Beveiligingsteams van ondernemingen verliezen terrein door AI-aangedreven aanvallen, niet omdat de verdediging zwak is, maar omdat het dreigingsmodel is veranderd. Terwijl AI-agenten in productie gaan, maken aanvallers misbruik van runtime-zwakheden waarbij breakout-tijden in seconden worden gemeten, patch-vensters in uren, en traditionele beveiliging weinig zichtbaarheid of controle heeft.
CrowdStrike Wereldwijd dreigingsrapport 2025 uitvaltijden van documenten van 51 seconden. Aanvallers gaan van initiële toegang naar laterale beweging voordat de meeste beveiligingsteams de eerste waarschuwing ontvangen. Uit hetzelfde rapport bleek dat 79% van de detecties vrij was van malware, waarbij tegenstanders praktische toetsenbordtechnieken gebruikten die de traditionele eindpuntverdediging volledig omzeilden.
De ultieme uitdaging voor CISO’s is niet om binnen 72 uur reverse-engineering uit te voeren
Mike Riemer, CISO in het veld bij Ivantizag hoe de AI het venster tussen het vrijgeven van de patch en het inschakelen instortte.
“Bedreigingsactoren reverse-engineeren patches binnen 72 uur”, vertelde Riemer aan VentureBeat. “Als een klant de patch niet binnen 72 uur na release installeert, wordt hij blootgesteld aan exploits. De snelheid is aanzienlijk verbeterd door kunstmatige intelligentie.”
De meeste bedrijven zijn weken of maanden bezig met het handmatig aanbrengen van patches, terwijl brandbestrijding en andere urgente prioriteiten vaak voorrang krijgen.
Waarom traditionele beveiliging faalt tijdens runtime
Een SQL-injectie heeft doorgaans een herkenbare handtekening. Beveiligingsteams verbeteren hun bedrijfsstrategieën en velen blokkeren deze met bijna nul valse positieven. Maar het ‘negeren van eerdere instructies’ brengt potentieel met zich mee dat vergelijkbaar is met een bufferoverflow zonder iets te delen met bekende malware. De aanval is semantisch, niet syntactisch. Tijdige injecties brengen vijandige technieken en bewapende AI naar een nieuw dreigingsniveau door middel van semantiek die injectiepogingen verbergt.
Onderzoek van Gartner zegt het ronduit: “Bedrijven zullen generatieve AI omarmen, ongeacht de beveiliging.” Het bedrijf ontdekte dat 89% van de bedrijfsingenieurs de cyberbeveiligingsrichtlijnen zou negeren om een zakelijk doel te bereiken. Schaduw-AI is geen risico: het is een zekerheid.
“Dreigingsactoren die AI als aanvalsvector gebruiken, zijn versneld en staan tot nu toe achter ons als verdedigers”, vertelde Riemer aan VentureBeat. “We moeten op de kar springen om AI te gaan gebruiken; niet alleen bij deepfake-detectie, maar ook bij identiteitsbeheer. Hoe kan ik AI gebruiken om te bepalen of wat er met mij gebeurt echt is?”
Carter Rees, vice-president van AI bij Reputatiepakt de technische kloof aan: “Een diepgaande verdedigingsstrategie gebaseerd op deterministische regels en statische handtekeningen is fundamenteel onvoldoende tegen de stochastische en semantische aard van aanvallen die zich richten op AI-modellen tijdens runtime.”
11 aanvalsvectoren die elke traditionele veiligheidscontrole omzeilen
DE OWASP Top 10 voor 2025 LLM-aanvragen onmiddellijke injectie staat op de eerste plaats. Maar dit is een van de elf vectoren die beveiligingsleiders en AI-ontwikkelaars moeten aanpakken. Voor elk daarvan is inzicht nodig in zowel aanvalsmechanismen als defensieve tegenmaatregelen.
1. Directe onmiddellijke injectie: Modellen die zijn getraind om instructies te volgen, geven voorrang aan gebruikersopdrachten boven veiligheidstraining. Pillar Security-aanvalsstatusrapport op GenAI gevonden 20% van de jailbreaks slaagt in gemiddeld 42 seconden, met Bij 90% van de succesvolle aanvallen gaan gevoelige gegevens verloren.
Verdediging: Intentclassificatie die jailbreakpatronen herkent voordat prompts het patroon bereiken, evenals uitvoerfiltering die succesvolle bypasses detecteert.
2. Camouflage-aanvallen: Aanvallers maken misbruik van de neiging van het model om contextuele aanwijzingen te volgen door kwaadaardige verzoeken in goedaardige gesprekken in te sluiten. Palo Alto Unit 42’s “Deceptive Delight” -zoektocht behaalde 65% succes in 8.000 tests op acht verschillende modellen in slechts drie interactierondes.
Verdediging: Contextgevoelige analyses evalueren de cumulatieve bedoeling van een gesprek, niet individuele berichten.
3. Crescendo-aanvallen met meerdere beurten: De verdeling van ladingen tussen beurten, die elk afzonderlijk onschadelijk lijken, maakt de beveiliging van één beurt teniet. De geautomatiseerde Crescendomation-tool behaalde 98% succes op GPT-4 en 100% op Gemini-Pro.
Verdediging: Stateful context volgen, gespreksgeschiedenis bijhouden en escalatiepatronen rapporteren.
4. Snelle indirecte injectie (RAG-vergiftiging): Een zero-click-exploit die zich richt op RAG-architecturen. Dit is een bijzonder moeilijke aanvalsstrategie om te stoppen. Vergiftigd RAG-onderzoek behaalt 90% aanvalssucces door slechts vijf kwaadaardige teksten in databases met miljoenen documenten in te voegen.
Verdediging: Verpak de opgehaalde gegevens tussen scheidingstekens en geef het model de opdracht de inhoud alleen als gegevens te behandelen. Verwijdert controletokens uit vectordatabaseblokken voordat ze het contextvenster binnenkomen.
5. Verduisteringsaanvallen: Schadelijke instructies die zijn gecodeerd met ASCII-kunst, Base64 of Unicode omzeilen trefwoordfilters terwijl ze interpreteerbaar blijven voor het model. De ArtPrompt-zoekopdracht ze behaalden tot 76,2% succes op GPT-4, Gemini, Claude en Llama2 bij het beoordelen hoe dodelijk dit soort aanvallen is.
Verdediging: Normalisatielagen decoderen alle niet-standaard representaties in platte tekst vóór semantische analyse. Deze enkele stap blokkeert de meeste op encryptie gebaseerde aanvallen.
6. Modelextractie: Systematische API-query’s reconstrueren eigen mogelijkheden via destillatie. Onderzoek naar bloedzuigermodellen haalde 73% gelijkenis uit ChatGPT-3.5-Turbo voor $ 50 aan API-kosten in 48 uur.
Verdediging: Gedragsvingerafdrukken, detectie van distributieanalysepatronen, watermerken die diefstal achteraf aantonen, en snelheidsbeperking, waarbij vraagpatronen worden geanalyseerd die verder gaan dan alleen het tellen van verzoeken.
7. Uitputting van hulpbronnen (sponsaanvallen). Bewerkte input maakt gebruik van de kwadratische aandachtscomplexiteit van Transformer, waardoor gevolgtrekkingsbudgetten worden uitgeput of de service wordt verlaagd. IEEE EuroS&P-onderzoek naar sponsvoorbeelden toonde 30x latentieverhogingen aan op taalmodellen. Een aanval duwde Microsoft Azure Translator van 1 ms naar 6 seconden. Een degradatie van 6.000 keer.
Verdediging: Tokenbudgettering per gebruiker, prompte complexiteitsanalyse die recursieve patronen afwijst, en semantische caching die zware, herhaalde prompts dient zonder gevolgtrekkingskosten.
8. Synthetische identiteitsfraude. Door AI gegenereerde identiteiten die echte en fictieve gegevens combineren om identiteitsverificatie te omzeilen, vertegenwoordigen een van de grootste door AI gegenereerde risico’s voor retail- en financiële diensten. Het onderzoek van de Federal Reserve naar synthetische identiteitsfraude notities 85-95% van de synthetische aanvragers ontsnapt aan traditionele fraudepatronen. Signicat-rapport 2024 ontdekte dat op AI gebaseerde fraude nu 42,5% uitmaakt van alle fraudepogingen die in de financiële sector worden gedetecteerd.
Verdediging: Multifactor-verificatie die gedragssignalen omvat die verder gaan dan statische identiteitsattributen, evenals anomaliedetectie die is getraind op synthetische identiteitsmodellen.
9. Fraude mogelijk gemaakt door deepfake. Door AI gegenereerde audio en video doen zich voor als leidinggevenden om transacties goed te keuren, waarbij vaak wordt geprobeerd organisaties te bedriegen. Onfido Identiteitsfrauderapport 2024 documenteerde een toename van 3.000% in deepfake-pogingen in 2023. Arup verloor $ 25 miljoen tijdens één videogesprek waarbij door AI gegenereerde deelnemers zich voordoen als de CFO en collega’s.
Verdediging: Out-of-band verificatie voor hoogwaardige transacties, activiteitsdetectie voor video-authenticatie en beleid dat secundaire bevestiging vereist, ongeacht de schijnbare anciënniteit.
10. Gegevensexfiltratie door nalatige werknemers. Werknemers plakken bedrijfseigen code en strategiedocumenten in openbare LLM’s. Dat is precies wat Samsung-technici deden dit slechts enkele weken nadat het ChatGPT-verbod was opgehevenlekken van broncode en interne vergadernotities bij drie afzonderlijke incidenten. Gartner voorspelt In 2026 zal 80% van de ongeautoriseerde AI-transacties het gevolg zijn van interne beleidsschendingen en niet van kwaadaardige aanvallen.
Verdediging: Het redigeren van persoonlijk identificeerbare informatie (PII) maakt veilig gebruik van AI-tools mogelijk en voorkomt tegelijkertijd dat gevoelige gegevens externe modellen bereiken. Maak veilig gebruik van de weg van de minste weerstand.
11. Exploitatie van hallucinaties. De contrafeitelijke drang dwingt modellen om in te stemmen met uitvindingen, waardoor valse resultaten worden versterkt. Onderzoek naar op LLM gebaseerde agenten laat zien dat hallucinaties zich ophopen en versterken in de loop van meerstapsprocessen. Dit wordt gevaarlijk wanneer AI geautomatiseerde workflows aanstuurt zonder menselijke beoordeling.
Verdediging: Aardingsmodules vergelijken reacties met de opgehaalde context op betrouwbaarheid, evenals betrouwbaarheidsscores, waarbij potentiële hallucinaties worden gemarkeerd voordat ze zich verspreiden.
Wat CISO’s nu moeten doen
Gartner voorspelt In 2028 zal 25% van de bedrijfsinbreuken te wijten zijn aan misbruik van AI-agenten. Het juiste moment om verdedigingswerken op te bouwen is nu.
Chris Betz, CISO bij AWS, hij heeft het ingelijst op RSA 2024: “Bedrijven vergeten de beveiliging van applicaties in de haast om generatieve AI te gebruiken. De plaatsen waar we beveiligingslacunes als eerste zien, bevinden zich eigenlijk op applicatieniveau. Mensen haasten zich om oplossingen te vinden en ze maken fouten.”
Er komen vijf implementatieprioriteiten naar voren:
-
Automatiseer de implementatie van patches. Voor het 72-uursvenster zijn zelfstandige patches met betrekking tot cloudbeheer vereist.
-
Implementeer eerst de normalisatielagen. Base64, ASCII-kunst en Unicode-decodering vóór semantische analyse.
-
Implementeer stateful contextmonitoring. Multi-turn Crescendo-aanvallen verslaan inspectie met één verzoek.
-
Pas de RAG-instructiehiërarchie toe. Verpak de opgehaalde gegevens tussen scheidingstekens en behandel de inhoud uitsluitend als gegevens.
-
Verspreid identiteit in prompts. Gebruikersmetagegevens injecteren voor autorisatiecontext.
“Als je beveiliging aan de rand van je netwerk plaatst, nodig je de hele wereld uit”, zegt Riemer. “Totdat ik weet wat het is en ik weet wie er aan de andere kant van het toetsenbord zit, zal ik er niet mee communiceren. Dit is nul vertrouwen; niet als modewoord, maar als een werkingsprincipe.”
De blootstelling van Microsoft bleef drie jaar onopgemerkt. Samsung lekt de code al weken. De vraag voor CISO’s is niet of ze inferentiebeveiliging moeten implementeren, maar of ze de kloof kunnen dichten voordat ze het volgende waarschuwingsverhaal worden.
