Met robuuste veiligheidskaders
Tegenwoordig weten we allemaal dat ik niet overdrijf wanneer ik zeg dat AI enorme beloften met zich meebrengt. Investeerders pompen ongekende hoeveelheden geld in de ontwikkeling van AI- technologie. Bedrijven racen om het als eerste op de markt te brengen. Het enthousiasme werkt aanstekelijk. Maar nu de eerste verbazing langzaam afneemt, hoor ik ook een ander geluid. Een geluid van zorg.
- Welke risico’s komen kijken bij deze nieuwe, innovatieve technologie?
- Zijn wij verantwoordelijk voor de content die AI genereert?
- Staan de kosten ook maar enigszins in verhouding tot de verwachte voordelen?
Het zijn stuk voor stuk terechte vragen. En waarschijnlijk spoken er op dit moment nog meer van dit soort vragen door je hoofd. Het is nu eenmaal een realiteit in het digitale tijdperk dat nuttige technologieën worden misbruikt door kwaadwillende partijen om waardevolle data te stelen of digitale systemen te kapen. Onmiskenbaar zijn de aanvalsvectoren binnen LLM’s breder dan in traditionele software. Hoe krachtiger deze agenttechnologieën worden, hoe serieuzer de dreigingen zullen zijn.
Misschien maak je je zorgen over de strenge eisen die worden gesteld in de Europese AI Act. Misschien heb je inmiddels al enkele nadelen van AI-wildgroei ervaren. Of ben je geconfronteerd met een bedrieglijk echte, door AI gegenereerde en micro-getargete phishingaanval. In dat geval heb je mijn medeleven. Maar je bent hier wel aan het juiste adres. Deze blog geeft je niet alleen stof tot nadenken, maar ook concrete handvatten om grip te krijgen op AI binnen jouw organisatie.
OWASP
Wanneer applicatiebeveiliging in het geding is, is OWASP mijn vertrouwde referentiebron. Niet
verrassend dus dat de recent gepubliceerde OWASP Top 10 van 2025 enkele nieuwe AI-gerelateerde categorieën bevat. Denk bijvoorbeeld aan “AI prompt injection attacks”. Daarnaast is er inmiddels een aparte Top 10 voor Generative AI & LLM’s. Je zorgen worden gehoord!
1. Prompt Injection
Net als bij het manipuleren van een SQL-query probeert een prompt-injectie ongewenste reacties van het model uit te lokken. Pogingen om de systeem-prompt te overschrijven (“Negeer alle eerdere instructies”), pogingen om met het model te ‘onderhandelen’ of het zelfs te verleiden het kan allemaal leiden tot desastreuze uitkomsten.
2. Onveilige Output-afhandeling
Wanneer een AI-agent computercode genereert en uitvoert zonder correcte validatie, loop je het
risico op een onzinnige uitkomst of erger: een Cross-Site Request Forgery-aanval of zelfs een Cross- Site Scripting-aanval. Je kunt er niet blind op vertrouwen dat het model foutloos is. En je kunt onmogelijk elk mogelijk scenario vooraf testen.
3. Vergiftiging van Trainingsdata
Sommige taalmodellen leren continu bij. De interactie met gebruikers is bedoeld om ze steeds slimmer te maken. Maar via diezelfde weg kan ook kwaadaardige trainingsdata worden ingevoerd. Stel je eens voor hoe een buitenlandse actor het model waar jij op vertrouwt zo kan vervormen dat het niet alleen nutteloos wordt, maar mogelijk schadelijk.
4. Model Inversion
Soms laat de output van een model sporen achter die terugleiden naar de bron. Wanneer je bekend bent met die bron, kun je je prompts zo ontwerpen dat het model deze zonder twijfel prijsgeeft. Dit kan wijzen op diefstal van intellectueel eigendom, GDPR-schendingen of andere overtredingen met kans op bijbehorende sancties.
5. Model Theft
Trainingsdata is schaars en kostbaar. Waarom zou je dan niet de output van concurrerende modellen gebruiken als input voor je eigen model? Of een agent bouwen die de output van meerdere bronmodellen combineert tot één nieuw artefact?
6. Onvoldoende Sandboxing
Het controleren van de toegang van AI-agents tot bronsystemen (meestal via MCP’s) is berucht lastig. De legitieme privédata van de ene gebruiker is potentieel buit voor een ander. Hoewel complex, is toegang strikt reguleren essentieel om incidenten te voorkomen.
7. Ongeautoriseerde Code-uitvoering
Nauw verwant aan Onveilige Output-afhandeling: ongeautoriseerde code-uitvoering ontstaat wanneer een gebruiker een kwaadaardige prompt construeert waardoor ongecontroleerd code kan worden uitgevoerd.
8. Onveilige Plugin-ontwerpen
Wanneer je in je bedrijfsprocessen AI-plug-ins van derden gebruikt zoals een chatbot en die bovendien updates ontvangen buiten jouw controle, kun je ongemerkt op de rand van een ramp balanceren.
9. Overmatige Afhankelijkheid van LLM’s
Mensen zijn snel onder de indruk van een document dat in enkele seconden wordt gegenereerd. Maar niet elke juridische verwijzing in een gegenereerde pleitnota is echt. Ter illustratie: het aantal bekende AI-hallucinatiegevallen in juridische documenten staat bij het schrijven op 541, en groeit. Evenzo is niet elke gegenereerde e-mailreactie correct, en niet elke samenvatting volledig. Bovendien worden steeds meer lezers gevoelig voor typische AI-schrijfstijlen en voor gegenereerde beelden (zie je wat ik daar deed?).
10. Onvoldoende Monitoring & Logging
Wanneer je AI-agents geen sporen achterlaten, of opereren onder een niet te herleiden identiteit, tast je volledig in het duister over je eigen processen.
Op dit punt kan ik me voorstellen dat je sceptisch bent over de daadwerkelijke impact van deze kwetsbaarheden in de praktijk. Want als het risico écht zo groot is, waarom blijven Big Tech-bedrijven dan massaal investeren, toch? Hoewel het verleidelijk is om enkele spraakmakende incidenten te noemen, zouden die alweer achterhaald zijn tegen de tijd dat je dit leest. Daarom geef ik je liever een prompt die je favoriete GenAI-tool maar al te graag voor je zal onderzoeken:
Please give me some recent actual historic incidents (public breaches or documented attacks) mapped to each of issues in the latest OWASP Top 10 for Generative AI & LLM vulnerabilities.
Vergeet niet om de magie te waarderen terwijl je door de opsomming van debacles scrolt. Lees nu vooral verder voordat je in een nieuwe doomscroll belandt.
Help die wordt geboden
Managed MCP’s
Op dit moment ontwikkelt de software-industrie actief nieuwe mogelijkheden om je te helpen deze kwetsbaarheden aan te pakken. MCP’s zijn door Anthropic geïntroduceerd als een standaardinterface om AI-agents te verbinden met databronnen, meestal door bestaande API’s te verrijken. In WSO2 API Manager zijn MCP’s inmiddels volwaardige first-class citizens. Het platform biedt een nieuwe functie om een MCP-server te creëren door een OpenAPI-specificatie te importeren en om de tools en hun gedrag handmatig aan te passen.
Daarnaast kun je de toegang tot je MCP’s beveiligen op dezelfde manier als je toegang regelt tot al je andere API’s. Omdat MCP’s bovenop API’s zijn gebouwd, kun je de beveiliging van je MCP versterken door je API robuust te hardenen. Dit omvat onder meer strikte input- en outputvalidatie.
We hebben een volledige whitepaper geschreven over API Security, die je gratis kunt downloaden.
AI-Guardrails
LLM’s zijn van nature probabilistische machines. Ze hebben geen vooraf bepaalde uitkomst. Je kunt niet verwachten dat je twee keer hetzelfde antwoord krijgt of zelfs maar een vergelijkbaar antwoord. Verrassingen blijven dus voorkomen. Maar er zijn wel degelijk manieren om de bruikbaarheid van modellen te maximaliseren.
Om het gebruik van LLM’s en GenAI binnen je organisatie te beschermen, wil je zowel de invoer als de uitvoer van het model sanitiseren. De AI Gateway doet precies dat. Deze onderschept de prompt en handhaaft de beleidsregels die jij hebt gedefinieerd. Jij bepaalt hoe de prompt wordt geschoond: door PII te maskeren, door de prompt in te korten of uit te breiden, of door deze volledig af te wijzen. De AI Gateway kan zelfs automatisch de veiligheid van de content voor je beoordelen. Het aantal toepasbare policies is nu al groot en zal alleen maar verder toenemen.
Daarnaast kan de AI Gateway de uitvoer van het model op een vergelijkbare manier sanitiseren. Zo krijg je de regie terug over de gegenereerde content. Je kunt de veiligheid van de output controleren, en zelfs elke URL in de respons laten valideren. Het enige dat je hoeft te doen, is een policy definiëren.
Agentidentiteit
Maar het blijft daar niet bij. Belangrijk is dat WSO2 Identity Server er nu ook een nieuwe first-class citizen bij heeft: Agents. Een agent kan niet alleen een eigen identiteit krijgen wat helpt om zijn acties herleidbaar te maken maar ook de identiteit van de gebruiker namens wie hij handelt. Dit is geïmplementeerd als een nieuw grant type, speciaal ontworpen voor AI-agents. Interessant genoeg bevat het zelfs een flow waarin de agent toestemming kan vragen aan de gebruiker om een actie uit te voeren. Samen vormt dit een solide basis voor veilige agentische computing.
Semantische caching
Het verbruik van tokens kan gemakkelijk de pan uit rijzen. Een manier om de kosten van LLM-gebruik te beperken, is simpelweg het cachen van responses. Hoeveel dit oplost hangt af van je use case, maar in de praktijk blijkt dat prompts veel vaker herhaald worden dan je zou denken. Met semantische caching genereer je feitelijk een lijst met antwoorden op veelgestelde vragen zonder menselijke tussenkomst.
Kostenbeheersing
Hoewel semantische caching een deel van de pijn verzacht, kan een blanco cheque voor AI-
experimenten al snel uitmonden in een kostbare aangelegenheid. Op dat moment kun je overwegen om de AI-kosten toe te rekenen aan de betreffende budgethouders. Voor een eerlijke berekening moet je echter het verbruik per budgethouder kunnen bijhouden. Gelukkig is AI volledig geïntegreerd in API Manager, en hebben agents hun eigen identiteit gekregen. Hierdoor kan de Analytics-engine in API Manager precies de rapportages leveren die je nodig hebt om LLM-kosten door te belasten.
Retrieval-Augmented Generation
Integratie staat centraal in agentische AI. Retrieval-Augmented Generation (RAG) is een opkomende technologie om een taalmodel te voeden met betrouwbare informatie, zodat de output consistenter en betrouwbaarder wordt. In de praktijk verrijk je een prompt met gegevens die je afleidt uit de actuele staat van je resources.
In essentie bestaan er twee concurrerende mechanismen:
- Micro Integrator maakt het mogelijk om agentinformatie te verrijken met beschikbare data in een knowledge base. Als je bijvoorbeeld trenddata aanlevert, kan je agent eenvoudig toekomstige ontwikkelingen voorspellen. In combinatie met een LLM genereer je vervolgens moeiteloos een indrukwekkend rapport.
- Streaming Integrator stelt je in staat om realtime events te gebruiken als extra input bijvoorbeeld uit webverkeer of alerts. Je agent kan dan direct beslissen wat de “next best action” is.
De Ballerina Integrator kan beide, dus je kunt de mechanismen zelfs combineren als dat past bij jouw toepassing.
Prompt Decoration
Gegenereerde content kan enorm krachtig zijn, maar voldoet doorgaans niet automatisch aan bestaande richtlijnen. In veel situaties worden gemeenschappelijke richtlijnen gebruikt om consistentie te creëren tussen artefacten die door verschillende mensen worden gemaakt denk aan schrijfwijzers, presentatiesjablonen, codeerstandaarden of een API-stijlgids. Prompt decoration stelt je in staat om deze richtlijnen automatisch toe te voegen aan de input die collega’s aan je agents geven, waardoor de bruikbaarheid en consistentie van de output sterk verbeteren.
Het laten werken
Het veilig inzetten van AI binnen je organisatie gaat verder dan het aanschaffen van de juiste technologie al is dat een solide eerste stap. Voor succes moet je het gebruik van de tools organiseren, verantwoordelijkheden definiëren, draagvlak creëren bij stakeholders en commitment opbouwen voor je beleidsregels.
Gelukkig verschilt de introductie van AI Management niet wezenlijk van de invoering van API Management binnen je organisatie. Met WSO2 zitten ze zelfs in dezelfde toolset. Bij Yenlo hebben we dit traject al talloze keren doorlopen. We omarmen graag de nieuwste ontwikkelingen in integratietechnologie en benutten die tot hun volle potentieel. Geen wonder dat we onze ervaring graag inzetten om jou te helpen slagen in het beheersen van AI Security.
Wil je ontdekken hoe jouw organisatie veilig, schaalbaar en gecontroleerd AI kan inzetten? Neem dan vandaag nog contact met ons op we denken graag met je mee en helpen je direct op weg.
We zijn slechts één telefoontje van je verwijderd
