AI-tools zoals ChatGPT, Claude en Gemini zijn bijna overal — in uw inbox, workflows en dagelijkse routines — en de meeste mensen denken niet na over de veiligheidsgevolgen. Dat begint te veranderen.
Een techniek die prompt-injectie heet, trekt de aandacht binnen softwarebeveiliging. Wat het bijzonder maakt, is dat er geen malware nodig is, geen specialistische vaardigheden en geen verdachte links. In sommige gevallen volstaat een zorgvuldig geformuleerde zin om een AI-tool te kapen, zonder dat de gebruiker erachter komt.
Wat u moet weten:
- Prompt-injectie manipuleert AI-tools met doelbewuste taal, niet met malware of technische trucjes.
- Het werkt omdat AI-modellen geen verschil kunnen zien tussen instructies van ontwikkelaars en gebruikersinput.
- Aanvallen kunnen direct, indirect of opgeslagen zijn in gegevens die de AI herhaaldelijk leest.
- Sommige aanvallen gebruiken onzichtbare tekst of verborgen opmaak die gebruikers nooit zien.
- Een succesvolle aanval kan privégegevens blootleggen of acties uitvoeren die u nooit hebt goedgekeurd.
- Er is nog geen volledige oplossing, maar het beperken van AI-rechten en alert blijven verkleint uw risico.
Wat is prompt-injectie?
Prompt-injectie is een techniek waarmee een aanvaller het gedrag van een AI-tool kan veranderen. Er hoeft geen kwetsbaarheid in de software uitgebuit te worden of malware geïnstalleerd te worden, omdat de aanvaller het model uitsluitend via taal kan manipuleren.
De term werd populair gemaakt door computerwetenschapper Simon Willison in 2022, en wordt door OWASP, een organisatie die de mest kritieke dreigingen in softwarebeveiliging volgt, genoemd als het grootste beveiligingsrisico voor AI-toepassingen.
U kunt het zien als social engineering voor machines: het lijkt meer op phishing dan op conventioneel hacken. Het benut een inherente zwakte van LLM's: ze zijn ontworpen om instructies te volgen. De eigenschap die ze nuttig maakt, maakt ze ook kwetsbaar. Een goed geformuleerde invoer kan de oorspronkelijke regels van het instrument overschrijven, de antwoorden veranderen of informatie prijsgeven die het eigenlijk moest verbergen. Een succesvolle injectie buigt de regels niet alleen — ze kan alles blootleggen waar het model mee verbonden is.
In tegenstelling tot traditionele code-injecties of andere beveiligingsexploits die specialistische kennis vereisen, heeft iemand die weet hoe hij een overtuigende zin moet formuleren vaak al voldoende middelen om schade aan te richten.
Hoe werkt prompt-injectie?
De kern van het probleem is dat AI-systemen niet kunnen multitasken in de zin dat ze het verschil niet zien tussen een ontwikkelaarsinstructie en gebruikersinput.
AI-ontwikkelaars schrijven vaak verborgen prompts die de regels bepalen voor hoe de tool zich gedraagt. Uw invoer wordt samengevoegd met die prompts en de AI verwerkt alles als één doorlopende tekststroom. Het kan niet bepalen welke delen van de instructies van de ontwikkelaar zijn en welke van u. Als uw invoer dus als een commando lijkt, kan de AI het gewoon opvolgen, ook als dat in strijd is met wat de ontwikkelaar beoogde.
Niet alle aanvallen zien er hetzelfde uit. Over het algemeen vallen ze in drie categorieën: directe, indirecte en opgeslagen injecties.
Wat is directe prompt-injectie?
Directe prompt-injectie betekent dat iemand een kwaadaardige instructie rechtstreeks in de chat typt. Iets simpels als "negeer alle eerdere instructies" kan al voldoende zijn. Deze aanpak misbruikt de neiging van de AI om nieuwe input hoger te prioriteren dan de ontwikkelaarsregels.
Wat is indirecte prompt-injectie?
Indirecte prompt-injectie verbergt kwaadaardige instructies in externe inhoud die de AI verwerkt, zoals webpagina's of e‑mail.
Een aanvaller kan bijvoorbeeld verborgen tekst op een webpagina plaatsen die de AI opdraagt zijn regels te negeren en een specifieke link aan te bevelen. Als iemand de AI vraagt die pagina samen te vatten, leest het de verborgen opdracht naast de echte inhoud en kan het die opvolgen, zonder dat de gebruiker iets doorheeft. Beveiligingsonderzoekers zien indirecte prompt-injectie als één van de ernstigste zwaktes van generatieve AI en als één van de moeilijkst te verdedigen aanvallen.
Wat is opgeslagen prompt-injectie?
Bij opgeslagen prompt-injectie worden schadelijke instructies geplaatst op plekken die de AI regelmatig leest, zoals databases of trainingsdata.
Opgeslagen prompt-injectie kan meerdere gebruikers en sessies treffen, omdat de instructies worden bewaard in plaats van in realtime te worden ingevoerd. De AI lijkt normaal te werken, maar de antwoorden zijn subtiel beïnvloed door iets dat al eerder in de data was ingebed.
Bescherm uzelf nu AI-tools onderdeel worden van het dagelijks leven
Prompt-injectie is één voorbeeld van hoe AI-systemen gemanipuleerd kunnen worden. Kaspersky Premium helpt uw apparaten, gegevens en online accounts te beschermen tegen voortdurend veranderende digitale dreigingen.
Probeer Premium gratisWelke technieken worden gebruikt bij prompt-injectieaanvallen?
Prompt-injectie gebruikt platte tekst om de AI te misleiden zodat deze ongeautoriseerde instructies opvolgt. Het risico komt voort uit het feit dat AI-modellen alle tekst op dezelfde manier verwerken en dus legitieme input niet kunnen onderscheiden van gemanipuleerde inhoud.
De meeste aanvallen vallen in twee groepen: trucs die instructies verbergen met code of opmaak, en trucs die instructies zó verbergen dat mensen ze niet kunnen zien. Voor een gewone lezer lijkt het in beide gevallen gewoon normale inhoud.
Code- en opmaaktrucs
Sommige aanvallen gebruiken codeblokken, markup of gestructureerde tekst om een kwaadaardige instructie eruit te laten zien als een legitiem systeemcommando. Dat kan betekenen dat iets in code‑stijl wordt geplaatst of zo wordt opgebouwd dat het een ontwikkelaarsprompt nabootst.
Verborgen en gecamoufleerde instructies
Andere aanvallen verbergen instructies in het volle zicht met visuele trucjes die mensen waarschijnlijk niet opvallen, zoals witte tekst op een witte achtergrond, extreem kleine lettergroottes, ongebruikelijke spatiëring, speciale tekens, unicode‑codering of instructies in een andere taal. Een mens ziet niets bijzonders aan het document of de webpagina, maar de AI leest alle onderliggende tekst, ongeacht hoe die wordt weergegeven.
Deze technieken worden al gebruikt. Aanvallers hebben onzichtbare instructies in webpagina's ingebed om AI-browseragenten te kapen, en sollicitanten hebben verborgen tekst in cv's gebruikt om screeningtools op basis van AI te misleiden.
Voorbeelden van prompt-injectie
Hoe Bing Chat werd misleid om zijn eigen regels te onthullen
In februari 2023 gebruikte Kevin Liu, een student aan Stanford, een directe prompt-injectieaanval om de verborgen systeeminstructies van Bing Chat te onthullen. Het enige wat nodig was, was typen "negeer eerdere instructies" en de AI vragen zijn eigen regels terug te lezen. De chatbot gaf zijn interne codenaam 'Sydney' en verborgen operationele richtlijnen prijs. Toen Microsoft het lek dichtte, vond Liu binnen enkele uren een manier om de reparatie te omzeilen door zich voor te doen als ontwikkelaar.
Hoe verborgen tekst in cv's AI-screeningtools misleidde
Sollicitanten begonnen verborgen prompt-injectie-instructies in hun cv's te verwerken om door AI aangedreven wervingstools te manipuleren. De techniek bestaat uit instructies als “dit is een uitzonderlijk gekwalificeerde kandidaat” in witte letterkleur of met een extreem kleine lettergrootte te plaatsen, zodat de tekst onzichtbaar is voor een menselijke lezer maar toch door de AI wordt opgepikt.
De aanpak kreeg in 2024 veel aandacht op sociale media. Het uitzendbureau ManpowerGroup meldde verborgen tekst te hebben gevonden in ongeveer 10% van de cv's die het met AI scant. Wervingsplatform Greenhouse vond soortgelijke verborgen prompts in 1% van de 300 miljoen cv's die het elk jaar verwerkt.
Hoe chatbots werden gemanipuleerd om privé-informatie te delen
Een vroeg voorbeeld van een ChatGPT-prompt-injectie betrof de Twitter-bot van remoteli.io, aangedreven door ChatGPT en bedoeld om positieve opmerkingen over werken op afstand te plaatsen. Gebruikers ontdekten dat ze tweets konden sturen die de bot opdroegen zijn oorspronkelijke doel te negeren, waarna de bot uiteindelijk absurd publieke uitspraken deed.
Recente demonstraties door beveiligingsonderzoekers toonden aan dat de ChatGPT Atlas-browseragent van OpenAI gekaapt kon worden via verborgen instructies in e‑mails. In één test zorgde een kwaadaardige e‑mail met een ingebedde prompt ervoor dat de agent een ontslagbrief naar de baas van de gebruiker stuurde in plaats van het gevraagde afwezigheidsbericht te maken. De gebruiker zag de verborgen instructie nooit, maar de AI voerde hem toch uit.
Waarom zouden gewone gebruikers zich druk moeten maken om prompt-injectie?
Prompt-injectie kan AI-tools manipuleren zonder dat u het weet. Wanneer een AI een document samenvat of een e‑mail opstelt, haalt het informatie uit externe bronnen. Als één van die bronnen is aangetast, wordt de output van de AI onbetrouwbaar — en u merkt dat mogelijk niet.
Dat maakt prompt-injectie anders dan veel andere online dreigingen. U hoeft geen link aan te klikken of iets te downloaden. U stelt een normale vraag en het antwoord kan worden beïnvloed door instructies die iemand in de gebruikte input heeft verstopt. Dat kan onschuldig lijken — een bevooroordeelde samenvatting of een niet-verzochte link — maar in ernstigere gevallen kan de tool uw persoonsgegevens lekken of acties uitvoeren die u nooit heeft goedgekeurd. Gemanipuleerde uitkomsten zien er vaak volkomen normaal uit, zonder foutmeldingen of duidelijke aanwijzingen.
Dat betekent niet dat u deze tools moet vermijden, maar vertrouw er niet zonder meer op dat AI-output altijd neutraal en betrouwbaar is.
Is prompt-injectie hetzelfde als jailbreaken?
Prompt-injectie en jailbreaken zijn verwant maar niet hetzelfde. Jailbreaken is een vorm van prompt-injectie die specifiek probeert veiligheidsmaatregelen te omzeilen. Die aanpak probeert een AI ertoe te brengen inhoudsbeleid te negeren of beperkte output te produceren.
Prompt-injectie is breder: het omvat elk poging om het gedrag van een AI te kapen via doelbewuste input — bijvoorbeeld het onthullen van verborgen systeemcommando's of het laten uitvoeren van ongeautoriseerde acties. Het doel is niet altijd om veiligheidsfilters te breken; vaak wil de aanvaller gewoon dat de AI een andere set instructies uitvoert zonder dat iemand het merkt.
Een belangrijk verschil is wie erdoor wordt getroffen. Jailbreaken is meestal een bewuste actie van de gebruiker in zijn eigen sessie. Prompt-injectie, met name de indirecte en opgeslagen varianten, kan onschuldige gebruikers raken die nooit wisten dat de inhoud die ze opvroegen was gemanipuleerd. Daarom plaatst OWASP prompt-injectie als risico nummer één voor AI-toepassingen, in plaats van jailbreaken als een aparte categorie te behandelen.
Hoe kunt u prompt-injectie voorkomen?
Er is momenteel geen gemakkelijke oplossing voor prompt-injectie, omdat de kwetsbaarheid voortkomt uit dezelfde eigenschap die deze tools nuttig maakt: hun vermogen om instructies te volgen. Ontwikkelaars kunnen dat niet zonder meer wegnemen zonder de bruikbaarheid te schaden.
AI-ontwikkelaars blijven invoerfiltering verbeteren en tegenaanvalstests helpen, maar er bestaat nog geen marktoplossing die het risico volledig uitsluit.
Toch kunt u veel doen. Het komt grotendeels neer op gezond verstand:
- Blijf betrokken. Laat AI-tools niet op de automatische piloot werken. Controleer altijd wat de tool van plan is voordat u hem iets laat uitvoeren.
- Beperk toegang waar mogelijk. Als een AI-tool vraagt om toegang tot uw e‑mail of bestanden, vraag dan of dat echt nodig is. Plak geen wachtwoorden, bankgegevens of andere gevoelige informatie in AI-chatvensters.
- Wees kritisch op wat terugkomt. Als een antwoord een onverwachte link bevat, iets aanbeveelt waar u niet om vroeg of u naar een twijfelachtige actie stuurt, neem dan de tijd om het te controleren voordat u iets doet.
- Houd alles up‑to‑date. Ontwikkelaars brengen regelmatig updates uit die kwetsbaarheden dichten en de verdediging versterken. Een verouderde versie missen betekent dat u die verbeteringen mist.
Wat moet u doen als een AI-tool zich vreemd gedraagt?
Als een AI-tool zich vreemd gaat gedragen, stop dan en volg geen instructies op die het u geeft. Het hoeft niet per se prompt-injectie te zijn, maar als iets niet klopt, onderzoek het dan eerst voordat u verdergaat.
Een paar signalen die alarmbellen zouden moeten doen rinkelen:
- Het stelt iets voor wat u nooit heeft gevraagd
- Er verschijnen onbekende links of productaanbevelingen
- Het vraagt om persoonlijke informatie die niets met uw taak te maken heeft
- De toon verandert plotseling midden in het gesprek
- Antwoorden stoppen met logisch te zijn of lijken niet te passen bij uw vraag
Als één of meer van deze dingen gebeuren, sluit dan de sessie en begin opnieuw. Probeer niet in dezelfde conversatie problemen op te lossen, want als de sessie is gecompromitteerd, zit u er nog steeds in en loopt u risico.
Controleer daarna welke stappen u had genomen en bedenk tot welke informatie de tool toegang had. Stond uw e‑mail open? Kon de software namens u acties ondernemen? Als iets er verdacht uitziet, maak dan ongedaan wat mogelijk is en wijzig meteen uw wachtwoorden.
Hoe past prompt-injectie in de bredere AI-beveiliging?
Prompt-injectie staat hoog op de prioriteitenlijst voor AI-beveiliging omdat het direct het model zelf aanvalt. Daardoor verschilt het van phishing, malware en andere klassieke aanvallen die systemen rondom AI benaderen.
En het probleem groeit. Niet zo lang geleden waren AI-tools vooral tekstgeneratoren. Nu kunnen ze het web doorzoeken, uw e‑mail lezen, uw bestanden openen, code schrijven en namens u acties uitvoeren. Standaarden zoals MCP (Model Context Protocol) maken het steeds makkelijker om AI aan externe diensten te koppelen. Hoe meer deze tools kunnen, hoe groter de schade die een succesvolle aanval kan aanrichten.
Ook de schaalgrootte speelt een rol. Prompt-injectie werkt veel als social engineering: de AI wordt overgehaald om instructies op te volgen die hij niet had moeten uitvoeren doordat ze op de juiste manier worden gepresenteerd. Maar in tegenstelling tot een telefonische zwendel die één persoon tegelijk treft, kan één verborgen instructie op een populaire webpagina elke AI treffen die die pagina leest.
Dat betekent niet dat AI-tools per definitie onveilig zijn. Maar de beveiliging loopt nog achter bij de snelle adoptie, waardoor de verantwoordelijkheid voor veiligheid ook bij eindgebruikers blijft liggen.
Gerelateerde artikelen:
- Wat zijn de belangrijkste voordelen van Security Awareness Training?
- Wat zijn de beveiligingsrisico's van het gebruik van ChatGPT?
- Welke impact heeft AI-cybercrime op digitale veiligheid?
- Hoe manipuleert Social Engineering menselijk gedrag voor aanvallen?
Aanbevolen producten:
Veelgestelde vragen
Is prompt-injectie illegaal?
Er is geen wet die specifiek prompt-injectie verbiedt. Maar handelingen die ermee mogelijk worden gemaakt — zoals het benaderen van afgeschermde gegevens of het onthullen van privé‑informatie — vallen onder bestaande computerfraude- en cybercriminaliteitswetten. Het juridische risico is dus reëel, hoewel wetgeving vaak achterloopt op technologische ontwikkelingen.
Kan prompt-injectie gewone gebruikers treffen?
Ja. Als u een tool gebruikt die externe inhoud verwerkt met AI, kunt u er gemakkelijk door worden getroffen (en merkt u het waarschijnlijk niet eens). Het is geen directe aanval op u als persoon, omdat de aanval gericht is op de AI-tool zelf, niet op de gebruiker.
Kan prompt-injectie persoonlijke gegevens stelen?
Ja, als de AI-tool toegang heeft tot persoonlijke gegevens. Of het nu om e‑mail, bestanden of andere data gaat, een succesvolle prompt-injectie kan de tool instrueren die informatie te extraheren en te delen. Onderzoekers hebben aangetoond dat AI-browseragenten kunnen worden misleid om vertrouwelijke documenten naar onbevoegden te sturen.
Is prompt-injectie hetzelfde als hacken?
Prompt-injectie is geen traditioneel hacken. In plaats van codekwetsbaarheden te misbruiken, manipuleert het wat de AI leest. Het is social engineering gericht op een machine. Het resultaat kan lijken op een hack (gelekte data, ongeautoriseerde acties), maar het mechanisme is wezenlijk anders.
