Beveiligingsonderzoekers van Tracebit keren prompt-injectie om als verdedigingswapen: een korte 'context bomb', verstopt in een lokaas-secret in een AWS-omgeving, laat een aanvallende AI-agent tegen zijn eigen guardrails aanlopen en stoppen. Het bedrijf publiceerde de resultaten maandag als working paper.
Tot nu toe was prompt-injectie vooral het gereedschap van de aanvaller: een verborgen instructie, bijvoorbeeld in een mail of een bestand, die een taalmodel data laat lekken of ongewenste acties laat uitvoeren. Voor een Nederlands bedrijf met cloud-infrastructuur en een securityteam draait die rol nu om. Een lokaas dat een aanval niet alleen signaleert maar ook afbreekt, koopt precies de minuten die je bij een autonome aanval tekortkomt.
Van waarschuwen naar stoppen
Het idee groeide uit een praktisch probleem. Tracebit zet 'canaries' in: neplokaas-resources in je AWS-account die niemand legitiem gebruikt, zodat een alarm afgaat zodra een agent ze aanraakt. Die canaries sloegen gemiddeld binnen acht minuten aan, maar de geteste AI-agents hadden gemiddeld veertien minuten nodig om door te stoten naar volledige adminrechten. Een voorsprong van zes minuten is te dun om een geautomatiseerde aanval nog met de hand te stoppen.
Dat is precies waarom een verdediging die op reactietijd rekent, het verliest van agents die de hele aanvalsketen in minuten aan elkaar rijgen. Een canary die niet alleen waarschuwt maar de aanval ter plekke afbreekt, verschuift die rekensom van reageren naar tegenhouden.
Wat de cijfers laten zien
Tracebit testte vijf toonaangevende modellen (Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro en Kimi 2.6) in een gesimuleerde AWS-omgeving en gaf ze routineuze ontwikkelaarstaken die hen door de resources lieten grasduinen. Eén zo'n string in een lokaas-secret bracht het aandeel runs waarin de agent volledige adminrechten pakte omlaag van 57 naar 5 procent, gemeten over 152 aanvalsruns. Volledige compromittering, waarbij de agent ook een blijvende toegang achterliet, zakte van 36 naar 1 procent.
Het sterkste model viel het hardst. Opus 4.8 haalde in de schone omgeving in 93 procent van de runs adminrechten, en faalde daarna elke keer zodra er een context bomb lag.
Hoe een context bomb werkt
De truc is simpel en oncomfortabel. De string bevat een opdracht die het model volgens zijn eigen veiligheidsregels moet weigeren, bijvoorbeeld stappen om biologische wapens te maken, of bij Chinese modellen een verwijzing naar de Tank Man van het Tiananmen-plein in 1989. Zodra het model die tekst tegenkomt, springt zijn weigermechanisme aan en stopt het met zijn lopende taak. Het komt er volgens Tracebit-oprichter Andy Smith op neer dat de string een weigering in de context uitlokt, met een scherp effect waar de agent moeilijk van herstelt: eenmaal binnen blijft hij weigeren.
Wat werkt, verschilt per model: biologisch gevoelige inhoud legde de westerse modellen stil, politiek gevoelige inhoud de Chinese. Dat is bruikbaar, want een verdediger kan het effect richten op de modellen die hij wil raken en zijn eigen legitieme AI-gebruik ontzien door de string te kiezen die alleen andere providers treft. Beveiligingsonderzoeker Earlence Fernandes van de University of California, San Diego noemt het het eerste bekende geval waarin verdedigers deze techniek omdraaien; aanvallers gebruikten prompt-injectie eerder al om AI-gestuurde malware-analyse uit te schakelen.
De grenzen
Het is nadrukkelijk geen wondermiddel. Tracebit noemt het initieel onderzoek en waarschuwt dat de techniek niet alles tegenhoudt: afhankelijk van waar een agent zijn aandacht eerst legt, kan hij nog kleinere acties afmaken voordat hij op de bom stuit. De methode berust bovendien op de weigermechanismen van de modellen zelf, dus aanvallers die hun eigen 'ongecensureerde' modellen of andere harnassen inzetten, kunnen eromheen werken. De onderliggende oorzaak van prompt-injectie is nog altijd niet opgelost.
Toch is de verschuiving betekenisvol. Voor het eerst wordt een hardnekkig, onoplosbaar probleem, het feit dat taalmodellen instructies uit hun data blindelings volgen, tegen de aanvaller gebruikt in plaats van tegen de verdediger. Tracebit heeft de context bombs inmiddels als optie in zijn product gebouwd en de teststrings op GitHub gezet. Wie een cloudomgeving beheert en een aanval door autonome agents als reeel risico ziet, krijgt er een goedkope laag bij die niet detecteert maar frustreert: precies de minuten winst die het verschil maken tussen een alarm lezen en een inbraak stoppen.
Veelgestelde vragen
AI-agents veilig inzetten
Wil je AI-agents in je eigen omgeving draaien zonder dat ze een aanvalsoppervlak worden? Ik denk mee over het ontwerp, bouw de agents en zet ze veilig en waar het kan self-hosted neer, van eerste idee tot werkende opzet.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
