Modelbeveiliging is het verkeerde frame – het echte risico is workflowbeveiliging

Cyberbeveiliging
Modelbeveiliging is het verkeerde frame – het echte risico is workflowbeveiliging

Terwijl AI-copiloten en -assistenten ingebed raken in het dagelijkse werk, zijn beveiligingsteams nog steeds gefocust op het beschermen van de modellen zelf. Maar recente incidenten suggereren dat het grotere risico elders ligt: ​​in de workflows rondom deze modellen.

Twee Chrome-extensies die zich voordeden als AI-helpers werden onlangs betrapt op het stelen van ChatGPT- en DeepSeek-chatgegevens van meer dan 900.000 gebruikers. Daarnaast hebben onderzoekers gedemonstreerd hoe snelle injecties die verborgen zijn in codeopslagplaatsen de AI-coderingsassistent van IBM kunnen misleiden om malware uit te voeren op de machine van een ontwikkelaar.

Geen van beide aanvallen brak de AI-algoritmen zelf.

Ze maakten gebruik van de context waarin de AI opereert. Dat is het patroon dat de moeite waard is om op te letten. Wanneer AI-systemen zijn ingebed in echte bedrijfsprocessen, het samenvatten van documenten, het opstellen van e-mails en het ophalen van gegevens uit interne tools, is het beveiligen van het model alleen niet voldoende. De workflow zelf wordt het doelwit.

AI-modellen worden workflow-engines

Om te begrijpen waarom dit belangrijk is, moeten we bedenken hoe AI tegenwoordig daadwerkelijk wordt gebruikt:

Bedrijven vertrouwen er nu op om apps te verbinden en taken te automatiseren die vroeger met de hand werden gedaan. Een AI-schrijfassistent kan een vertrouwelijk document uit SharePoint halen en samenvatten in een e-mailconcept. Een verkoopchatbot kan naar interne CRM-records verwijzen om een ​​klantvraag te beantwoorden. Elk van deze scenario’s vervaagt de grenzen tussen toepassingen, waardoor er in een handomdraai nieuwe integratietrajecten ontstaan.

Wat dit riskant maakt, is de manier waarop AI-agenten opereren. Ze vertrouwen op probabilistische besluitvorming in plaats van op hardgecodeerde regels, en genereren output op basis van patronen en context. Een zorgvuldig geschreven input kan een AI ertoe aanzetten iets te doen wat de ontwerpers nooit hebben bedoeld, en de AI zal hieraan gehoor geven omdat het geen eigen concept van vertrouwensgrenzen heeft.

Dit betekent dat het aanvalsoppervlak elk invoer-, uitvoer- en integratiepunt omvat dat het model aanraakt.

Het hacken van de code van het model wordt overbodig wanneer een tegenstander eenvoudigweg de context die het model ziet of de kanalen die het gebruikt kan manipuleren. De eerder beschreven incidenten illustreren dit: snelle injecties die verborgen zijn in repositories kapen AI-gedrag tijdens routinetaken, terwijl kwaadaardige extensies gegevens uit AI-gesprekken overhevelen zonder ooit het model aan te raken.

Waarom traditionele beveiligingsmaatregelen tekortschieten

Deze workflowbedreigingen leggen een blinde vlek in de traditionele beveiliging bloot. De meeste oude verdedigingsmechanismen zijn gebouwd voor deterministische software, stabiele gebruikersrollen en duidelijke grenzen. AI-gestuurde workflows doorbreken alle drie de aannames.

  • De meeste algemene apps maken onderscheid tussen vertrouwde code en niet-vertrouwde invoer. AI-modellen doen dat niet. Voor hen is alles slechts tekst, dus een kwaadaardige instructie die in een pdf is verborgen, ziet er niet anders uit dan een legitieme opdracht. Traditionele invoervalidatie helpt niet omdat de payload geen kwaadaardige code is. Het is gewoon natuurlijke taal.
  • Traditionele monitoring spoort duidelijke afwijkingen op, zoals massale downloads of verdachte logins. Maar een AI die duizend records leest als onderdeel van een routinequery lijkt op normaal service-to-service-verkeer. Als die gegevens worden samengevat en naar een aanvaller worden gestuurd, is er technisch gezien geen regel overtreden.
  • Het meeste algemene beveiligingsbeleid specificeert wat is toegestaan ​​of geblokkeerd: geef deze gebruiker geen toegang tot dat bestand, blokkeer verkeer naar deze server. Maar AI-gedrag is afhankelijk van de context. Hoe schrijf je een regel die zegt: ‘Onthul nooit klantgegevens in de uitvoer’?
  • Beveiligingsprogramma’s zijn afhankelijk van periodieke beoordelingen en vaste configuraties, zoals driemaandelijkse audits of firewallregels. AI-workflows blijven niet statisch. Een integratie kan nieuwe mogelijkheden krijgen na een update of verbinding maken met een nieuwe gegevensbron. Tegen de tijd dat er een driemaandelijkse evaluatie plaatsvindt, is er mogelijk al een token gelekt.

Beveiliging van AI-gestuurde workflows

Een betere benadering van dit alles zou dus zijn om de hele workflow te behandelen als datgene dat u beschermt, en niet alleen als het model.

  • Begin met te begrijpen waar AI daadwerkelijk wordt gebruikt, van officiële tools zoals Microsoft 365 Copilot tot browserextensies die werknemers mogelijk zelf hebben geïnstalleerd. Weet tot welke gegevens elk systeem toegang heeft en welke acties het kan uitvoeren. Veel organisaties zijn verrast als ze tientallen schaduw-AI-diensten in het hele bedrijf tegenkomen.
  • Als een AI-assistent alleen bedoeld is voor interne samenvattingen, beperk hem dan in het verzenden van externe e-mails. Scan de uitvoer op gevoelige gegevens voordat deze uw omgeving verlaat. Deze vangrails zouden buiten het model zelf moeten leven, in middleware die acties controleert voordat ze uitgaan.
  • Behandel AI-agenten zoals elke andere gebruiker of dienst. Als een AI slechts leestoegang tot één systeem nodig heeft, geef hem dan geen algemene toegang tot alles. Reik OAuth-tokens op de minimaal vereiste machtigingen en controleer op afwijkingen, zoals een AI die plotseling toegang krijgt tot gegevens die nog nooit eerder zijn aangeraakt.
  • Ten slotte is het ook nuttig om gebruikers te informeren over de risico’s van niet-gecontroleerde browserextensies of het kopiëren van aanwijzingen uit onbekende bronnen. Onderzoek plug-ins van derden voordat u ze implementeert, en behandel elke tool die AI-invoer of -uitvoer raakt als onderdeel van de beveiligingsperimeter.

Hoe platforms zoals Reco kunnen helpen

In de praktijk is het niet schaalbaar als je dit allemaal handmatig doet. Daarom ontstaat er een nieuwe categorie tools: dynamische SaaS-beveiligingsplatforms. Deze platforms fungeren als een realtime vangraillaag bovenop door AI aangedreven workflows, leren hoe normaal gedrag eruit ziet en signaleren afwijkingen wanneer deze zich voordoen.

Reco is een toonaangevend voorbeeld.

Zoals hierboven weergegeven, geeft het platform beveiligingsteams inzicht in het AI-gebruik in de hele organisatie, waarbij duidelijk wordt welke generatieve AI-applicaties in gebruik zijn en hoe ze met elkaar verbonden zijn. Van daaruit kunt u vangrails op workflowniveau afdwingen, risicovol gedrag in realtime onderkennen en de controle behouden zonder het bedrijf te vertragen.

Vraag een demo aan: ga aan de slag met Reco.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Dreame Leaptic Cube brengt 8K-video naar een compacte actiecamera

Niets wijst erop dat hogere componentkosten de smartphoneprijzen in 2026 zullen doen stijgen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]