WhatsApp krijgt incognitomodus voor AI-chats: hoe privé is dat echt?

WhatsApp-berichten zijn al jarenlang beveiligd met end-to-end-encryptie, waardoor alleen de verzender en ontvanger ze kunnen lezen. Nu gaat Meta iets vergelijkbaars doen voor gesprekken met AI. De nieuwe functie heet Incognito Chat met Meta AI. Daarmee kun je vragen stellen aan de AI-assistent in WhatsApp, zonder dat Meta de inhoud van dat gesprek kan bekijken. Ook WhatsApp zelf kan niet meelezen. Zelfs een overheid die gegevens opvraagt, krijgt volgens Meta geen toegang tot de inhoud van zo'n AI-chat. Hoe werkt dat?

Incognito Chat is een privégesprek binnen WhatsApp. Je praat daarin met Meta AI, maar anders dan bij een gewone AI-chat verdwijnen je berichten na afloop. Er blijft dus geen chatgeschiedenis staan die je later opnieuw kunt openen.

Het onderliggende systeem heet Private Processing (Privéverwerking). Om te begrijpen wat dat is, kijken we eerst even naar de manier waarop AI normaal werkt. Stuur je een vraag naar een AI-chatbot, dan gaat die vraag naar een server in een datacenter. Die server verwerkt je bericht, stuurt een antwoord terug en heeft daarbij in principe zicht op wat je hebt getypt. Voor onschuldige vragen is dat geen probleem, maar vraag je de AI bijvoorbeeld iets over geld, gezondheid of een privékwestie, dan wil je niet dat dat gesprek wordt opgeslagen en gebruikt om later een (uitgebreider) profiel van je te maken. En dat is waar Incognito Chat om de hoek komt kijken.

Het idee achter Private Processing is dat de AI je vraag moet kunnen beantwoorden, zonder dat Meta de inhoud van die vraag kan zien. Dat gaat zelfs zo ver dat Meta de functie niet zelf kan inschakelen: je berichten worden alleen via Private Processing verwerkt als jij daar zelf om vraagt. Net zoals bij een gewoon AI-gesprek gaat je bericht wel naar de cloud, maar anders dan bij een gewoon AI-bericht wordt het verwerkt in een beveiligde omgeving binnen Meta's eigen infrastructuur. Die omgeving heet een Trusted Execution Environment, afgekort TEE. Denk aan een kluis binnen de server. De AI draait in die kluis, en de toegang wordt niet bewaakt door een medewerker of een wachtwoord, maar door de hardware zelf. Zelfs iemand van Meta met toegang tot de server komt die kluis niet in. 

Een TEE is een afgeschermd gedeelte van een chip waarin code en gegevens apart worden verwerkt. De hardware bewaakt, zoals eerder gezegd, zelf de toegang, waardoor er drie dingen gewaarborgd worden. Allereerst kan niemand buiten de kluis zien welke gegevens er verwerkt worden, ook de eigenaar van de server niet. Ten tweede kan de data niet ongemerkt worden aangepast. En ten derde: alleen vooraf goedgekeurde software mag in die afgeschermde omgeving draaien. Dat laatste is misschien het meest verrassende: Meta kan niet zomaar een update pushen die alsnog toegang heeft tot de inhoud van je gesprek. Wordt er aan de software gesleuteld, dan maakt de kluis geen verbinding met jouw WhatsApp.

Meta gebruikt hiervoor chips van AMD en NVIDIA. De AMD-processor zorgt voor de beveiligde rekenomgeving. De NVIDIA-grafische kaart doet het zware AI-rekenwerk, maar dan in een vertrouwelijke modus: de kaart wordt apart gecontroleerd voordat die toegang krijgt tot de kluis, en ook de verbinding tussen de processor en de grafische kaart is versleuteld. Zelfs het moment waarop het AI-model nadenkt over jouw vraag, is dus afgeschermd van de buitenwereld.

Maar hoe weet je dat Meta zich daaraan houdt? Uiteindelijk moet je een techbedrijf niet alleen op zijn blauwe ogen geloven, en Meta weet dat zelf ook. Daarom is er externe controle ingebouwd.

De code die binnen de beveiligde omgeving draait, wordt openbaar vastgelegd in een logboek dat beheerd wordt door Cloudflare, een onafhankelijk technologiebedrijf. Beveiligingsonderzoekers kunnen zo controleren of de software die Meta gebruikt overeenkomt met wat openbaar is gemaakt. Wijkt de code op de server af, dan maakt de kluis geen verbinding meer.

Ook je identiteit is extra afgeschermd. Je verbinding loopt via een onafhankelijke tussenstap, zodat Meta je vraag niet direct aan jou als gebruiker kan koppelen. Dat gaat verder dan alleen je IP-adres afschermen: het betekent dat Meta intern niet kan terugkijken wie welke vraag heeft gesteld. Dat is een bewust ontwerpdoel: wie één specifieke gebruiker wil targeten, zou dan niet één account moeten hacken, maar het hele systeem.

Na afloop van een incognito AI-gesprek wordt alles gewist. Elke sessie begint opnieuw. De AI neemt dus geen eerdere vragen mee en kan zich niets herinneren van wat je eerder vroeg.

Voor je privacy is dat prettig: er blijft niets achter. Voor het gemak is het soms minder handig. Binnen één gesprek onthoudt de AI wel wat er eerder gezegd is, maar zodra je het gesprek sluit is alles weg. Een volgende keer begin je weer met een schone lei.

Private Processing is een stevige stap vooruit, maar geen wondermiddel. Moet de AI iets opzoeken op internet, dan verlaat die zoekopdracht de beveiligde omgeving. Meta beperkt zulke zoekopdrachten tot honderd tekens en koppelt ze volgens eigen zeggen niet aan je identiteit, maar het blijft een kanttekening.

Ook staat of valt de beveiliging met de chips van AMD en NVIDIA. Duikt er ooit een fundamenteel lek op in die hardware, dan kan dat de bescherming aantasten. Meta zegt zulke kwetsbaarheden actief te volgen en Private Processing tijdelijk uit te schakelen als dat nodig is.

Incognito Chat biedt geen absolute geheimhouding. Maar het gaat wel een stap verder dan een gewone AI-chat, waarbij je het uiteindelijk moet hebben van het privacybeleid van de aanbieder.

Meta rolt Incognito Chat met Meta AI de komende maanden uit naar WhatsApp en de Meta AI-app. Een precieze datum voor Nederland is nog niet bekend.