Computerscherm met regels programmacode in een donkere editor
Nieuws8 juli · 04:244 min leestijd

AI-agents trappen in verborgen webinstructies: Zscaler test 26 modellen

Beveiliger Zscaler testte 26 grote taalmodellen op verborgen webinstructies. Vier lieten zich tot een frauduleuze betaling verleiden, en juist een goedkoper model hield beter stand dan een duurder. Waarom de verdediging niet in het model zit.

Autonome AI-agents trappen nog vaak in verborgen instructies op webpagina's. Dat blijkt uit een test van beveiliger Zscaler ThreatLabz, die 26 grote taalmodellen losliet op geprepareerde websites: vier van de modellen lieten zich verleiden tot een frauduleuze betaling, twee anderen bestempelden een malafide site als betrouwbaar.

Voor elk Nederlands bedrijf dat een AI-agent laat browsen, inkopen of betalen is dat geen abstract labprobleem. Een agent leest de tekst op een pagina om zijn taak uit te voeren, en kan die inhoud niet betrouwbaar scheiden van een verborgen commando dat een aanvaller ertussen zet. Zodra de agent ook mag handelen, een bestelling plaatsen of een rekening voldoen, wordt zo'n verstopte instructie een directe kostenpost.

Hoe de aanval werkt

Indirecte prompt-injectie (IPI) stopt kwaadaardige instructies in de inhoud die een agent ophaalt: een webpagina, een document, een e-mail. De agent verwerkt die inhoud als onderdeel van zijn opdracht en voert de verstopte opdracht mee uit. In Zscalers eerste scenario werd een agent zo verleid om een nep-licentiekosten van 3 dollar te betalen om een API-sleutel te bemachtigen. Vier van de 26 modellen gingen erin mee: Llama 3.3 70B, Llama 3.2 90B Vision, Gemini 3 Flash en Gemini 2.5 Pro.

In een tweede scenario, met een nagemaakte website via typosquatting, keurden twee modellen de malafide pagina onder bepaalde omstandigheden goed als legitiem: GPT-5.4 en Claude Sonnet 4.5. Juist twee topmodellen, wat laat zien dat rekenkracht op zichzelf geen bescherming garandeert.

Duurder is niet veiliger

Het opvallendste patroon: prijs en prestatie voorspellen de veiligheid niet. Het budgetmodel Gemini 3.1 Flash Lite hield stand waar het duurdere Gemini 2.5 Pro bezweek, en ook Llama 4 Maverick en Gemini 3.1 Pro weerstonden de aanval. Modellen die getraind zijn om tekst zo volgzaam mogelijk op te volgen blijken juist gevoeliger: ze scheiden de oorspronkelijke opdracht van de gebruiker slechter van een instructie die ze onderweg tegenkomen.

De cijfers zijn een momentopname, waarschuwt onderzoeker Noah Kenney in InfoWorld: agent-gedrag verschuift met elke update, dus een model dat vandaag standhoudt kan bij een volgende versie alsnog struikelen. Een lijstje "veilige" modellen is dus geen keurmerk waar je op kunt leunen.

Waar de verdediging echt zit

De les zit niet in de modelkeuze, maar in de architectuur eromheen. Een limiet die je een agent in zijn prompt meegeeft is een suggestie die precies zo'n injectie omzeilt; een bestedingslimiet die je in de betaallaag zelf afdwingt houdt wel stand, ongeacht wat de agent onderweg leest. Hetzelfde principe kwam eerder terug bij vergiftigde MCP-toolomschrijvingen die een agent kapen zodra hij van lezen op handelen overgaat: het risico groeit mee met de bevoegdheid die je de agent geeft.

Dat is de rode draad. Zolang een agent alleen samenvat, is een verborgen instructie hooguit vervelend. Zodra hij mag betalen, bestellen of goedkeuren, wordt elke webpagina die hij bezoekt een mogelijke invalshoek, en bepaalt niet het model maar de grens die je eromheen zet hoe ver een aanvaller komt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI-agents die veilig handelen

Een agent die kan betalen of bestellen vraagt om harde grenzen op de juiste plek. Ik denk met je mee, ontwerp de flow en bouw de limieten, goedkeuringen en monitoring zo in dat een verborgen instructie nergens komt. Self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Claude Sonnet 5: Anthropics meest agentic model tot nu toe, voor mid-tier prijzen
Nieuws
5 min

30 jun 21:32

Claude Sonnet 5: Anthropics meest agentic model tot nu toe, voor mid-tier prijzen

Anthropic lanceert Claude Sonnet 5: het meest autonome Sonnet-model tot nu toe, met prestaties die Opus 4.8 benaderen tegen een veel lagere prijs. Voor Nederlandse bedrijven verschuift dat de afweging tussen AI-leveranciers.

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview
Nieuws
4

10 jul 14:35

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview

Het AI Now Institute toont met 'Friendly Fire' hoe Claude Code en Codex tijdens een beveiligingsreview via een gemanipuleerde README zelf een kwaadaardig programma op de host uitvoeren, zonder om toestemming te vragen.

Microsoft vervangt OpenAI en kroont GPT-5.6 in dezelfde week: je AI-leverancier kiezen is de verkeerde vraag
Inzicht
8 min

11 jul 09:00

Microsoft vervangt OpenAI en kroont GPT-5.6 in dezelfde week: je AI-leverancier kiezen is de verkeerde vraag

In dezelfde week zette Microsoft eigen modellen in Excel om OpenAI-kosten te drukken en maakte het GPT-5.6 voorkeursmodel in Copilot. Geen tegenspraak, maar een strategie: zelfs de grootste inkoper kiest geen AI-leverancier, hij routeert per taak. Waarom welke leverancier de verkeerde vraag is.

Prompt caching: betaal de voortekst niet elke keer opnieuw
Uitgelegd
6 min

10 jul 13:23

Prompt caching: betaal de voortekst niet elke keer opnieuw

Prompt caching onthoudt je gesprek niet en bewaart geen antwoord. Het hergebruikt het rekenwerk over een vaste voortekst, zodat je die niet elke beurt opnieuw betaalt. Zo werkt het, en wanneer het loont.

Wat kost AI? De meter loopt op tokens, niet per bericht
Uitgelegd
7 min

10 jul 12:46

Wat kost AI? De meter loopt op tokens, niet per bericht

AI is geen abonnement en je betaalt niet per bericht. Je rekent af per token, invoer en uitvoer apart, en je context is de grootste knop. Zo lees je je AI-rekening echt.

Wat is context? Waarom een AI je gesprek niet echt onthoudt
Uitgelegd
7 min

10 jul 01:09

Wat is context? Waarom een AI je gesprek niet echt onthoudt

Een AI-model onthoudt je gesprek niet. Elke beurt stuurt de app de hele geschiedenis opnieuw mee als context. Zie zwart op wit waarom een lang gesprek duurder en trager wordt, en wat het contextvenster is.