Beveiligingsteams van ondernemingen verliezen terrein door AI-aanvallen – niet omdat de verdediging zwak is, maar omdat het dreigingsmodel is verschoven. Terwijl AI-agenten in productie gaan, maken aanvallers misbruik van runtime-zwakheden waarbij breakout-tijden in seconden worden gemeten, patch-vensters in uren, en traditionele beveiliging weinig zichtbaarheid of controle heeft.
CrowdStrike’s Global Threat Report 2025 breakout-tijden voor documenten zo snel als 51 seconden. Aanvallers gaan van aanvankelijke toegang naar laterale beweging voordat de meeste beveiligingsteams hun eerste waarschuwing krijgen. Uit hetzelfde rapport bleek dat 79% van de detecties vrij was van malware, waarbij tegenstanders praktische toetsenbordtechnieken gebruikten die de traditionele eindpuntverdediging volledig omzeilen.
De nieuwste uitdaging voor CISO’s is niet binnen 72 uur reverse-engineering te realiseren
Mike Riemer, veld-CISO bij Ivantiheeft gezien hoe AI het venster tussen patch-release en bewapening instortte.
“Bedreigingsactoren zijn reverse engineering-patches binnen 72 uur”, vertelde Riemer aan VentureBeat. “Als een klant niet binnen 72 uur na de release een patch uitvoert, staat hij open voor misbruik. De snelheid is enorm verbeterd door AI.”
De meeste bedrijven doen er weken of maanden over om handmatig een patch uit te voeren, waarbij brandbestrijding en andere urgente prioriteiten vaak voorrang krijgen.
Waarom traditionele beveiliging tijdens runtime faalt
Een SQL-injectie heeft doorgaans een herkenbare handtekening. Beveiligingsteams verbeteren hun vakmanschap, en velen blokkeren ze met bijna nul valse positieven. Maar “eerdere instructies negeren” heeft een payloadpotentieel dat gelijk is aan een bufferoverflow, terwijl niets wordt gedeeld met bekende malware. De aanval is semantisch, niet syntactisch. Snelle injecties brengen vijandig vakmanschap en bewapende AI naar een nieuw niveau van dreiging door middel van semantiek die injectiepogingen verhult.
Het onderzoek van Gartner stelt het ronduit: “Bedrijven zullen generatieve AI omarmen, ongeacht de beveiliging.” Het bedrijf ontdekte dat 89% van de bedrijfstechnologen de richtlijnen op het gebied van cyberbeveiliging zou omzeilen om een bedrijfsdoelstelling te bereiken. Schaduw-AI is geen risico, het is een zekerheid.
“Dreigingsactoren die AI als aanvalsvector gebruiken, zijn versneld en staan zo ver voor ons als verdedigers”, vertelde Riemer aan VentureBeat. “We moeten als verdedigers op de kar springen om AI te gaan gebruiken; niet alleen bij deepfake-detectie, maar ook bij identiteitsbeheer. Hoe kan ik AI gebruiken om te bepalen of wat op mij afkomt echt is?”
Carter Rees, vice-president van AI bij Reputatieomlijst de technische kloof: “Strategische verdedigingsstrategieën gebaseerd op deterministische regels en statische handtekeningen zijn fundamenteel onvoldoende tegen de stochastische, semantische aard van aanvallen gericht op AI-modellen tijdens runtime.”
11 aanvalsvectoren die elke traditionele beveiligingscontrole omzeilen
De OWASP Top 10 voor LLM-toepassingen 2025 staat snelle injectie op de eerste plaats. Maar dat is een van de elf vectoren die beveiligingsleiders en AI-bouwers moeten aanpakken. Voor elk ervan is inzicht nodig in zowel de aanvalsmechanismen als de defensieve tegenmaatregelen.
1. Directe injectie: Modellen die zijn getraind om instructies te volgen, geven voorrang aan gebruikersopdrachten boven veiligheidstraining. Pillar Security’s State of Attacks on GenAI-rapport gevonden 20% van de jailbreaks slaagt in gemiddeld 42 seconden, met Bij 90% van de succesvolle aanvallen lekken gevoelige gegevens.
Verdediging: Intentclassificatie die jailbreakpatronen herkent voordat prompts het model bereiken, plus uitvoerfiltering die succesvolle bypasses opvangt.
2. Camouflage-aanvallen: Aanvallers maken misbruik van de neiging van het model om contextuele aanwijzingen te volgen door schadelijke verzoeken in goedaardige gesprekken in te bedden. Palo Alto Unit 42’s “Deceptive Delight” -onderzoek behaalde 65% succes bij 8.000 tests op acht verschillende modellen in slechts drie interactiebeurten.
Verdediging: Contextbewuste analyse die de cumulatieve intentie van een gesprek evalueert, niet van individuele berichten.
3. Crescendo-aanvallen met meerdere beurten: Het verdelen van ladingen over beurten die elk afzonderlijk goedaardig lijken, vernietigt de bescherming van één beurt. De geautomatiseerde Crescendomation-tool behaalde 98% succes op GPT-4 en 100% op Gemini-Pro.
Verdediging: Stateful context volgen, gespreksgeschiedenis bijhouden en escalatiepatronen signaleren.
4. Indirecte snelle injectie (RAG-vergiftiging): Een zero-click-exploit gericht op RAG-architecturen. Dit is een aanvalsstrategie die bijzonder moeilijk te stoppen is. VergiftigdRAG-onderzoek behaalt 90% aanvalssucces door slechts vijf kwaadaardige teksten in databases met miljoenen documenten te injecteren.
Verdediging: Verpak opgehaalde gegevens in scheidingstekens, waardoor het model wordt geïnstrueerd om inhoud alleen als gegevens te behandelen. Verwijder controletokens uit vectordatabase-brokken voordat ze het contextvenster binnenkomen.
5. Verduisteringsaanvallen: Schadelijke instructies die zijn gecodeerd met ASCII-kunst, Base64 of Unicode omzeilen trefwoordfilters terwijl ze interpreteerbaar blijven voor het model. ArtPrompt-onderzoek behaalde tot 76,2% succes in GPT-4, Gemini, Claude en Llama2 bij het evalueren hoe dodelijk dit type aanval is.
Verdediging: Normalisatielagen decoderen alle niet-standaard representaties naar platte tekst vóór semantische analyse. Deze enkele stap blokkeert de meeste op codering gebaseerde aanvallen.
6. Modelextractie: Systematische API-query’s reconstrueren eigen mogelijkheden via destillatie. Modeluitloogonderzoek haalde 73% gelijkenis uit ChatGPT-3.5-Turbo voor $ 50 aan API-kosten gedurende 48 uur.
Verdediging: Gedragsvingerafdrukken, het detecteren van distributieanalysepatronen, watermerken die diefstal achteraf bewijzen, en snelheidsbeperking, het analyseren van vraagpatronen die verder gaan dan alleen het aantal verzoeken.
7. Uitputting van hulpbronnen (sponsaanvallen). Bewerkte input maakt gebruik van de kwadratische complexiteit van Transformer Attention, waardoor gevolgtrekkingsbudgetten worden uitgeput of de service wordt verslechterd. IEEE EuroS&P-onderzoek naar sponsvoorbeelden toonde een latentietoename van 30x aan op taalmodellen. Eén aanval zorgde ervoor dat Microsoft Azure Translator van 1 ms naar 6 seconden ging. Een degradatie van 6.000×.
Verdediging: Tokenbudgettering per gebruiker, prompte complexiteitsanalyse waarbij recursieve patronen worden afgewezen, en semantische caching die herhaalde zware prompts bedient zonder gevolgtrekkingskosten.
8. Synthetische identiteitsfraude. Door AI gegenereerde persona’s die echte en verzonnen gegevens combineren om identiteitsverificatie te omzeilen, zijn een van de grootste door AI gegenereerde risico’s in de detailhandel en de financiële dienstverlening. Het onderzoek van de Federal Reserve naar synthetische identiteitsfraude notities 85-95% van de synthetische aanvragers omzeilt traditionele fraudemodellen. Signicats rapport uit 2024 De gevonden AI-gestuurde fraude vormt nu 42,5% van alle gedetecteerde fraudepogingen in de financiële sector.
Verdediging: Multi-factor verificatie waarbij gedragssignalen worden geïntegreerd die verder gaan dan statische identiteitsattributen, plus detectie van afwijkingen die is getraind op synthetische identiteitspatronen.
9. Fraude met deepfake-ondersteuning. Door AI gegenereerde audio en video doen zich voor als leidinggevenden om transacties goed te keuren, waarbij vaak wordt geprobeerd organisaties te bedriegen. Onfido’s identiteitsfrauderapport uit 2024 documenteerde een toename van 3.000% in deepfake-pogingen in 2023. Arup verloor $ 25 miljoen via één videogesprek waarbij door AI gegenereerde deelnemers zich voordoen als de CFO en collega’s.
Verdediging: Out-of-band verificatie voor hoogwaardige transacties, detectie van liveness voor video-authenticatie en beleid dat secundaire bevestiging vereist, ongeacht de schijnbare anciënniteit.
10. Gegevensexfiltratie via nalatige insiders. Werknemers plakken bedrijfseigen code en strategiedocumenten in openbare LLM’s. Dat is precies wat Samsung-ingenieurs deden dit binnen enkele weken na het opheffen van hun ChatGPT-verbodlekkende broncode en interne vergadernotities bij drie afzonderlijke incidenten. Gartner voorspelt 80% van de ongeautoriseerde AI-transacties tot 2026 zal eerder voortkomen uit schendingen van het interne beleid dan uit kwaadaardige aanvallen.
Verdediging: Het redigeren van persoonlijk identificeerbare informatie (PII) maakt veilig gebruik van AI-tools mogelijk en voorkomt dat gevoelige gegevens externe modellen bereiken. Maak van veilig gebruik de weg van de minste weerstand.
11. Uitbuiting van hallucinaties. Door contrafeitelijke prikkels worden modellen gedwongen in te stemmen met verzinsels, waardoor valse uitkomsten worden versterkt. Onderzoek naar op LLM gebaseerde agenten laat zien dat hallucinaties zich ophopen en versterken tijdens processen die uit meerdere stappen bestaan. Dit wordt gevaarlijk wanneer AI-outputs geautomatiseerde workflows voeden zonder menselijke beoordeling.
Verdediging: Aardingsmodules vergelijken reacties met de opgehaalde context op betrouwbaarheid, plus betrouwbaarheidsscores, waarbij potentiële hallucinaties worden gemarkeerd voordat ze zich verspreiden.
Wat CISO’s nu moeten doen
Gartner voorspelt In 2028 zal 25% van de inbreuken op ondernemingen te wijten zijn aan misbruik van AI-agenten. De tijd om verdedigingsmechanismen op te bouwen is nu aangebroken.
Chris Betz, CISO bij AWS, ingelijst op RSA 2024: “Bedrijven vergeten de veiligheid van de applicatie in hun haast om generatieve AI te gebruiken. De plaatsen waar we de beveiligingslacunes als eerste zien, bevinden zich eigenlijk op de applicatielaag. Mensen haasten zich om oplossingen te vinden, en ze maken fouten.”
Er komen vijf implementatieprioriteiten naar voren:
-
Automatiseer de implementatie van patches. Het venster van 72 uur vereist autonome patches gekoppeld aan cloudbeheer.
-
Implementeer eerst normalisatielagen. Decodeer Base64, ASCII-kunst en Unicode vóór semantische analyse.
-
Implementeer stateful contexttracking. Multi-turn Crescendo-aanvallen verslaan inspectie met één verzoek.
-
RAG-instructiehiërarchie afdwingen. Verpak opgehaalde gegevens tussen scheidingstekens en behandel de inhoud alleen als gegevens.
-
Verspreid identiteit in prompts. Injecteer gebruikersmetagegevens voor de autorisatiecontext.
“Als je je beveiliging aan de rand van je netwerk plaatst, nodig je de hele wereld uit”, zegt Riemer. “Totdat ik weet wat het is en ik weet wie er aan de andere kant van het toetsenbord zit, ga ik er niet mee communiceren. Dat is nul vertrouwen; niet als modewoord, maar als een operationeel principe.”
De blootstelling van Microsoft bleef drie jaar onopgemerkt. Samsung lekte al weken code. De vraag voor CISO’s is niet of ze inferentiebeveiliging moeten inzetten, maar of ze de kloof kunnen dichten voordat ze het volgende waarschuwingsverhaal worden.
