Beveiligingsteams van ondernemingen verliezen terrein door AI-aanvallen – niet omdat de verdediging zwak is, maar omdat het dreigingsmodel is veranderd. Terwijl AI-agenten in productie gaan, maken aanvallers misbruik van runtime-kwetsbaarheden waarbij breakout-tijden in seconden worden gemeten, patch-vensters in uren, en traditionele beveiliging weinig zichtbaarheid of controle heeft.
CrowdStrike’s Global Threat Report 2025 documenteert uitbraaktijden van slechts 51 seconden. Aanvallers gaan van aanvankelijke toegang naar laterale beweging voordat de meeste beveiligingsteams hun eerste waarschuwing krijgen. Uit hetzelfde rapport bleek dat 79% van de detecties vrij was van malware, waarbij tegenstanders gebruik maakten van praktische toetsenbordtechnieken die de traditionele eindpuntverdediging volledig omzeilen.
De nieuwste uitdaging van de CISO is om niet binnen 72 uur een reverse-engineering uit te voeren
Mike Riemer, veld-CISO bij IvantiIk heb gezien dat AI het venster tussen het uitbrengen van patches en het maken van wapens heeft laten instorten.
“Bedreigingsactoren zijn reverse engineering-patches binnen 72 uur”, vertelde Riemer aan VentureBeat. “Als een klant niet binnen 72 uur na release een patch uitvoert, staat hij open voor misbruik. De snelheid is enorm verbeterd door AI.”
De meeste bedrijven doen er weken of maanden over om handmatig te patchen, waarbij brandbestrijding en andere dringende prioriteiten vaak voorrang krijgen.
Waarom traditionele veiligheid faalt tijdens het rijden
Een SQL-injectie heeft doorgaans een herkenbare handtekening. Beveiligingsteams verbeteren hun vaardigheden en velen blokkeren ze met bijna nul valse positieven. Maar “negeer eerdere instructies” heeft een payloadpotentieel dat vergelijkbaar is met een bufferoverflow, terwijl niets wordt gedeeld met bekende malware. De aanval is semantisch, niet syntactisch. Snelle injecties tillen veerkrachtige vaartuigen en bewapende AI naar een nieuw dreigingsniveau door middel van semantiek die injectiepogingen verbergt.
Het onderzoek van Gartner stelt het botweg: “Bedrijven zullen generatieve AI omarmen, ongeacht de beveiliging.” Het bedrijf ontdekte dat 89% van de bedrijfstechnologen de richtlijnen op het gebied van cyberbeveiliging zouden omzeilen om een zakelijk doel te bereiken. Schaduw-AI is geen risico – het is een beveiliging.
“Het aantal bedreigingsactoren die AI als aanvalsvector gebruiken, is in een stroomversnelling gekomen en ze lopen ons als verdedigers zo ver voor”, vertelde Riemer aan VentureBeat. “We moeten als verdedigers op de kar springen om AI te gaan gebruiken; niet alleen bij deepfake-detectie, maar ook bij identiteitsbeheer. Hoe kan ik AI gebruiken om te bepalen of wat op mij afkomt echt is?”
Carter Rees, vice-president van AI bij Reputatieomkadert de technische kloof: “Een diepgaande verdedigingsstrategie gebaseerd op deterministische regels en statische handtekeningen is fundamenteel ontoereikend tegen de stochastische, semantische aard van aanvallen gericht op AI-modellen tijdens runtime.”
11 aanvalsvectoren die traditionele beveiligingscontroles omzeilen
De OWASP Top 10 voor LLM-toepassingen 2025 staat snelle injectie op de eerste plaats. Maar het is een van de elf vectoren die beveiligingsmanagers en AI-bouwers moeten aanpakken. Voor elk ervan is inzicht nodig in zowel de aanvallende mechanismen als de defensieve tegenmaatregelen.
1. Directe snelle injectie: Modellen die zijn getraind om instructies te volgen, geven voorrang aan gebruikersopdrachten boven veiligheidstraining. Pillar Security’s rapport over aanvallen op GenAI gevonden 20% van de jailbreaks slaagt gemiddeld 42 seconden, med 90% van de succesvolle aanvallen lekt gevoelige gegevens.
Verdediging: Intentclassificatie die jailbreakpatronen herkent voordat prompts het model bereiken, plus uitvoerfiltering die succesvolle bypasses opvangt.
2. Camouflage-aanval: Aanvallers maken misbruik van de neiging van het model om contextuele aanwijzingen te volgen door kwaadaardige verzoeken in goedaardige gesprekken in te sluiten. Palo Alto Unit 42’s “Deceptive Delight” -onderzoek behaalde 65% succes bij 8.000 tests op acht verschillende modellen in slechts drie interactiewisselingen.
Verdediging: Contextbewuste analyse die de cumulatieve intentie van een gesprek evalueert, niet van individuele berichten.
3. Crescendo-aanval met meerdere beurten: De verdeling van de lading over beurten, die er elk afzonderlijk goedaardig uitzien, verslaat de beveiliging van één beurt. De geautomatiseerde Crescendomation-tool behaalde 98% succes op GPT-4 en 100% op Gemini-Pro.
Verdediging: Stateful context volgen, bijhouden van gespreksgeschiedenis en markeren van escalatiepatronen.
4. Indirecte snelle injectie (RAG-vergiftiging): Een zero-click-exploit gericht op RAG-architecturen, dit is een aanvalsstrategie die bijzonder moeilijk te stoppen is. Vergiftigd RAG-onderzoek behaalt 90% aanvalssucces door slechts vijf kwaadaardige teksten in databases met miljoenen documenten te injecteren.
Verdediging: Verpak opgehaalde gegevens in scheidingstekens die het model instrueren om inhoud alleen als gegevens te behandelen. Verwijder controletokens uit vectordatabase-brokken voordat ze het contextvenster binnenkomen.
5. Verduisteringsaanval: Schadelijke instructies die zijn gecodeerd met ASCII-kunst, Base64 of Unicode omzeilen trefwoordfilters terwijl ze door het model kunnen worden geïnterpreteerd. ArtPrompt-onderzoek behaalde tot 76,2% succes in GPT-4, Gemini, Claude en Llama2 bij het evalueren hoe dodelijk dit type aanval is.
Verdediging: De normalisatielaag decodeert alle niet-gestandaardiseerde representaties in platte tekst vóór semantische analyse. Deze enkele stap blokkeert de meeste op encryptie gebaseerde aanvallen.
6. Modelextractie: Systematische API-query’s reconstrueren eigen eigenschappen via destillatie. Modeluitloogonderzoek 73% gelijkenis met ChatGPT-3.5-Turbo gedolven voor $ 50 aan API-kosten gedurende 48 uur.
Verdediging: Gedragsvingerafdrukken, detectie van distributieanalysepatronen, post-facto diefstalbestendige watermerken en snelheidsbeperking analyseren verzoekpatronen die verder gaan dan alleen het aantal verzoeken.
7. Uitputting van hulpbronnen (schimmelaanval). Gemaakte input maakt gebruik van de kwadratische complexiteit van de Transformer-aandacht, uitputtende conclusiebudgetten of een vernederende service. IEEE EuroS&P-onderzoek naar voorbeelden van schimmels toonde 30x latentieverhogingen aan op taalmodellen. Een aanval duwde Microsoft Azure Translator van 1 ms naar 6 seconden. Een ontleding van 6000 keer.
Verdediging: Tokenbudgettering per gebruiker, snelle complexiteitsanalyse die recursieve patronen afwijst, en semantische caching die herhaalde zware aanwijzingen dient zonder gevolgtrekkingsoverhead.
8. Synthetische identiteitsfraude. Door AI gegenereerde persona’s, die echte en verzonnen gegevens combineren om identiteitsverificatie te omzeilen, vormen een van de grootste door AI gegenereerde risico’s in de detailhandel en de financiële dienstverlening. Onderzoek van de Federal Reserve naar synthetische identiteitsfraude notities 85-95% van de synthetische aanvragers omzeilt traditionele fraudemodellen. Signicat’s 2024-rapport gedetecteerde AI-aangedreven fraude is nu verantwoordelijk voor 42,5% van alle gedetecteerde fraudepogingen in de financiële sector.
Verdediging: Multi-factor verificatie waarbij naast statische identiteitsattributen ook gedragsmatige aanwijzingen zijn opgenomen, plus detectie van afwijkingen die is getraind op synthetische identiteitspatronen.
9. Oplichting met deepfake-functionaliteit. Door AI gegenereerde audio en video doen zich voor als managers om transacties goed te keuren en proberen vaak organisaties te bedriegen. Onfido’s identiteitsfrauderapport uit 2024 documenteerde een toename van 3.000% in deepfake-pogingen tegen 2023. Arup verloor $ 25 miljoen via één videogesprek waarbij door AI gegenereerde deelnemers zich voordoen als de CFO en collega’s.
Verdediging: Out-of-band verificatie voor hoogwaardige transacties, detectie van liveness voor video-authenticatie en beleid dat secundaire verificatie vereist, ongeacht de schijnbare anciënniteit.
10. Gegevensexfiltratie via nalatige insiders. Werknemers voegen eigen code en strategiedocumenten in openbare LLM’s in. Dat is het precies Samsung-technici deden dit binnen enkele weken nadat hun ChatGPT-verbod was opgehevenlekkende broncode en interne vergadernotities bij drie afzonderlijke incidenten. Gartner voorspelt In 2026 zal 80% van de ongeautoriseerde AI-transacties het gevolg zijn van schendingen van het interne beleid en niet van kwaadaardige aanvallen.
Verdediging: Het redigeren van persoonlijk identificeerbare informatie (PII) maakt veilig gebruik van AI-tools mogelijk en voorkomt tegelijkertijd dat gevoelige gegevens externe modellen bereiken. Maak veilig gebruik van de weg van de minste weerstand.
11. Uitbuiting van hallucinaties. Contrafeitelijke prikkels dwingen modellen zich te conformeren aan representaties, waardoor valse uitkomsten worden versterkt. Onderzoek naar op LLM gebaseerde agenten laat zien dat hallucinaties zich ophopen en intensiveren tijdens processen die uit meerdere stappen bestaan. Dit wordt gevaarlijk wanneer AI-uitvoer geautomatiseerde workflows voedt zonder menselijke beoordeling.
Verdediging: Aardingsmodules vergelijken reacties met opgehaalde context voor betrouwbaarheid, plus betrouwbaarheidsscores, markeren potentiële hallucinaties vóór verspreiding.
Wat CISO’s nu moeten doen
Gartner voorspelt In 2028 zal 25% van de inbreuken op ondernemingen te wijten zijn aan misbruik van AI-agenten. De tijd om verdedigingsmechanismen op te bouwen is nu aangebroken.
Chris Betz, CISO bij AWS, ingelijst op RSA 2024: “Bedrijven vergeten de beveiliging van applicaties in hun haast om generatieve AI te gebruiken. De eerste plaatsen waar we de beveiligingslekken zien, bevinden zich eigenlijk op de applicatielaag. Mensen haasten zich om oplossingen te vinden, en ze maken fouten.”
Er komen vijf implementatieprioriteiten naar voren:
-
Automatiseer de implementatie van patches. Het venster van 72 uur vereist autonome patching gekoppeld aan cloudbeheer.
-
Implementeer eerst de normalisatielaag. Decodeer Base64, ASCII-kunst en Unicode vóór semantische analyse.
-
Implementeer stateful contexttracking. Multi-turn Crescendo-aanvallen verslaan inspectie met één verzoek.
-
RAG-instructiehiërarchie afdwingen. Verpak opgehaalde gegevens tussen scheidingstekens en behandel de inhoud alleen als gegevens.
-
Verspreid identiteit in prompts. Injecteer gebruikersmetagegevens voor de authenticatiecontext.
“Als je je beveiliging aan de rand van je netwerk plaatst, nodig je de hele wereld uit”, zegt Riemer. “Totdat ik weet wat het is en ik weet wie er aan de andere kant van het toetsenbord zit, wil ik er niet mee communiceren. Het is nul vertrouwen; niet als modewoord, maar als een operationeel principe.”
De blootstelling van Microsoft bleef drie jaar onopgemerkt. Samsung lekte al weken code. De vraag voor CISO’s is niet of ze inferentiebeveiliging moeten implementeren, maar of ze de kloof kunnen dichten voordat ze het volgende waarschuwingsverhaal worden.
