Een hangslot op een printplaat als beeld voor digitale beveiliging.
Nieuws13 juli · 20:135 min leestijd

Verdedigers keren prompt-injectie om en stoppen aanvallende AI-agents

Onderzoekers van Tracebit verstoppen prompt-injectie in een lokaas-secret in AWS. Zodra een aanvallende AI-agent hem leest, weigert het model verder te werken. Adminovernames zakten van 57 naar 5 procent.

Beveiligingsonderzoekers van Tracebit keren prompt-injectie om als verdedigingswapen: een korte 'context bomb', verstopt in een lokaas-secret in een AWS-omgeving, laat een aanvallende AI-agent tegen zijn eigen guardrails aanlopen en stoppen. Het bedrijf publiceerde de resultaten maandag als working paper.

Tot nu toe was prompt-injectie vooral het gereedschap van de aanvaller: een verborgen instructie, bijvoorbeeld in een mail of een bestand, die een taalmodel data laat lekken of ongewenste acties laat uitvoeren. Voor een Nederlands bedrijf met cloud-infrastructuur en een securityteam draait die rol nu om. Een lokaas dat een aanval niet alleen signaleert maar ook afbreekt, koopt precies de minuten die je bij een autonome aanval tekortkomt.

Van waarschuwen naar stoppen

Het idee groeide uit een praktisch probleem. Tracebit zet 'canaries' in: neplokaas-resources in je AWS-account die niemand legitiem gebruikt, zodat een alarm afgaat zodra een agent ze aanraakt. Die canaries sloegen gemiddeld binnen acht minuten aan, maar de geteste AI-agents hadden gemiddeld veertien minuten nodig om door te stoten naar volledige adminrechten. Een voorsprong van zes minuten is te dun om een geautomatiseerde aanval nog met de hand te stoppen.

Dat is precies waarom een verdediging die op reactietijd rekent, het verliest van agents die de hele aanvalsketen in minuten aan elkaar rijgen. Een canary die niet alleen waarschuwt maar de aanval ter plekke afbreekt, verschuift die rekensom van reageren naar tegenhouden.

Wat de cijfers laten zien

Tracebit testte vijf toonaangevende modellen (Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro en Kimi 2.6) in een gesimuleerde AWS-omgeving en gaf ze routineuze ontwikkelaarstaken die hen door de resources lieten grasduinen. Eén zo'n string in een lokaas-secret bracht het aandeel runs waarin de agent volledige adminrechten pakte omlaag van 57 naar 5 procent, gemeten over 152 aanvalsruns. Volledige compromittering, waarbij de agent ook een blijvende toegang achterliet, zakte van 36 naar 1 procent.

Het sterkste model viel het hardst. Opus 4.8 haalde in de schone omgeving in 93 procent van de runs adminrechten, en faalde daarna elke keer zodra er een context bomb lag.

Aandeel runs waarin de AI-agent volledige adminrechten haalde, zonder en met een context bomb, in procenten (bron: Tracebit)

Hoe een context bomb werkt

De truc is simpel en oncomfortabel. De string bevat een opdracht die het model volgens zijn eigen veiligheidsregels moet weigeren, bijvoorbeeld stappen om biologische wapens te maken, of bij Chinese modellen een verwijzing naar de Tank Man van het Tiananmen-plein in 1989. Zodra het model die tekst tegenkomt, springt zijn weigermechanisme aan en stopt het met zijn lopende taak. Het komt er volgens Tracebit-oprichter Andy Smith op neer dat de string een weigering in de context uitlokt, met een scherp effect waar de agent moeilijk van herstelt: eenmaal binnen blijft hij weigeren.

Wat werkt, verschilt per model: biologisch gevoelige inhoud legde de westerse modellen stil, politiek gevoelige inhoud de Chinese. Dat is bruikbaar, want een verdediger kan het effect richten op de modellen die hij wil raken en zijn eigen legitieme AI-gebruik ontzien door de string te kiezen die alleen andere providers treft. Beveiligingsonderzoeker Earlence Fernandes van de University of California, San Diego noemt het het eerste bekende geval waarin verdedigers deze techniek omdraaien; aanvallers gebruikten prompt-injectie eerder al om AI-gestuurde malware-analyse uit te schakelen.

De grenzen

Het is nadrukkelijk geen wondermiddel. Tracebit noemt het initieel onderzoek en waarschuwt dat de techniek niet alles tegenhoudt: afhankelijk van waar een agent zijn aandacht eerst legt, kan hij nog kleinere acties afmaken voordat hij op de bom stuit. De methode berust bovendien op de weigermechanismen van de modellen zelf, dus aanvallers die hun eigen 'ongecensureerde' modellen of andere harnassen inzetten, kunnen eromheen werken. De onderliggende oorzaak van prompt-injectie is nog altijd niet opgelost.

Toch is de verschuiving betekenisvol. Voor het eerst wordt een hardnekkig, onoplosbaar probleem, het feit dat taalmodellen instructies uit hun data blindelings volgen, tegen de aanvaller gebruikt in plaats van tegen de verdediger. Tracebit heeft de context bombs inmiddels als optie in zijn product gebouwd en de teststrings op GitHub gezet. Wie een cloudomgeving beheert en een aanval door autonome agents als reeel risico ziet, krijgt er een goedkope laag bij die niet detecteert maar frustreert: precies de minuten winst die het verschil maken tussen een alarm lezen en een inbraak stoppen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI-agents veilig inzetten

Wil je AI-agents in je eigen omgeving draaien zonder dat ze een aanvalsoppervlak worden? Ik denk mee over het ontwerp, bouw de agents en zet ze veilig en waar het kan self-hosted neer, van eerste idee tot werkende opzet.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Welke motor draait onder je AI-assistent? Waarom de engine je rekening en je afhankelijkheid bepaalt, niet het merk
Inzicht
7 min

27 jun 17:00

Welke motor draait onder je AI-assistent? Waarom de engine je rekening en je afhankelijkheid bepaalt, niet het merk

Op de doos staat Copilot of Claude, maar je rekening en je afhankelijkheid worden een laag dieper bepaald: door de motor eronder. Waarom die engine de echte keuze is, en hoe je hem vergelijkt.

Bijgetraind open model klopt GPT en Claude op financiele taken, tegen een fractie van de kosten
Nieuws
5 min

4 jul 04:25

Bijgetraind open model klopt GPT en Claude op financiele taken, tegen een fractie van de kosten

Bridgewater en Thinking Machines Lab lieten een klein, zelf bijgetraind open model de duurste AI-modellen verslaan op echte financiele beoordelingstaken. Wat dat betekent voor je modelkeuze bij gevoelig werk.

Claude Sonnet 5: Anthropics meest agentic model tot nu toe, voor mid-tier prijzen
Nieuws
5 min

30 jun 21:32

Claude Sonnet 5: Anthropics meest agentic model tot nu toe, voor mid-tier prijzen

Anthropic lanceert Claude Sonnet 5: het meest autonome Sonnet-model tot nu toe, met prestaties die Opus 4.8 benaderen tegen een veel lagere prijs. Voor Nederlandse bedrijven verschuift dat de afweging tussen AI-leveranciers.

AI-modellen gaan failliet als ze zelf een bedrijf runnen
Nieuws
5 min

28 jun 18:38

AI-modellen gaan failliet als ze zelf een bedrijf runnen

Princeton liet veertien AI-modellen vijfhonderd dagen een fictief softwarebedrijf runnen. De meeste gingen failliet, en een simpel regelsysteem zonder AI versloeg bijna alles. Wat dat betekent voor wie strategie aan AI wil overlaten.

China evenaart Anthropic in cybersecurity: Z.ai vindt kwetsbaarheden net zo goed als Mythos
Nieuws
4 min

28 jun 14:37

China evenaart Anthropic in cybersecurity: Z.ai vindt kwetsbaarheden net zo goed als Mythos

Volgens het Wall Street Journal evenaart een nieuw Chinees model van Z.ai de Amerikaanse top in het vinden van beveiligingslekken. Dat zet vraagtekens bij het nut van de exportrem op AI.

De vlucht weg van Nvidia is begonnen, en de echte muur is CUDA
Signaal
8 min

12 jul 19:02

De vlucht weg van Nvidia is begonnen, en de echte muur is CUDA

Amazon, Meta, Anthropic en zelfs een Chinees maaltijdbedrijf bewegen in dertien dagen tegelijk weg van Nvidia. Los is het bedrijfsnieuws, samen een beweging, en de echte muur blijkt niet de chip maar de software eronder.