het kan op basis van context zelfstandig besluiten om gekoppelde gegevens te raadplegen.

1b. Indirecte misleiding (prompt injection)

Een minstens zo gevaarlijk scenario is dat GPT-5 via externe content wordt gemanipuleerd. Dit kan gebeuren wanneer de agent een website bezoekt, een document opent of gegevens verwerkt waarin verborgen instructies zijn opgenomen. Deze instructies zijn voor de gebruiker onzichtbaar, maar kunnen het model aanzetten tot acties die nooit expliciet zijn goedgekeurd.

Voorbeeld: Stel dat GPT-5, om een zakenreis te plannen, een ogenschijnlijk onschuldige reisblog bezoekt. In de broncode van de pagina staat echter een verborgen opdracht om alle ongelezen e-mails te scannen op wachtwoord(reset)codes en deze door te sturen naar een externe server. Omdat de agent al geautoriseerd is om Gmail te lezen, kan hij deze opdracht uitvoeren zonder dat de gebruiker dat direct merkt.

De combinatie van hoge autonomie, complexe taken en brede systeemtoegang maakt het bijzonder lastig om dergelijke manipulaties te herkennen of te blokkeren. Waar eerdere AI-systemen vooral reactief opereerden, laat GPT-5 zien dat de stap naar proactief handelen het aanvalsvlak aanzienlijk vergroot. De toenemende autonomie versterkt het risico dat kwaadwillenden de loop van acties beïnvloeden, zeker als de gebruiker niet voortdurend toezicht houdt.

2. Gevoelige informatie in prompts

Naast de risico’s van externe koppelingen vormt ook de informatie die gebruikers vrijwillig invoeren in hun prompts een belangrijke privacykwestie.[2] GPT-5 wordt gepresenteerd als veelzijdige (“PhD-level”) expert, ook op gevoelige terreinen zoals medische kennis of juridische kwesties (ondanks de disclaimer dat GPT-5 geen professionals vervangt). Dit nodigt uit tot het delen van persoonlijke gegevens die normaal gesproken uitsluitend in een vertrouwelijke context besproken zouden worden.

Een eerste risico is de onduidelijkheid over hoe deze gegevens worden verwerkt en opgeslagen. Hoewel OpenAI stelt dat gevoelige input niet onnodig wordt bewaard, is voor de gebruiker vaak niet inzichtelijk waar de data naartoe gaat, hoe lang deze wordt bewaard en of deze mogelijk wordt gebruikt voor verdere modeltraining. Daarnaast is er het gevaar van foutieve of onvolledige adviezen, die bij medische of juridische vragen directe gevolgen kunnen hebben.

Een tweede aspect is het geheugen van de chatbot zelf. Naarmate GPT-5 langer met dezelfde gebruiker werkt, ontwikkelt het een steeds uitgebreider profiel van diens voorkeuren, routines, contactnetwerk en prioriteiten. Dit kan de interactie verbeteren, maar maakt het profiel zelf tot een aantrekkelijk doelwit. Een datalek kan hierdoor niet alleen losse datapunten, maar ook een samenhangend gedrags- en beslissingspatroon blootleggen.

Tot slot is er het probleem van consent fatigue. Agentsystemen vragen vaak om bevestiging voor acties met verhoogd risico, zoals het verzenden van berichten of het openen van externe bestanden. Wanneer zulke verzoeken regelmatig voorkomen, ontstaat de neiging om zonder nadenken akkoord te gaan. Gebruikers kunnen zo onbewust instemmen met acties die zij anders zouden weigeren, vooral als de context door de AI overtuigend wordt gepresenteerd.

Voorzorgskader: veilig werken met GPT-5's agentmodus

1. Beperk machtigingen tot het minimum: koppel alleen accounts en agenda’s die strikt nodig zijn voor de gewenste functionaliteit.
   
   
2. Gebruik gescheiden accounts: creëer waar mogelijk aparte e-mailadressen of agenda’s voor AI-integraties om risico’s te isoleren.
   
   
3. Controleer toegang regelmatig: bekijk periodiek welke machtigingen actief zijn en trek ongebruikte of overbodige rechten in.
   
   
4. Menselijke controle bij kritieke acties: sta niet toe dat de AI zelfstandig e-mails verzendt, aankopen doet of bestanden verwijdert zonder expliciete goedkeuring.
   
   
5. Wees alert op onverwachte acties: controleer interacties met onbekende websites, documenten of datasets.
   
   
6. Vermijd overbodige gevoelige input: deel geen medische, financiële of juridische details tenzij absoluut noodzakelijk.
   
   
7. Train medewerkers in AI-geletterdheid: binnen organisaties is bewustzijn cruciaal om fouten en misbruik te voorkomen.
   
   
8. Beperk autonomie voor nieuwe taken: laat de AI geen onbekende of kritieke processen uitvoeren zonder voorafgaande evaluatie van de risico’s.
   
   
9. Monitor op afwijkend gedrag: houd in de gaten of de AI taken uitvoert die niet expliciet zijn gevraagd, een signaal dat misleiding kan spelen.

Reflectie

GPT-5 illustreert hoe snel de grens tussen passieve assistentie en actieve taakuitvoering vervaagt. De agentmodus levert tijdswinst op, maar vergroot ook het mogelijke doelwit voor kwaadwillenden en verhoogt de kans op onbedoelde datalekken. De belangrijkste risico’s liggen in de koppeling met externe diensten en het ondoordacht delen van gevoelige informatie via prompts.

Voor individuen en organisaties geldt daarom: omarm de mogelijkheden, maar stel duidelijke grenzen. Alleen met strikte controle, alertheid op misleiding en een cultuur van dataminimalisatie kan GPT-5 een nuttige assistent zijn zonder onnodige risico’s voor privacy en veiligheid.