AI-inference op het apparaat komt terecht in besturingssystemen, browsers en productiviteitstools. Dat verandert het securitymodel. Gevoelige data kan dichter bij de gebruiker blijven, maar het model komt ook dichter bij bestanden, browserstatus, klembordinhoud en lokale systeemtools.
Twee gebeurtenissen uit mei 2026 laten zien waarom dit nu belangrijk is. Securityonderzoeker Alexander Hanff meldde dat Google Chrome een Gemini Nano-model van ongeveer 4GB downloadde naar apparaten zonder duidelijke toestemmingsprompt. Rond dezelfde periode kregen Claude Desktop-browserintegraties kritiek omdat lokale browserbruggen kunnen uitbreiden wat een AI-assistent kan bereiken.
De les is niet dat on-device inference slecht is. De les is dat krachtige lokale modellen dezelfde securitydiscipline nodig hebben als elk lokaal proces met privileges: expliciete permissies, strikte inputgrenzen, controleerbare telemetrie en zichtbaarheid in de browserlaag.
Wat omnivore inference verandert
"Omnivore inference" is een nuttige term voor dit probleem. Lokale modellen worden waardevol omdat ze meer context kunnen gebruiken: bestanden, klemborddata, browsergeschiedenis, zichtbare pagina-inhoud, lopende processen en apparaatstatus.
Die context maakt de assistent nuttig. Het maakt de assistent ook een waardevol doelwit.
Wanneer een lokaal model met brede permissies draait, hoeft een aanvaller de databron niet meer direct te stelen. Hij kan proberen het model te sturen om de data te lezen, samen te vatten, te transformeren of te versturen.
De browser is het logische ingangspunt
De browser is waar veel onbetrouwbare input samenkomt met lokale tooling met privileges. Een kwaadaardige pagina, gecompromitteerde extensie of third-party script uit een supply-chain-aanval kan allemaal input voor het model worden.
Als een lokale LLM een lokaal endpoint of browserbrug blootstelt zonder sterke autorisatie, wordt willekeurige client-side JavaScript een risico. Een script kan proberen het model te bevragen, vragen om gevoelige lokale context samen te vatten of het model richting een toolcall duwen die de gebruiker nooit bedoelde.
Daarom hoort client-side security bij het securityverhaal van lokale AI. Securityteams moeten weten welke scripts in de browser draaien, wat ze laden en of ze gedrag vertonen buiten hun verwachte rol.
Waarom promptinjectie lokaal meer impact heeft
Promptinjectie is het hoogste risico in de OWASP Top 10 for LLM Applications. In een cloudchatbot kan een succesvolle injectie output manipuleren, toegankelijke context lekken of policycontrols omzeilen.
Bij een lokaal model kan de impact groter zijn. Als het model toegang heeft tot het bestandssysteem, de browser, command execution of netwerktools, verschuift de aanval van "wat kan het model zeggen?" naar "wat kan het model doen?".
Tooltoegang maakt van het model een operator
Tooltoegang is de grens die telt. Een bestand lezen, een HTTP-verzoek sturen, in een browser klikken of een command uitvoeren verandert het model van tekstgenerator in operator.
Een geïnjecteerde instructie hoeft het besturingssysteem niet direct te misbruiken. Ze hoeft alleen een vertrouwde modelinterface te bereiken die al toestemming heeft om te handelen.
Anthropic's Mythos Preview-materiaal toont zowel de defensieve belofte als het risico. Project Glasswing gebruikt Mythos-klasse redenering om ernstige kwetsbaarheden te vinden en te verhelpen. Tegelijk heeft Anthropic aangegeven dat betere capaciteit om kwetsbaarheden te patchen ook betere capaciteit om ze te exploiteren impliceert. Berichtgeving over Mythos-tests beschreef autonoom exploit chaining onder gecontroleerde omstandigheden, inclusief browser- en sandbox-escape-werk.
Dat betekent niet dat elk lokaal model een exploitplatform is. Het betekent dat permissiegrenzen belangrijker worden naarmate modelcapaciteit toeneemt.
Hoe telemetrie van lokale LLMs nog steeds gevoelige data kan lekken
On-device inference wordt vaak neergezet als privacywinst. De ruwe prompt, het bestand of het document hoeft niet naar een cloudmodel-endpoint. Voor teams in zorg, juridisch, finance en enterprise engineering is dat een echt voordeel.
Maar lokaal betekent niet stil.
Telemetrie, diagnostische logs, modelprestatiemetingen, updatechecks, crashrapporten en integratiemetadata kunnen het apparaat nog steeds verlaten. Deze stromen worden vaak behandeld als operationele data, niet als gevoelige data.
De schaduw van lokale inference
Een model dat privédocumenten of coderepositories leest, kan gevoelige sporen produceren, zelfs wanneer ruwe prompts lokaal blijven. Foutmeldingen kunnen fragmenten bevatten. Gebruikspatronen kunnen activiteit onthullen. Diagnostische payloads kunnen bestandsnamen, extensiestatus, promptcategorieën of modelroutering bevatten.
Lokale inference-tools zijn al onder de loep genomen vanwege gebruikstelemetrie en privacydefaults. Voor gereguleerde teams heeft telemetrie classificatie, retentiecontrole en een auditpad nodig. Het mag niet als onschuldige bijvangst worden behandeld.
De privacywinst is nog steeds echt
On-device inference lost een echt probleem op. Gevoelige data hoeft niet voor elke taak naar een third-party inference-API. Dat vermindert blootstelling aan cloudretentiebeleid, compromittering bij providers, diefstal van API-credentials en onderschepping van modelverkeer.
Voor securityproducten creëert dit een krachtig ontwerp. Een lokaal model kan code, scripts, browseractiviteit en endpointgedrag inspecteren zonder elk artefact naar een leverancier te sturen.
Het privacymodel is sterk wanneer de implementatie gedisciplineerd is. Het breekt wanneer downloads stil gebeuren, integraties zonder duidelijke gebruikersintentie installeren, telemetriescope vaag is of lokale endpoints bereikbaar zijn vanuit onbetrouwbare browsercontent.
Wat endpointsecurity met LLMs kan doen
On-device inference opent ook een defensieve route die traditionele endpointtools moeilijk kunnen evenaren. Signatuursystemen detecteren bekende patronen. Heuristiek markeert verdachte kenmerken. Beide kunnen nieuwe, verhulde of meerstapsaanvallen missen.
Een lokaal model dat code begrijpt, kan redeneren over intentie. Het kan een script inspecteren en vragen wat het script probeert te bereiken, niet alleen of het overeenkomt met een bekende indicator.
| Mogelijkheid | Traditionele AV/EDR | Endpointsecurity met LLM |
|---|---|---|
| Detectie van nieuwe malware | Afhankelijk van signatures | Semantisch codebegrip |
| Analyse van verhulde scripts | Beperkte heuristiek | Redenering op intentieniveau |
| Meerstapsaanvallen | Analyse per event | Analyse op sequentieniveau |
| Zero-day-ontdekking | Meestal reactief | Proactief redeneren over gedrag |
| False positives | Regels afstellen | Contextuele triage |
Dit is de goede versie van dezelfde architectuur. Een lokaal securitymodel kan browserextensies inspecteren voordat ze draaien, third-party scripts tijdens runtime analyseren en gedrag markeren dat lijkt op credential harvesting of data-exfiltratie.
Het verschil tussen een defensieve agent en een extractietool zit in de trust boundary rond input, tools en output.
Controls die securityteams moeten eisen
On-device inference heeft een securitymodel nodig voordat het achtergrondinfrastructuur wordt.
- Expliciete permissies. Lokale modellen mogen geen standaardtoegang krijgen tot bestanden, klemborddata, browsercontent of processtatus. Permissies moeten zichtbaar, granulair en intrekbaar zijn.
- Sterke controles op de modelinterface. Behandel elke modelinput als mogelijk kwaadaardig. Verdediging tegen promptinjectie hoort in de interface- en toollaag, niet alleen in de modelprompt.
- Telemetrielimieten. Houd telemetrie minimaal, gedocumenteerd en auditable. Laat diagnostische payloads geen gebruikersdata, bestandsinhoud of gevoelige lokale context vervoeren.
- Netwerkisolatie. Lokale modelendpoints mogen niet bereikbaar zijn vanuit willekeurige browserrequests. Het lokale endpoint is geen publieke API.
- Zichtbaarheid van browserscripts. Monitor third-party scripts, extensies en geïnjecteerde content die met lokale AI-tooling kunnen interageren. Als je de browserruntime niet kunt vertrouwen, kun je modellen met lokale privileges er niet veilig aan blootstellen.
Hoe cside past
cside monitort de browserruntime: de scripts die laden, de code die uitvoert, de domeinen die ze contacteren en het gedrag dat na deployment verandert. Dat is belangrijk omdat de browser een van de waarschijnlijkste plekken is waar lokale AI-tooling onbetrouwbare input ontmoet.
Voor teams die on-device AI inzetten of evalueren, helpt cside client-side security de operationele vraag te beantwoorden: wat gebeurt er echt in de browser voordat het een lokaal model met privileges, checkoutflow, loginformulier of gevoelige gebruikerssessie bereikt?
On-device inference zal securitytools verbeteren. Het zal ook nieuwe aanvalsroutes creëren. De uitkomst hangt af van de vraag of teams permissiegrenzen en runtimezichtbaarheid bouwen voordat lokale modellen weer een onzichtbare afhankelijkheid worden.
