Beveiligingsteams van ondernemingen worden steeds kwetsbaarder voor AI-aangedreven aanvallen – niet omdat hun verdediging zwak is, maar omdat hun dreigingsmodellen zijn veranderd. Terwijl AI-agenten in productie gaan, maken aanvallers misbruik van runtime-zwakheden waarbij breakout-tijden in seconden worden gemeten, patch-vensters uren duren en traditionele beveiliging weinig zichtbaarheid of controle heeft.
CrowdStrike Wereldwijd dreigingsrapport 2025 De breakout-tijd voor documenten bedraagt slechts 51 seconden. Aanvallers gaan van aanvankelijke toegang naar zijwaartse beweging voordat de meeste beveiligingsteams hun eerste waarschuwing krijgen. Uit hetzelfde rapport bleek dat 79% van de detecties vrij was van malware, waarbij tegenstanders directe toetsenbordtechnieken gebruikten die de traditionele eindpuntverdediging volledig omzeilen.
De nieuwste uitdaging van de CISO is niet om binnen 72 uur reverse-engineering uit te voeren
Mike Riemer, CISO-veld bij Ivantiheeft gezien hoe AI het venster tussen patch-release en bewapening instortte.
“De bedreigingsacteur heeft het binnen 72 uur reverse-engineered”, vertelde Riemer aan VentureBeat. “Als klanten niet binnen 72 uur na de release een patch uitvoeren, staan ze open voor exploitatie. De snelheid is aanzienlijk verbeterd door AI.”
De meeste bedrijven doen er weken of maanden over om handmatig een patch uit te voeren, waarbij brandbestrijding en andere urgente prioriteiten vaak voorrang krijgen.
Waarom traditionele beveiliging faalt tijdens runtime
SQL-injecties hebben doorgaans een herkenbare signatuur. Beveiligingsteams verbeteren hun vaardigheden, en velen blokkeren deze met bijna nul valse positieven. Maar “eerdere instructies negeren” heeft een potentiële lading die gelijk is aan een bufferoverflow en deelt niets met bekende malware. De aanval is semantisch, niet syntactisch. Snelle injectie brengt vijandige technologieën en het bewapenen van AI naar een nieuw dreigingsniveau door middel van semantiek die injectiepogingen verbergt.
Onderzoek van Gartner zegt het ronduit: “Bedrijven zullen generatieve AI gebruiken, ongeacht de beveiliging.” Het bedrijf ontdekte dat 89% van de bedrijfstechnologen de richtlijnen op het gebied van cyberbeveiliging zou negeren om bedrijfsdoelen te bereiken. Schaduw-AI is geen risico – het is een zekerheid.
“Het aantal dreigingsactoren die AI als aanvalsvector gebruiken, is in een stroomversnelling gekomen en ze liggen als verdedigers ver voor op ons”, vertelde Riemer aan VentureBeat. “We moeten als mensenrechtenverdedigers op de kar springen om AI in te zetten; niet alleen bij de detectie van deepfake, maar ook bij identiteitsbeheer. Hoe kan ik AI gebruiken om te bepalen of wat er met mij is gebeurd echt is?”
Carter Rees, vice-president van AI bij Reputatieomlijst de technische kloof: “Een diepgaande verdedigingsstrategie gebaseerd op deterministische regels en statische handtekeningen is fundamenteel ontoereikend tegen de stochastische en semantische aard van aanvallen die zich richten op AI-modellen tijdens runtime.”
11 aanvalsvectoren die elke traditionele beveiligingscontrole omzeilen
Dat OWASP Top 10 voor LLM-toepassingen 2025 eerste snelle injectieranglijst. Maar het is een van de elf vectoren die veiligheidsleiders en AI-makers moeten aanpakken. Elk daarvan vereist inzicht in aanvalsmechanismen en defensieve tegenmaatregelen.
1. Snelle directe injectie: Modellen die zijn getraind om instructies te volgen, geven voorrang aan gebruikersopdrachten boven veiligheidstraining. Pijlerbeveiligingsaanvalstatusrapport op GenAI gevonden 20% succesvolle jailbreak in gemiddeld 42 seconden, met 90% van de succesvolle aanvallen lekt gevoelige gegevens.
Verdediging: Intentclassificatie die jailbreakpatronen herkent voordat opdrachten het model bereiken, plus uitvoerfiltering die succesvolle bypasses opvangt.
2. Camouflage-aanval: Aanvallers maken misbruik van de neiging van het model om contextuele aanwijzingen te volgen door kwaadaardige verzoeken in anderszins onschadelijke gesprekken in te voegen. Palo Alto Unit 42’s “Deceptive Delight” -onderzoek behaalde 65% succes in 8.000 tests op acht verschillende modellen in slechts drie interactierondes.
Verdediging: Contextuele analyse die de cumulatieve intentie van gesprekken evalueert, niet van individuele berichten.
3. Crescendo-aanval met meerdere beurten: Het verdelen van de lading over beurten die elk afzonderlijk onschadelijk lijken, zal de bescherming van een enkele beurt tenietdoen. De geautomatiseerde Crescendomation-tool behaalde 98% succes op GPT-4 en 100% op Gemini-Pro.
Verdediging: Echte contexttracking, het bijhouden van de gespreksgeschiedenis en het signaleren van escalatiepatronen.
4. Indirecte snelle injectie (RAG-vergiftiging): Een zero-click-exploit gericht op de RAG-architectuur, dit is een zeer moeilijke aanvalsstrategie om te stoppen. Vergiftigd RAG-onderzoek behaalde een aanvalssucces van 90% door slechts vijf kwaadaardige teksten in een database met miljoenen documenten te injecteren.
Verdediging: Verpak de opgehaalde gegevens in een beperking, waarbij u het model de opdracht geeft de inhoud alleen als gegevens te behandelen. Verwijder het besturingstoken uit het vectordatabasedeel voordat u het contextvenster opent.
5. Verwarringsaanvallen: Schadelijke instructies die zijn gecodeerd met ASCII art, Base64 of Unicode omzeilen trefwoordfilters, maar blijven interpreteerbaar door het model. ArtPrompt-onderzoek behaalde tot 76,2% succes op GPT-4, Gemini, Claude en Llama2 bij het evalueren hoe dodelijk dit type aanval is.
Verdediging: De normalisatielaag decodeert alle niet-standaard representaties in platte tekst vóór semantische analyse. Deze enkele stap blokkeert de meeste op code gebaseerde aanvallen.
6. Modelextractie: Systematische API-query’s reconstrueren eigen mogelijkheden door middel van distillatie. Onderzoek naar bloedzuigermodellen haalde 73% gelijkenis uit ChatGPT-3.5-Turbo voor $ 50 aan API-kosten gedurende 48 uur.
Verdediging: Gedragsvingerafdrukken, het detecteren van distributieanalysepatronen, post-facto diefstalbestendige watermerken en snelheidsbeperking, het analyseren van querypatronen gaat verder dan het eenvoudig tellen van query’s.
7. Geen grondstoffen meer (sponsaanval). De gegenereerde input maakt gebruik van de kwadratische complexiteit van de aandacht van de Transformer, waardoor het gevolgtrekkingsbudget wordt opgeslokt of de service wordt verslechterd. IEEE EuroS&P-onderzoek naar sponsvoorbeelden toonde een latentieverbetering van 30x aan op het taalmodel. Eén aanval zorgde ervoor dat Microsoft Azure Translator van 1 ms naar 6 seconden ging. 6.000× degradatie.
Verdediging: Tokenbudgettering per gebruiker, snelle complexiteitsanalyse die recursieve patronen afwijst, en een semantische cache verwerken zware, repetitieve verzoeken zonder gevolgtrekkingsoverhead.
8. Synthetische identiteitsfraude. Door AI gegenereerde persona’s die echte en valse gegevens combineren om identiteitsverificatie te omzeilen, vormen een van de grootste risico’s van AI in de detailhandel en de financiële dienstverlening. Onderzoek van de Federal Reserve naar synthetische identiteitsfraude notities 85-95% van de synthetische aanvragers vermijdt traditionele fraudemodellen. Signicat-rapport 2024 ontdekte dat AI-gestuurde fraude nu verantwoordelijk is voor 42,5% van alle gedetecteerde fraudepogingen in de financiële sector.
Verdediging: Multi-factor verificatie die gedragssignalen combineert die verder gaan dan statische identiteitskenmerken, plus detectie van afwijkingen die is getraind op synthetische identiteitspatronen.
9. Fraude met deepfake-ondersteuning. Door AI gegenereerde audio en video doen zich voor als leidinggevenden om transacties goed te keuren, en proberen vaak organisaties te bedriegen. Onfido Identiteitsfrauderapport 2024 documenteerde een toename van 3.000% in deepfake-pogingen tegen 2023. Arup verloor $ 25 miljoen tijdens één videogesprek waarbij door AI gegenereerde deelnemers zich voordoen als de CFO en zijn collega’s.
Verdediging: Out-of-band verificatie voor hoogwaardige transacties, detectie van liveness voor video-authenticatie en beleid dat secundaire bevestiging vereist, ongeacht de schijnbare anciënniteit.
10. Gegevensexfiltratie via nalatige insiders. Werknemers plakken bedrijfseigen code en strategiedocumenten in de openbare LLM. Dat is precies wat er gebeurde Samsung-technici deden dit binnen enkele weken nadat hun ChatGPT-verbod was opgehevengelekte broncode en interne vergadernotities bij drie afzonderlijke incidenten. Schattingen van Gartner In 2026 zal 80% van de ongeautoriseerde AI-transacties het gevolg zijn van interne beleidsschendingen en niet van kwaadaardige aanvallen.
Verdediging: Het redigeren van persoonlijk identificeerbare informatie (PII) maakt veilig gebruik van AI-tools mogelijk en voorkomt tegelijkertijd dat gevoelige gegevens externe modellen bereiken. Maak veilig gebruik van de weg van de minste weerstand.
11. Exploitatie van hallucinaties. Counterfactual-aanmoediging dwingt het model om vervalsing te accepteren, waardoor de foutieve output wordt versterkt. Onderzoek naar op LLM gebaseerde agenten suggereert dat hallucinaties zich ophopen en worden versterkt via een proces dat uit meerdere stappen bestaat. Dit wordt gevaarlijk wanneer AI-uitvoer geautomatiseerde workflows verzadigt zonder menselijke beoordeling.
Verdediging: De aardingsmodule vergelijkt reacties met de genomen getrouwheidscontext, plus een betrouwbaarheidsbeoordeling, waarbij potentiële hallucinaties worden gemarkeerd voordat ze worden ingezet.
Wat CISO’s nu moeten doen
Schattingen van Gartner In 2028 zal 25% van de inbreuken op ondernemingen worden veroorzaakt door misbruik van AI-middelen. De mogelijkheid om verdedigingsmechanismen op te bouwen bestaat nu.
Chris Betz, CISO bij AWS, frame het op RSA 2024: “Bedrijven vergeten applicatiebeveiliging in hun haast om generatieve AI te gebruiken. De eerste plaats waar we gaten in de beveiliging zien, bevindt zich eigenlijk op de applicatielaag. Mensen haasten zich om oplossingen te vinden, en ze maken fouten.”
Er kwamen vijf implementatieprioriteiten naar voren:
-
Automatiseer de implementatie van patches. De periode van 72 uur vereist autonome patching in verband met cloudbeheer.
-
Breng eerst een normalisatielaag aan. Decodeer Base64, ASCII-kunst en Unicode vóór semantische analyse.
-
Implementeer stateful contexttracking. Crescendo-aanval met meerdere rondes verslaat inspectie van één verzoek.
-
Implementeert de RAG-instructiehiërarchie. Verpak de opgehaalde gegevens in een barrière en behandel de inhoud alleen als gegevens.
-
Geef de identiteit door in de prompt. Voer gebruikersmetagegevens in voor de autorisatiecontext.
“Als je prioriteit geeft aan de beveiliging van je netwerk, nodig je de rest van de wereld uit om mee te doen”, aldus Riemer. “Totdat ik weet wat het is en ik weet wie er aan de andere kant van het toetsenbord zit, ga ik er niet mee communiceren. Dat is nul vertrouwen; niet als modewoord, maar als een operationeel principe.”
De blootstelling van Microsoft bleef drie jaar onopgemerkt. Samsung lekte de code wekenlang. De vraag voor CISO’s is niet of ze inferentiebeveiliging moeten implementeren, maar of ze de kloof kunnen dichten voordat dit het volgende waarschuwingsverhaal wordt.
