4min Security

AI-agents trappen nog vaak in verborgen instructies

Duurder is niet altijd veiliger

AI-agents trappen nog vaak in verborgen instructies

Veel organisaties denken dat de duurste AI-systemen automatisch ook de veiligste keuze zijn. Een groot onderzoek van beveiligingsplatform Zscaler laat echter zien dat dit niet klopt. Uit een test met 26 grote modellen bleek dat goedkopere en compactere varianten soms beter beschermd zijn tegen manipulatie dan dure systemen.

Bovendien laten de resultaten zien hoe eenvoudig digitale assistenten worden misleid. Verborgen instructies op websites laten AI-agents in scams trappen waar een mens direct doorheen zou kijken. Dit is geen abstracte cybersecurity-kwestie, maar een concreet risico voor de manier waarop bedrijven de komende jaren slimme AI-assistenten gaan inzetten.

Om de juiste keuzes te maken, moeten IT-beslissers begrijpen hoe deze nieuwe dreiging werkt. Het draait om de opkomst van autonome AI-agents. Dat zijn de inmiddels bekende slimme software-assistenten die zelfstandig taken uitvoeren. Ze lezen e-mails, analyseren documenten of zoeken informatie op websites.

Juist in dat zelfstandige gedrag schuilt een groot gevaar. Martin Kraemer, adviseur bij KnowBe4, noemde dat eerder al de digitale tegenhanger van social engineering. Criminelen verstoppen kwaadaardige opdrachten in de tekst van een website, e-mail of pdf. Zodra de AI-assistent die pagina leest, voert de software de verborgen opdracht blindelings uit. De gebruiker merkt daar niets van. Omdat we AI steeds vaker gebruiken om informatie op internet te verwerken, verschuift het risico. Normale teksten op internet veranderen zo in een digitaal wapen.

Waarom ‘slimme’ systemen juist sneller fouten maken

De onderzoekers van Zscaler ThreatLabz keken naar deze verborgen opdrachten bij twee echte internetcampagnes. Het ging om een betaalvordering en een nagemaakte cryptowebsite. De aanvallers gebruikten trucs in de code van de website om misleidende instructies te verbergen voor het menselijk oog. Een mens zou de fraude direct doorzien, maar AI-assistenten trapten er massaal in.

In de test bleken bekende, grote systemen zoals Gemini-2.5-pro en Llama3 kwetsbaar te zijn. Daartegenover stonden compactere modellen die wel veilig bleken, waaronder Gemini-3.1-flash-lite. Dat goedkopere model was dus beter bestand tegen de trucs dan zijn duurdere en grotere broer.

Dit legt een fundamenteel probleem bloot in hoe AI is gebouwd. Een taalmodel kan de oorspronkelijke opdracht van de gebruiker en de nieuwe informatie van een website niet goed uit elkaar houden. Zodra de AI de tekst leest, raakt de software in de war door de verborgen instructies. Grote, geavanceerde modellen zijn juist getraind om heel flexibel met teksten om te gaan. Daardoor zijn ze paradoxaal genoeg sneller vatbaar voor misleiding.

Aanvallen stijgen explosief

De urgentie voor security-managers en CIO’s neemt snel toe. Volgens het OWASP-rapport over AI-beveiliging is het manipuleren van AI via tekst de snelst groeiende vorm van cybercriminaliteit. Het aantal incidenten steeg met maar liefst 340 procent op jaarbasis. Google zag begin 2026 ook een flinke stijging van het aantal verborgen opdrachten op het open web. De aanvallen zijn bovendien effectief. Uit tests blijkt dat digitale aanvallers in 42 tot 68 procent van de gevallen succesvol zijn. Omdat techbedrijven nog geen ingebouwde oplossing hebben, moeten organisaties zelf actie ondernemen.

Wat kun en moet je doen als bedrijf?

Aangezien een kant-en-klare technische oplossing ontbreekt, moeten bedrijven zelf barrières opwerpen. De belangrijkste stap is het inperken van de vrijheid van de AI. Geef een AI-assistent nooit de volledige controle over kritieke bedrijfsprocessen. Laat acties zoals betalingen, het versturen van gevoelige data of het publiceren van content altijd handmatig goedkeuren door een medewerker.

Kijk daarnaast bij de selectie van AI-systemen verder dan de prijs of de populariteit. Soms is een compacter en goedkoper model simpelweg de veiligere keuze. Tot slot helpt het om een extra beveiligingslaag te gebruiken. Dat soort software filtert internetdata en haalt kwaadaardige opdrachten weg voordat ze de AI überhaupt bereiken.

Lees ook: Prompt injection blijft permanent risico voor AI-applicaties