Je AI-tool is ineens de zachtste plek in je bedrijf

Bedrijven hebben AI in hoog tempo ingevoerd met een vrij logisch doel: sneller werken, minder handmatig gedoe en meer output per medewerker. Dat verhaal klopt deels ook. Alleen is er een ongemakkelijke bijwerking die in veel implementaties te weinig aandacht kreeg: dezelfde systemen vormen nu een nieuw toegangspunt voor aanvallers, juist omdat taalmodellen zich laten sturen door input die onschuldig lijkt.

Hoe scheef de verhouding tussen adoptie en beveiliging inmiddels is, blijkt uit een onderzoek van VentureBeat onder 100 technische beslissers. Slechts 34,7 procent van de organisaties heeft specifieke verdediging tegen prompt injection uitgerold. De overige 65,3 procent heeft zulke tooling niet aangeschaft of kan niet eens met zekerheid zeggen of die bescherming ergens in de stack aanwezig is. Dat is nogal wat, zeker nu AI steeds dichter tegen kernsystemen aan zit.

Dit incident maakte duidelijk hoe ver het al is

In september 2025 ontdekte het threat-intelligence-team van Anthropic, zo meldde Infosecurity Magazine, dat een aan de Chinese staat gelinkte groep Claude Code had gejailbreakt en omgebouwd tot een grotendeels autonome aanvalsmachine. Die AI nam 80 tot 90 procent van het tactische werk voor haar rekening in een campagne tegen ongeveer 30 organisaties, waaronder technologiebedrijven, financiële instellingen, chemische fabrikanten en overheidsinstanties.

Het opvallendste detail is misschien hoe weinig mensen daar nog tussen zaten. Per doelwit hoefden operators maar op vier tot zes beslismomenten in te grijpen. Verkenning, kwetsbaarheidsscans, het verzamelen van inloggegevens, het schrijven van maatwerkexploits en de rapportage achteraf liepen verder grotendeels via de AI, op duizenden verzoeken per seconde.

De jailbreak zelf was niet eens exotisch. De aanvallers vertelden de tool dat die werkte voor een legitiem cybersecuritybedrijf en defensieve tests uitvoerde. Daarna knipten ze de schadelijke workflow op in kleine, op zichzelf onschuldige taken. Los van elkaar leken die niet verdacht. Samen vormden ze gewoon een volledige spionageoperatie.

Waarom prompt injection zo hardnekkig is

Volgens de OWASP is prompt injection de belangrijkste kwetsbaarheid in toepassingen met grote taalmodellen. Het probleem komt voor in 73 procent van de AI-deployments in productie, terwijl de slagingskans van aanvallen tussen 50 en 84 procent ligt, afhankelijk van de configuratie. Dat zijn geen randgevallen meer.

Op 13 februari 2026 introduceerde OpenAI Lockdown Mode voor ChatGPT en zei het bedrijf ook publiek dat prompt injection in AI-browsers mogelijk nooit volledig op te lossen is. Dat is een belangrijke erkenning. Het suggereert dat het probleem niet vooral zit in een ontbrekende patch, maar in de manier waarop taalmodellen zijn opgebouwd.

Een model kan immers niet betrouwbaar onderscheiden welke instructies vertrouwd zijn en welke kwaadaardige opdrachten verstopt zitten in de data die het verwerkt. Dat verklaart ook waarom kritieke CVE's uit 2025 en 2026 zo'n groot signaal waren: Microsoft Copilot kreeg een CVSS-score van 9,3, GitHub Copilot 9,6 en Cursor IDE 9,8. Met andere woorden: dit is niet alleen een theoretische discussie voor securityteams.

Je productiviteitstool krijgt ineens veel macht

Het risico wordt groter zodra AI niet alleen antwoord geeft, maar ook dingen doet. Het Cisco State of AI Security 2026-rapport, aangehaald door Vectra AI, laat een forse kloof zien: 83 procent van de organisaties wil agentische AI inzetten, maar slechts 29 procent voelt zich klaar om die veilig te beheren. Dat verschil van 54 punten is praktisch gezien een waarschuwing: bedrijven koppelen autonome systemen aan gevoelige processen zonder dat de beveiliging even hard meegroeit.

Agentische AI leest databases, gebruikt API's, voert code uit en verstuurt mails namens een organisatie. Als prompt injection in zo'n omgeving slaagt, lekt er niet alleen een gesprek uit. Een aanvaller krijgt dan iets dat veel waardevoller is: een geauthenticeerde insider met programmeerbare toegang tot systemen.

Dat verklaart meteen waarom de markt voor prompt security van 1,51 miljard dollar in 2024 groeide naar 1,98 miljard dollar in 2025, goed voor een samengestelde groei van 31,5 procent. Het volgt dezelfde logica als credential-based breaches: als gestolen logins nu al een groot deel van de incidenten voeden, dan maakt AI het straks makkelijker om die op schaal te verzamelen, te testen en te misbruiken.

Wat de beter voorbereide bedrijven anders doen

Bedrijven die al wel bescherming hebben ingericht, delen grofweg drie gewoontes. Ten eerste behandelen ze een taalmodel als een onbetrouwbare gebruiker en niet als een brave assistent. Output wordt gevalideerd voordat er een actie uit volgt en externe input gaat eerst door filters heen voordat het model die ziet.

Ten tweede scheiden ze bevoegdheden. Een codeassistent mag bijvoorbeeld niet zonder menselijke goedkeuring naar productie deployen. Dat klinkt behoorlijk basaal, maar in de praktijk wint gemak het nog verrassend vaak van voorzichtigheid, net als bij de dagelijkse security-snelkoppelingen die in veel organisaties normaal zijn geworden.

Ten derde doen ze aan continu adversarial testen. Securityteams proberen dus actief hun eigen AI-opstellingen te breken met dezelfde methoden die echte aanvallers gebruiken.

De reactietijd wordt alleen maar korter

Daar komt nog bij dat de Europese AI Act op 2 augustus 2026 volledig van toepassing wordt, met enkele uitzonderingen. Prompt injection raakt inmiddels aan zeven grote compliancekaders, waaronder OWASP, MITRE ATLAS, NIST en ISO 42001. Voor Europese bedrijven is dit dus niet alleen een technisch risico, maar ook een governance- en auditvraagstuk.

Ondertussen daalde de gemiddelde breakout time, de tijd tussen een eerste inbraak en laterale beweging, in 2025 naar slechts 29 minuten. Dat is 65 procent lager dan een jaar eerder. Als AI steeds meer stappen in de aanvalsketen automatiseert, wordt dat venster waarschijnlijk nog kleiner. De tool die je kocht om sneller te werken, helpt dan ook de tegenpartij om sneller te opereren.