Je AI-agent trapt sneller in webtrucs dan jij

Je vraagt een AI-agent om de goedkoopste vlucht te zoeken. Even later blijkt er een duurdere stoel geboekt, staat er reisverzekering aan en zijn cookies breed geaccepteerd. Dat klinkt als een onschuldig gebruikersfoutje, maar dat is het niet. Het is precies het soort beslissing dat een manipulerende interface uitlokt.

Nieuwe studies laten zien dat AI-agenten die namens je over websites navigeren opvallend slecht bestand zijn tegen dark patterns. Dat zijn ontwerpkeuzes die je subtiel richting een handeling duwen die niet in jouw belang is. Denk aan vooraf aangevinkte vakjes, nepdrukte, misleidende knopvolgordes of schermen die je pas laten doorgaan als je ergens mee instemt.

De kern van het probleem zit in hun gehoorzaamheid

De scherpste cijfers komen uit DECEPTICON, een Stanford-studie uit 2025. Daarin werden webagenten getest op 700 navigatietaken waarin dark patterns waren ingebouwd. De uitkomst is lastig weg te relativeren: in meer dan 70 procent van de gevallen wisten die patronen de agent richting een kwaadaardige of ongewenste uitkomst te sturen. Bij mensen lag dat rond de 31 procent.

Dat verschil is groot, maar het tweede resultaat is misschien nog belangrijker. De gevoeligheid neemt toe naarmate het model capabeler wordt. Grotere, slimmere systemen, precies de systemen die bedrijven nu willen inzetten voor autonoom browsen, bleken niet beter bestand tegen manipulatie, maar juist vatbaarder.

Dat klinkt tegenintuïtief, tot je bedenkt waar zulke agenten goed in zijn. Ze zijn gebouwd om instructies serieus te nemen, signalen op een pagina te verwerken en snel een taak af te ronden. Een manipulatief interface speelt daar rechtstreeks op in. Wat voor jou verdacht aanvoelt, leest de agent al snel als een serieuze aanwijzing.

Vooral blokkades en sociale druk werken goed

Een tweede paper, geaccepteerd voor IEEE Symposium on Security and Privacy 2026, keek niet alleen óf agenten vallen voor dark patterns, maar vooral welke soorten het beste werken. Volgens de Purdue-studie haalden obstruction patterns, ontwerpen die voortgang blokkeren tot je iets accepteert, een succesratio van 52,2 procent. Social engineering-patronen kwamen uit op 47,9 procent.

Dat zijn geen exotische trucs. Dit zijn juist de alledaagse webmechanismen die overal opduiken. Een knop met “aanbevolen”, een afteller die nepurgentie creëert, een pop-up waarbij de afwijsknop onduidelijk is weggestopt: voor een mens is dat vaak irritant, voor een agent is het vaak een instructie die serieus genomen moet worden.

De studie testte zes bekende agenten, waaronder Skyvern, BrowserUse en DoBrowser. Het patroon was consistent. Skyvern bleek volgens de in het basisartikel geciteerde cijfers in 72,3 procent van de gevallen vatbaar, BrowserUse in 69,3 procent. De ongemakkelijke conclusie is helder: hoe beter een agent taken afrondt, hoe slechter hij soms is in het herkennen van manipulatie.

Op echte websites wordt het probleem niet kleiner

SusBench, ontwikkeld door onderzoekers van de University of Washington, Carnegie Mellon en Rutgers, bracht het vraagstuk dichter bij de echte webpraktijk. In plaats van een volledig kunstmatige omgeving injecteerden de onderzoekers negen soorten dark patterns in 55 echte websites. SusBench liet zien dat hidden information uitkwam op 89 procent vatbaarheid en dat preselected options agenten in 71 procent van de gevallen misleidden.

Dat is relevant omdat mensen ondertussen een soort praktijkinstinct hebben opgebouwd. We kennen het gevoel dat een banner, knop of timer “te graag” wil dat we ergens op klikken. Die intuïtie is verre van perfect, maar ze bestaat wel. We negeren vaker wat niet klopt.

Een agent heeft dat wantrouwen niet. Hij behandelt elk element op een pagina als mogelijk legitieme instructie. Een cookiebanner met “Accept All (Recommended)” oogt voor zo’n systeem niet als verkoopdruk, maar als een logische aanbeveling. Een nepcountdown voelt niet manipulatief, maar taakrelevant. Waar jij terugschrikt, versnelt de agent juist.

De gebruikelijke bescherming lost het nog niet op

Je zou hopen dat extra guardrails of betere prompts dit grotendeels oplossen. Dat is niet wat de onderzoekers vonden. In DECEPTICON bleken in-context prompting en guardrailmodellen de succesratio van dark patterns niet consistent omlaag te krijgen. Het probleem lijkt dus niet aan de rand te zitten, maar in de manier waarop agenten websites lezen en prioriteiten stellen.

Dat maakt de praktische risico’s directer. Bedrijven zetten agenten al in voor shoppen, reizen, formulieren en financiële handelingen. Dan gaat het niet meer over een theoretische interfacekwestie, maar over ongewenste abonnementen, privacy-invasieve cookiekeuzes, opgeblazen aankopen en datadeling waar de gebruiker nooit expliciet ja tegen zei.

In een FedScoop-bijdrage met verwijzingen naar Lasso Security wordt daarom gewaarschuwd dat AI-browsers de grens vervagen tussen menselijke intentie en agentgedrag, vooral binnen ingelogde sessies. Dat maakt misleiding meteen ook een securityprobleem.

Het web was al manipulerend, alleen de prooi verandert

Dat is misschien de belangrijkste context. De commerciële webomgeving is jarenlang geoptimaliseerd om mensen te sturen, via aandacht, tijdsdruk, gemak en vermoeidheid. Als je daar een gehoorzame AI-agent op loslaat, verdwijnt die laag van manipulatie niet. Je zet er juist een systeem in dat nauwelijks sociale scepsis heeft.

De harde conclusie is daarom ook de nuttigste: je beste model kan tegelijk je meest manipuleerbare model zijn. Tot agenten iets ontwikkelen dat lijkt op menselijk wantrouwen tegenover dubieuze interfaces, blijft autonoom browsen een gok op een internet dat vol zit met valstrikken voor precies dit soort volgzame bezoekers.