Embedding-driftaanvallen

Gevorderd17 min lezenBijgewerkt op 2026-03-20

Geleidelijke embedding-drift veroorzaken in vector stores door herhaalde kleine manipulaties.

Overzicht

Geleidelijke embedding-drift veroorzaken in vector stores door herhaalde kleine manipulaties.

Dit onderwerp vormt een kritiek gebied binnen AI-veiligheid dat het onderwerp is geweest van uitgebreid onderzoek en misbruik in de praktijk. Inzicht in de concepten, technieken en verdedigingsmaatregelen die hier behandeld worden, is essentieel voor iedereen die in AI-veiligheid werkt, of dat nu in een offensieve of defensieve rol is.

Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models" biedt de fundamentele context voor de kwetsbaarheidsklasse die in dit artikel wordt verkend.

Kernbegrippen

Grondbeginselen

De beveiligingsimplicaties van dit onderwerp komen voort uit fundamentele eigenschappen van de manier waarop moderne taalmodellen worden ontworpen, getraind en uitgerold. Dit zijn geen op zichzelf staande implementatiefouten, maar systemische kenmerken die alle transformer-gebaseerde taalmodellen in meer of mindere mate raken.

Het begrijpen van deze fundamentele eigenschap is de sleutel tot begrijpen waarom de in dit artikel beschreven technieken werken en waarom ze effectief blijven ondanks doorlopende verbeteringen in de veiligheidstraining van modellen. Veiligheidstraining voegt een gedragslaag toe die het minder waarschijnlijk maakt dat modellen overduidelijk schadelijke instructies opvolgen, maar deze laag draait boven op dezelfde architectuur en kan worden beïnvloed door dezelfde attentiemechanismen die legitieme invoer verwerken.

Technische verdieping

Het mechanisme achter deze kwetsbaarheidsklasse opereert op het raakvlak tussen het vermogen om instructies op te volgen en bronauthenticatie. Tijdens de training leren modellen om instructies op te volgen die in specifieke formaten en contexten worden gepresenteerd. Een aanvaller die adversarial content kan aanbieden in een formaat dat overeenkomt met de aangeleerde patronen voor instructie-opvolging van het model, kan het gedrag van het model met hoge betrouwbaarheid beïnvloeden.

from dataclasses import dataclass
from typing import Optional
import json
 
@dataclass
class SecurityAnalysis:
    """Framework om de beveiligingseigenschappen van LLM-systemen te analyseren."""
    target: str
    model: str
    defenses: list
    vulnerabilities: list
 
    def assess_risk(self, attack_type: str) -> dict:
        """Beoordeel het risico voor een specifiek aanvalstype."""
        # Controleer of een verdediging dit aanvalstype afdekt
        relevant_defenses = [
            d for d in self.defenses
            if attack_type in d.get("covers", [])
        ]
 
        # Risicofactoren
        likelihood = "high" if not relevant_defenses else "medium"
        impact = self._assess_impact(attack_type)
 
        return {
            "attack_type": attack_type,
            "likelihood": likelihood,
            "impact": impact,
            "defenses": len(relevant_defenses),
            "risk_level": self._calculate_risk(likelihood, impact),
        }
 
    def _assess_impact(self, attack_type: str) -> str:
        """Beoordeel de potentiële impact van een aanvalstype."""
        high_impact = ["data_exfiltration", "unauthorized_actions", "privilege_escalation"]
        return "high" if attack_type in high_impact else "medium"
 
    def _calculate_risk(self, likelihood: str, impact: str) -> str:
        """Bereken het totale risico op basis van waarschijnlijkheid en impact."""
        risk_matrix = {
            ("high", "high"): "critical",
            ("high", "medium"): "high",
            ("medium", "high"): "high",
            ("medium", "medium"): "medium",
        }
        return risk_matrix.get((likelihood, impact), "medium")
 
    def generate_report(self) -> str:
        """Genereer een risicobeoordelingsrapport."""
        attacks = ["prompt_injection", "data_exfiltration", "unauthorized_actions"]
        assessments = [self.assess_risk(a) for a in attacks]
 
        report = f"# Risk Assessment: {self.target}\n\n"
        for assessment in assessments:
            report += (
                f"## {assessment['attack_type']}\n"
                f"- Risk: {assessment['risk_level']}\n"
                f"- Likelihood: {assessment['likelihood']}\n"
                f"- Impact: {assessment['impact']}\n"
                f"- Active defenses: {assessment['defenses']}\n\n"
            )
        return report

Analyse van het aanvalsoppervlak

Inzicht in het aanvalsoppervlak is essentieel voor zowel offensief als defensief werk:

Aanvalsvector	Toegangspunt	Typische impact	Verdedigingsaanpak
Directe injectie	Invoer van gebruikersbericht	Extractie van de system prompt, omzeilen van veiligheid	Invoerclassificatie
Indirecte injectie	Externe databronnen (web, documenten, tools)	Data-exfiltratie, ongeautoriseerde acties	Datasanering
Misbruik van function calling	Injectie van toolparameters	Ongeautoriseerde API-aanroepen, datatoegang	Tool-sandboxing
Geheugenmanipulatie	Gespreksgeschiedenis, persistent geheugen	Persistentie over sessies heen, valse context	Geheugenvalidatie
Contextmanipulatie	Beheer van het contextvenster	Negeren van instructieprioriteit	Contextisolatie

Praktische toepassing

Implementatieaanpak

Om deze concepten in de praktijk toe te passen is een systematische methodologie nodig:

class PracticalFramework:
    """Praktisch framework om de concepten uit dit artikel toe te passen."""
 
    def __init__(self, target_config: dict):
        self.config = target_config
        self.findings = []
        self.tested_vectors = set()
 
    def test_vector(self, vector: str, payload: str) -> dict:
        """Test een specifieke aanvalsvector tegen het target."""
        self.tested_vectors.add(vector)
 
        # Verstuur de payload
        response = self._send(payload)
 
        # Evalueer het resultaat
        finding = {
            "vector": vector,
            "payload_length": len(payload),
            "response_length": len(response),
            "success": self._evaluate(response),
            "defense_triggered": self._detect_defense(response),
        }
 
        if finding["success"]:
            self.findings.append(finding)
 
        return finding
 
    def coverage_report(self) -> dict:
        """Rapporteer over de testdekking."""
        all_vectors = {
            "direct_injection", "indirect_injection", "function_abuse",
            "memory_manipulation", "context_manipulation",
        }
        return {
            "tested": list(self.tested_vectors),
            "untested": list(all_vectors - self.tested_vectors),
            "coverage": f"{len(self.tested_vectors)/len(all_vectors)*100:.0f}%",
            "findings": len(self.findings),
        }
 
    def _send(self, payload: str) -> str:
        """Verstuur de payload naar het target (implementatie verschilt per target)."""
        pass
 
    def _evaluate(self, response: str) -> bool:
        """Evalueer of de aanval geslaagd was."""
        pass
 
    def _detect_defense(self, response: str) -> Optional[str]:
        """Detecteer welk verdedigingsmechanisme is geactiveerd."""
        pass

Aandachtspunten voor de verdediging

Inzicht in verdedigingsmaatregelen is even belangrijk:

Invoervalidatie: de eerste verdedigingslinie. Zet invoerclassifiers in die binnenkomende prompts beoordelen op adversarial patronen voordat ze het model bereiken. Moderne classifiers combineren keyword-matching, regexpatronen en ML-gebaseerde detectie voor een volledige dekking.
Uitvoerfiltering: het vangnet. Verwerk alle modeluitvoer achteraf om datalekken van gevoelige gegevens, fragmenten van de system prompt en andere beleidsovertredingen te detecteren en te verwijderen. Uitvoerfilters moeten losstaan van invoerfilters om defense-in-depth te bieden.
Gedragsmonitoring: de detectielaag. Bewaak interactiepatronen van het model op afwijkingen die op lopende aanvallen wijzen — ongebruikelijke verzoekpatronen, herhaalde weigeringen of reactiekenmerken die afwijken van het baselinegedrag.
Architectuurontwerp: het fundament. Ontwerp applicatiearchitecturen die zo min mogelijk vertrouwen in modeluitvoer stellen, least privilege afdwingen voor toolgebruik en duidelijke veiligheidsgrenzen tussen componenten bewaken.

Relevantie in de praktijk

Deze concepten zijn direct toepasbaar op AI-systemen in productie, in alle sectoren. De volgende factoren maken dit onderwerp bijzonder relevant:

Alomtegenwoordigheid: de kwetsbaarheidsklasse raakt alle grote modelaanbieders en deploymentconfiguraties
Impact: geslaagd misbruik kan leiden tot datablootstelling, ongeautoriseerde acties en compliance-overtredingen
Persistentie: de onderliggende architectuureigenschappen zorgen ervoor dat deze technieken relevant blijven naarmate modellen evolueren
Regelgeving: opkomende regelgeving (EU AI Act, NIST AI RMF) verplicht organisaties steeds vaker om deze risico's te beoordelen en te mitigeren

Actueel onderzoek

Lopend onderzoek op dit gebied omvat onder meer:

Formele robuustheidsgaranties: wiskundige kaders ontwikkelen om modelgedrag onder begrensde adversarial verstoring te bewijzen
Adversarial training op schaal: trainingsprocedures die modellen tijdens de veiligheidstraining blootstellen aan adversarial invoer om de robuustheid te verbeteren
Door interpreteerbaarheid gestuurde verdediging: mechanistische interpreteerbaarheid gebruiken om op neuronniveau te begrijpen waarom aanvallen slagen, wat gerichte verdedigingen mogelijk maakt
Gestandaardiseerde evaluatie: benchmarks zoals HarmBench en JailbreakBench die een systematische meting van de effectiviteit van aanvallen en verdedigingen mogelijk maken

Implementatieoverwegingen

Architectuurpatronen

Bij het bouwen van systemen die met LLM's communiceren, beïnvloeden verschillende architectuurpatronen de beveiligingshouding van de hele applicatie:

Gateway-patroon: een speciale API-gateway zit tussen gebruikers en de LLM en verzorgt authenticatie, rate limiting, invoervalidatie en uitvoerfiltering. Dit centraliseert de beveiligingscontroles, maar creëert een single point of failure.

from dataclasses import dataclass
from typing import Optional
import time
 
@dataclass
class SecurityGateway:
    """Gateway-patroon om toegang tot een LLM-applicatie te beveiligen."""
 
    input_classifier: object  # ML-gebaseerde invoerclassificatie
    output_filter: object     # Contentfilter voor de uitvoer
    rate_limiter: object      # Rate-limitingdienst
    audit_logger: object      # Logger voor het audittrail
 
    def process_request(self, user_id: str, message: str, session_id: str) -> dict:
        """Verwerk een verzoek via alle beveiligingslagen."""
        request_id = self._generate_request_id()
 
        # Laag 1: rate limiting
        if not self.rate_limiter.allow(user_id):
            self.audit_logger.log(request_id, "rate_limited", user_id)
            return {"error": "Rate limit exceeded", "retry_after": 60}
 
        # Laag 2: invoerclassificatie
        classification = self.input_classifier.classify(message)
        if classification.is_adversarial:
            self.audit_logger.log(
                request_id, "input_blocked",
                user_id, classification.category
            )
            return {"error": "Request could not be processed"}
 
        # Laag 3: LLM-verwerking
        response = self._call_llm(message, session_id)
 
        # Laag 4: uitvoerfiltering
        filtered = self.output_filter.filter(response)
        if filtered.was_modified:
            self.audit_logger.log(
                request_id, "output_filtered",
                user_id, filtered.reason
            )
 
        # Laag 5: auditlogging
        self.audit_logger.log(
            request_id, "completed",
            user_id, len(message), len(filtered.content)
        )
 
        return {"response": filtered.content}
 
    def _generate_request_id(self) -> str:
        import uuid
        return str(uuid.uuid4())
 
    def _call_llm(self, message: str, session_id: str) -> str:
        # Implementatie van de LLM-API-aanroep
        pass

Sidecar-patroon: beveiligingscomponenten draaien naast de LLM als onafhankelijke diensten, elk verantwoordelijk voor een specifiek beveiligingsaspect. Dit zorgt voor betere isolatie en onafhankelijke schaalbaarheid, maar maakt het systeem complexer.

Mesh-patroon: bij multi-agentsystemen heeft elke agent zijn eigen beveiligingsperimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trustprincipes.

Gevolgen voor de prestaties

Beveiligingsmaatregelen voegen onvermijdelijk latency en rekenoverhead toe. Inzicht in deze afwegingen is essentieel voor productie-implementaties:

Beveiligingslaag	Typische latency	Rekenkosten	Impact op UX
Keywordfilter	<1ms	Verwaarloosbaar	Geen
Regexfilter	1-5ms	Laag	Geen
ML-classifier (klein)	10-50ms	Matig	Minimaal
ML-classifier (groot)	50-200ms	Hoog	Merkbaar
LLM-as-judge	500-2000ms	Zeer hoog	Aanzienlijk
Volledige pipeline	100-500ms	Hoog	Matig

De aanbevolen aanpak is om eerst snelle, lichte controles te gebruiken (keyword- en regexfilters) om voor de hand liggende aanvallen op te vangen, gevolgd door duurdere ML-gebaseerde analyse alleen voor invoer die door de eerste filters komt. Deze getrapte aanpak biedt goede beveiliging met acceptabele prestaties.

Monitoring en observability

Effectieve beveiligingsmonitoring voor LLM-applicaties vereist het bijhouden van metrieken die adversarial gedragspatronen vastleggen:

from dataclasses import dataclass
from collections import defaultdict
import time
 
@dataclass
class SecurityMetrics:
    """Houd beveiligingsrelevante metrieken bij voor LLM-applicaties."""
 
    # Tellers
    total_requests: int = 0
    blocked_requests: int = 0
    filtered_outputs: int = 0
    anomalous_sessions: int = 0
 
    # Frequentiebijhouding
    _request_times: list = None
    _block_times: list = None
 
    def __post_init__(self):
        self._request_times = []
        self._block_times = []
 
    def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
        """Registreer een verzoek en de afhandeling ervan."""
        now = time.time()
        self.total_requests += 1
        self._request_times.append(now)
 
        if was_blocked:
            self.blocked_requests += 1
            self._block_times.append(now)
 
        if was_filtered:
            self.filtered_outputs += 1
 
    def get_block_rate(self, window_seconds: int = 300) -> float:
        """Bereken het blokkeringspercentage over een tijdvenster."""
        now = time.time()
        cutoff = now - window_seconds
        recent_requests = sum(1 for t in self._request_times if t > cutoff)
        recent_blocks = sum(1 for t in self._block_times if t > cutoff)
        if recent_requests == 0:
            return 0.0
        return recent_blocks / recent_requests
 
    def should_alert(self) -> bool:
        """Bepaal of de huidige metrieken een waarschuwing rechtvaardigen."""
        block_rate = self.get_block_rate()
        # Waarschuw als het blokkeringspercentage de drempel overschrijdt
        if block_rate > 0.3:  # >30% van de verzoeken geblokkeerd in de laatste 5 min
            return True
        return False

Beveiligingstests in CI/CD

Door AI-beveiligingstests in de ontwikkelpipeline te integreren, vang je regressies op voordat ze de productieomgeving bereiken:

Unit-tests: test afzonderlijke beveiligingscomponenten (classifiers, filters) tegen bekende payloads
Integratietests: test de volledige beveiligingspipeline end-to-end
Regressietests: houd een verzameling eerder ontdekte aanvals-payloads bij en controleer of die geblokkeerd blijven
Adversarial tests: draai periodiek geautomatiseerde red team-tools (Garak, Promptfoo) als onderdeel van de deploymentpipeline

Opkomende trends

Actuele onderzoeksrichtingen

Het vakgebied van LLM-beveiliging evolueert snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk gaan bepalen, zijn onder meer:

Formele verificatie van LLM-gedrag: onderzoekers verkennen wiskundige kaders om eigenschappen van modelgedrag onder adversarial omstandigheden te bewijzen. Hoewel volledige formele verificatie van neurale netwerken onhaalbaar blijft, biedt begrensde verificatie van specifieke eigenschappen perspectief.
Adversarial training voor LLM-robuustheid: naast standaard-RLHF ontwikkelen onderzoekers trainingsprocedures die modellen tijdens de veiligheidstraining expliciet blootstellen aan adversarial invoer, wat de robuustheid tegen bekende aanvalspatronen verbetert.
Door interpreteerbaarheid gestuurde verdediging: onderzoek naar mechanistische interpreteerbaarheid stelt verdedigers in staat om op neuron- en circuitniveau te begrijpen waarom specifieke aanvallen slagen, wat gerichtere verdedigingsmaatregelen oplevert.
Beveiliging van multi-agentsystemen: nu LLM-agents steeds gangbaarder worden, is het beveiligen van communicatie tussen agents en het bewaken van vertrouwensgrenzen over agentsystemen heen een actief onderzoeksgebied met aanzienlijke praktische gevolgen.
Geautomatiseerde red teaming op grote schaal: tools zoals Garak van NVIDIA, PyRIT van Microsoft en het Inspect-framework van het Britse AISI maken geautomatiseerde beveiligingstests mogelijk op een schaal die voorheen onhaalbaar was, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.

De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-beveiligingspraktijken bepalen.

Geavanceerde overwegingen

Het veranderende aanvalslandschap

Het landschap van AI-veiligheid verandert snel, naarmate zowel offensieve technieken als verdedigingsmaatregelen zich ontwikkelen. Verschillende trends bepalen de huidige stand van zaken:

Toenemende modelcapaciteiten creëren nieuwe aanvalsoppervlakken. Naarmate modellen toegang krijgen tot tools, code-uitvoering, webbrowsen en computergebruik, introduceert elke nieuwe capaciteit potentiële misbruikvectoren die in eerdere, alleen-tekstsystemen niet bestonden. Het principe van least privilege wordt steeds belangrijker naarmate de capaciteiten van modellen toenemen.

Verbeteringen in veiligheidstraining zijn noodzakelijk maar niet voldoende. Modelaanbieders investeren fors in veiligheidstraining via RLHF, DPO, constitutional AI en andere alignment-technieken. Deze verbeteringen leggen de lat hoger voor geslaagde aanvallen, maar nemen de fundamentele kwetsbaarheid niet weg: modellen kunnen legitieme instructies niet betrouwbaar onderscheiden van adversarial instructies, omdat dit onderscheid niet in de architectuur is verankerd.

Geautomatiseerde red team-tools democratiseren het testen. Tools zoals Garak van NVIDIA, PyRIT van Microsoft en Promptfoo stellen organisaties in staat om geautomatiseerde beveiligingstests uit te voeren zonder diepgaande expertise in AI-veiligheid. Geautomatiseerde tools vangen echter bekende patronen op; nieuwe aanvallen en kwetsbaarheden in de bedrijfslogica vragen nog steeds om menselijke creativiteit en domeinkennis.

Druk vanuit de regelgeving stimuleert investeringen bij organisaties. De EU AI Act, NIST AI RMF en sectorspecifieke regelgeving verplichten organisaties steeds vaker om AI-specifieke risico's te beoordelen en te mitigeren. Deze regelgevingsdruk stimuleert investeringen in AI-beveiligingsprogramma's, maar veel organisaties staan nog aan het begin van het opbouwen van volwassen AI-beveiligingspraktijken.

Overkoepelende beveiligingsprincipes

Verschillende beveiligingsprincipes gelden voor alle onderwerpen die in dit curriculum aan bod komen:

Defense-in-depth: geen enkele afzonderlijke verdedigingsmaatregel is afdoende. Stapel meerdere onafhankelijke verdedigingen zodat het falen van één laag niet leidt tot compromittering van het systeem. Invoerclassificatie, uitvoerfiltering, gedragsmonitoring en architectonische controles moeten allemaal aanwezig zijn.
Ga uit van een inbreuk: ontwerp systemen in de veronderstelling dat elk afzonderlijk component gecompromitteerd kan raken. Deze mindset leidt tot betere isolatie, monitoring en incident response-mogelijkheden. Als een prompt injection slaagt, moet de blast radius via architectonische controles worden geminimaliseerd.
Least privilege: geef modellen en agents alleen de minimale capaciteiten die ze voor hun beoogde functie nodig hebben. Een klantenservicechatbot heeft geen toegang tot het bestandssysteem of code-uitvoering nodig. Overmatige capaciteiten vergroten de impact van geslaagd misbruik.
Continu testen: AI-veiligheid is geen eenmalige beoordeling. Modellen veranderen, verdedigingen evolueren en er worden regelmatig nieuwe aanvalstechnieken ontdekt. Voer continue beveiligingstests uit als onderdeel van de ontwikkel- en deploymentcyclus.
Secure by default: standaardconfiguraties moeten veilig zijn. Vereis expliciete opt-in voor risicovolle capaciteiten, gebruik allowlists in plaats van denylists en kies in geval van twijfel voor restrictie boven toegeeflijkheid.

Integratie met de organisatiebrede beveiliging

AI-veiligheid staat niet op zichzelf — ze moet worden geïntegreerd in het bredere beveiligingsprogramma van de organisatie:

Beveiligingsdomein	AI-specifieke integratie
Identiteit en toegang	Beheer van API-sleutels, toegangscontroles op modellen, gebruikersauthenticatie voor AI-functies
Gegevensbescherming	Classificatie van trainingsdata, PII in prompts, dataresidentie voor modelaanroepen
Applicatiebeveiliging	Dreigingsmodellering van AI-functies, prompt injection in SAST/DAST, veilige AI-ontwerppatronen
Incident response	AI-specifieke playbooks, monitoring van modelgedrag, forensisch onderzoek naar prompt injection
Compliance	Toewijzing aan AI-regelgeving (EU AI Act, NIST), AI-audittrails, modeldocumentatie
Supply chain	Herkomst van modellen, beveiliging van afhankelijkheden, integriteitsverificatie van adapters/gewichten

class OrganizationalIntegration:
    """Framework om AI-veiligheid te integreren met organisatiebrede beveiligingsprogramma's."""
 
    def __init__(self, org_config: dict):
        self.config = org_config
        self.gaps = []
 
    def assess_maturity(self) -> dict:
        """Beoordeel de volwassenheid van de AI-veiligheid van de organisatie."""
        domains = {
            "governance": self._check_governance(),
            "technical_controls": self._check_technical(),
            "monitoring": self._check_monitoring(),
            "incident_response": self._check_ir(),
            "training": self._check_training(),
        }
        overall = sum(d["score"] for d in domains.values()) / len(domains)
        return {"domains": domains, "overall_maturity": round(overall, 1)}
 
    def _check_governance(self) -> dict:
        has_policy = self.config.get("ai_security_policy", False)
        has_framework = self.config.get("risk_framework", False)
        score = (int(has_policy) + int(has_framework)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_technical(self) -> dict:
        controls = ["input_classification", "output_filtering", "rate_limiting", "sandboxing"]
        active = sum(1 for c in controls if self.config.get(c, False))
        return {"score": active * 1.25, "max": 5.0}
 
    def _check_monitoring(self) -> dict:
        has_monitoring = self.config.get("ai_monitoring", False)
        has_alerting = self.config.get("ai_alerting", False)
        score = (int(has_monitoring) + int(has_alerting)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_ir(self) -> dict:
        has_playbook = self.config.get("ai_ir_playbook", False)
        return {"score": 5.0 if has_playbook else 0.0, "max": 5.0}
 
    def _check_training(self) -> dict:
        has_training = self.config.get("ai_security_training", False)
        return {"score": 5.0 if has_training else 0.0, "max": 5.0}

Toekomstige richtingen

Verschillende trends in onderzoek en industrie zullen de ontwikkeling van dit vakgebied vormgeven:

Formele methoden voor AI-veiligheid: ontwikkeling van wiskundige kaders die begrensde garanties kunnen bieden over modelgedrag onder adversarial omstandigheden
Geautomatiseerde red teaming op schaal: doorlopende verbetering van geautomatiseerde testtools die nieuwe kwetsbaarheden kunnen ontdekken zonder menselijke sturing
AI-ondersteunde verdediging: AI-systemen inzetten om aanvallen op andere AI-systemen te detecteren en erop te reageren, wat een dynamisch aanval-verdedigingsecosysteem creëert
Gestandaardiseerde evaluatie: toenemende adoptie van gestandaardiseerde benchmarks (HarmBench, JailbreakBench) die een consistente meting van vooruitgang mogelijk maken
Harmonisatie van regelgeving: convergentie van AI-regelgevingskaders over rechtsgebieden heen, wat duidelijkere eisen voor organisaties oplevert

Bronnen en verder lezen

OWASP LLM Top 10 2025 — Uitgebreide gids over beveiligingsrisico's van LLM's (owasp.org/www-project-top-10-for-large-language-model-applications)
MITRE ATLAS — Adversarial Threat Landscape for AI Systems (atlas.mitre.org)
Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models"
Chao et al. 2023 — "Jailbreaking Black-Box LLMs in Twenty Queries" (PAIR)
Garak (NVIDIA) — LLM-kwetsbaarheidsscanner (github.com/NVIDIA/garak)

Knowledge Check

Wat is de meest effectieve verdedigingsstrategie tegen de aanvalsklasse die in dit artikel wordt beschreven?

Knowledge Check

Waarom blijven de in dit artikel beschreven technieken effectief ondanks de doorlopende beveiligingsverbeteringen van modelaanbieders?

Embedding-driftaanvallen

Gevorderd17 min lezenBijgewerkt op 2026-03-20

Geleidelijke embedding-drift veroorzaken in vector stores door herhaalde kleine manipulaties.

vector attacks embedding drift

Overzicht

Geleidelijke embedding-drift veroorzaken in vector stores door herhaalde kleine manipulaties.

Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models" biedt de fundamentele context voor de kwetsbaarheidsklasse die in dit artikel wordt verkend.

Kernbegrippen

Grondbeginselen

Technische verdieping

from dataclasses import dataclass
from typing import Optional
import json
 
@dataclass
class SecurityAnalysis:
    """Framework om de beveiligingseigenschappen van LLM-systemen te analyseren."""
    target: str
    model: str
    defenses: list
    vulnerabilities: list
 
    def assess_risk(self, attack_type: str) -> dict:
        """Beoordeel het risico voor een specifiek aanvalstype."""
        # Controleer of een verdediging dit aanvalstype afdekt
        relevant_defenses = [
            d for d in self.defenses
            if attack_type in d.get("covers", [])
        ]
 
        # Risicofactoren
        likelihood = "high" if not relevant_defenses else "medium"
        impact = self._assess_impact(attack_type)
 
        return {
            "attack_type": attack_type,
            "likelihood": likelihood,
            "impact": impact,
            "defenses": len(relevant_defenses),
            "risk_level": self._calculate_risk(likelihood, impact),
        }
 
    def _assess_impact(self, attack_type: str) -> str:
        """Beoordeel de potentiële impact van een aanvalstype."""
        high_impact = ["data_exfiltration", "unauthorized_actions", "privilege_escalation"]
        return "high" if attack_type in high_impact else "medium"
 
    def _calculate_risk(self, likelihood: str, impact: str) -> str:
        """Bereken het totale risico op basis van waarschijnlijkheid en impact."""
        risk_matrix = {
            ("high", "high"): "critical",
            ("high", "medium"): "high",
            ("medium", "high"): "high",
            ("medium", "medium"): "medium",
        }
        return risk_matrix.get((likelihood, impact), "medium")
 
    def generate_report(self) -> str:
        """Genereer een risicobeoordelingsrapport."""
        attacks = ["prompt_injection", "data_exfiltration", "unauthorized_actions"]
        assessments = [self.assess_risk(a) for a in attacks]
 
        report = f"# Risk Assessment: {self.target}\n\n"
        for assessment in assessments:
            report += (
                f"## {assessment['attack_type']}\n"
                f"- Risk: {assessment['risk_level']}\n"
                f"- Likelihood: {assessment['likelihood']}\n"
                f"- Impact: {assessment['impact']}\n"
                f"- Active defenses: {assessment['defenses']}\n\n"
            )
        return report

Analyse van het aanvalsoppervlak

Inzicht in het aanvalsoppervlak is essentieel voor zowel offensief als defensief werk:

Aanvalsvector	Toegangspunt	Typische impact	Verdedigingsaanpak
Directe injectie	Invoer van gebruikersbericht	Extractie van de system prompt, omzeilen van veiligheid	Invoerclassificatie
Indirecte injectie	Externe databronnen (web, documenten, tools)	Data-exfiltratie, ongeautoriseerde acties	Datasanering
Misbruik van function calling	Injectie van toolparameters	Ongeautoriseerde API-aanroepen, datatoegang	Tool-sandboxing
Geheugenmanipulatie	Gespreksgeschiedenis, persistent geheugen	Persistentie over sessies heen, valse context	Geheugenvalidatie
Contextmanipulatie	Beheer van het contextvenster	Negeren van instructieprioriteit	Contextisolatie

Praktische toepassing

Implementatieaanpak

Om deze concepten in de praktijk toe te passen is een systematische methodologie nodig:

class PracticalFramework:
    """Praktisch framework om de concepten uit dit artikel toe te passen."""
 
    def __init__(self, target_config: dict):
        self.config = target_config
        self.findings = []
        self.tested_vectors = set()
 
    def test_vector(self, vector: str, payload: str) -> dict:
        """Test een specifieke aanvalsvector tegen het target."""
        self.tested_vectors.add(vector)
 
        # Verstuur de payload
        response = self._send(payload)
 
        # Evalueer het resultaat
        finding = {
            "vector": vector,
            "payload_length": len(payload),
            "response_length": len(response),
            "success": self._evaluate(response),
            "defense_triggered": self._detect_defense(response),
        }
 
        if finding["success"]:
            self.findings.append(finding)
 
        return finding
 
    def coverage_report(self) -> dict:
        """Rapporteer over de testdekking."""
        all_vectors = {
            "direct_injection", "indirect_injection", "function_abuse",
            "memory_manipulation", "context_manipulation",
        }
        return {
            "tested": list(self.tested_vectors),
            "untested": list(all_vectors - self.tested_vectors),
            "coverage": f"{len(self.tested_vectors)/len(all_vectors)*100:.0f}%",
            "findings": len(self.findings),
        }
 
    def _send(self, payload: str) -> str:
        """Verstuur de payload naar het target (implementatie verschilt per target)."""
        pass
 
    def _evaluate(self, response: str) -> bool:
        """Evalueer of de aanval geslaagd was."""
        pass
 
    def _detect_defense(self, response: str) -> Optional[str]:
        """Detecteer welk verdedigingsmechanisme is geactiveerd."""
        pass

Aandachtspunten voor de verdediging

Inzicht in verdedigingsmaatregelen is even belangrijk:

Invoervalidatie: de eerste verdedigingslinie. Zet invoerclassifiers in die binnenkomende prompts beoordelen op adversarial patronen voordat ze het model bereiken. Moderne classifiers combineren keyword-matching, regexpatronen en ML-gebaseerde detectie voor een volledige dekking.
Uitvoerfiltering: het vangnet. Verwerk alle modeluitvoer achteraf om datalekken van gevoelige gegevens, fragmenten van de system prompt en andere beleidsovertredingen te detecteren en te verwijderen. Uitvoerfilters moeten losstaan van invoerfilters om defense-in-depth te bieden.
Gedragsmonitoring: de detectielaag. Bewaak interactiepatronen van het model op afwijkingen die op lopende aanvallen wijzen — ongebruikelijke verzoekpatronen, herhaalde weigeringen of reactiekenmerken die afwijken van het baselinegedrag.
Architectuurontwerp: het fundament. Ontwerp applicatiearchitecturen die zo min mogelijk vertrouwen in modeluitvoer stellen, least privilege afdwingen voor toolgebruik en duidelijke veiligheidsgrenzen tussen componenten bewaken.

Relevantie in de praktijk

Deze concepten zijn direct toepasbaar op AI-systemen in productie, in alle sectoren. De volgende factoren maken dit onderwerp bijzonder relevant:

Alomtegenwoordigheid: de kwetsbaarheidsklasse raakt alle grote modelaanbieders en deploymentconfiguraties
Impact: geslaagd misbruik kan leiden tot datablootstelling, ongeautoriseerde acties en compliance-overtredingen
Persistentie: de onderliggende architectuureigenschappen zorgen ervoor dat deze technieken relevant blijven naarmate modellen evolueren
Regelgeving: opkomende regelgeving (EU AI Act, NIST AI RMF) verplicht organisaties steeds vaker om deze risico's te beoordelen en te mitigeren

Actueel onderzoek

Lopend onderzoek op dit gebied omvat onder meer:

Formele robuustheidsgaranties: wiskundige kaders ontwikkelen om modelgedrag onder begrensde adversarial verstoring te bewijzen
Adversarial training op schaal: trainingsprocedures die modellen tijdens de veiligheidstraining blootstellen aan adversarial invoer om de robuustheid te verbeteren
Door interpreteerbaarheid gestuurde verdediging: mechanistische interpreteerbaarheid gebruiken om op neuronniveau te begrijpen waarom aanvallen slagen, wat gerichte verdedigingen mogelijk maakt
Gestandaardiseerde evaluatie: benchmarks zoals HarmBench en JailbreakBench die een systematische meting van de effectiviteit van aanvallen en verdedigingen mogelijk maken

Implementatieoverwegingen

Architectuurpatronen

Bij het bouwen van systemen die met LLM's communiceren, beïnvloeden verschillende architectuurpatronen de beveiligingshouding van de hele applicatie:

from dataclasses import dataclass
from typing import Optional
import time
 
@dataclass
class SecurityGateway:
    """Gateway-patroon om toegang tot een LLM-applicatie te beveiligen."""
 
    input_classifier: object  # ML-gebaseerde invoerclassificatie
    output_filter: object     # Contentfilter voor de uitvoer
    rate_limiter: object      # Rate-limitingdienst
    audit_logger: object      # Logger voor het audittrail
 
    def process_request(self, user_id: str, message: str, session_id: str) -> dict:
        """Verwerk een verzoek via alle beveiligingslagen."""
        request_id = self._generate_request_id()
 
        # Laag 1: rate limiting
        if not self.rate_limiter.allow(user_id):
            self.audit_logger.log(request_id, "rate_limited", user_id)
            return {"error": "Rate limit exceeded", "retry_after": 60}
 
        # Laag 2: invoerclassificatie
        classification = self.input_classifier.classify(message)
        if classification.is_adversarial:
            self.audit_logger.log(
                request_id, "input_blocked",
                user_id, classification.category
            )
            return {"error": "Request could not be processed"}
 
        # Laag 3: LLM-verwerking
        response = self._call_llm(message, session_id)
 
        # Laag 4: uitvoerfiltering
        filtered = self.output_filter.filter(response)
        if filtered.was_modified:
            self.audit_logger.log(
                request_id, "output_filtered",
                user_id, filtered.reason
            )
 
        # Laag 5: auditlogging
        self.audit_logger.log(
            request_id, "completed",
            user_id, len(message), len(filtered.content)
        )
 
        return {"response": filtered.content}
 
    def _generate_request_id(self) -> str:
        import uuid
        return str(uuid.uuid4())
 
    def _call_llm(self, message: str, session_id: str) -> str:
        # Implementatie van de LLM-API-aanroep
        pass

Mesh-patroon: bij multi-agentsystemen heeft elke agent zijn eigen beveiligingsperimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trustprincipes.

Gevolgen voor de prestaties

Beveiligingsmaatregelen voegen onvermijdelijk latency en rekenoverhead toe. Inzicht in deze afwegingen is essentieel voor productie-implementaties:

Beveiligingslaag	Typische latency	Rekenkosten	Impact op UX
Keywordfilter	<1ms	Verwaarloosbaar	Geen
Regexfilter	1-5ms	Laag	Geen
ML-classifier (klein)	10-50ms	Matig	Minimaal
ML-classifier (groot)	50-200ms	Hoog	Merkbaar
LLM-as-judge	500-2000ms	Zeer hoog	Aanzienlijk
Volledige pipeline	100-500ms	Hoog	Matig

Monitoring en observability

Effectieve beveiligingsmonitoring voor LLM-applicaties vereist het bijhouden van metrieken die adversarial gedragspatronen vastleggen:

from dataclasses import dataclass
from collections import defaultdict
import time
 
@dataclass
class SecurityMetrics:
    """Houd beveiligingsrelevante metrieken bij voor LLM-applicaties."""
 
    # Tellers
    total_requests: int = 0
    blocked_requests: int = 0
    filtered_outputs: int = 0
    anomalous_sessions: int = 0
 
    # Frequentiebijhouding
    _request_times: list = None
    _block_times: list = None
 
    def __post_init__(self):
        self._request_times = []
        self._block_times = []
 
    def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
        """Registreer een verzoek en de afhandeling ervan."""
        now = time.time()
        self.total_requests += 1
        self._request_times.append(now)
 
        if was_blocked:
            self.blocked_requests += 1
            self._block_times.append(now)
 
        if was_filtered:
            self.filtered_outputs += 1
 
    def get_block_rate(self, window_seconds: int = 300) -> float:
        """Bereken het blokkeringspercentage over een tijdvenster."""
        now = time.time()
        cutoff = now - window_seconds
        recent_requests = sum(1 for t in self._request_times if t > cutoff)
        recent_blocks = sum(1 for t in self._block_times if t > cutoff)
        if recent_requests == 0:
            return 0.0
        return recent_blocks / recent_requests
 
    def should_alert(self) -> bool:
        """Bepaal of de huidige metrieken een waarschuwing rechtvaardigen."""
        block_rate = self.get_block_rate()
        # Waarschuw als het blokkeringspercentage de drempel overschrijdt
        if block_rate > 0.3:  # >30% van de verzoeken geblokkeerd in de laatste 5 min
            return True
        return False

Beveiligingstests in CI/CD

Door AI-beveiligingstests in de ontwikkelpipeline te integreren, vang je regressies op voordat ze de productieomgeving bereiken:

Unit-tests: test afzonderlijke beveiligingscomponenten (classifiers, filters) tegen bekende payloads
Integratietests: test de volledige beveiligingspipeline end-to-end
Regressietests: houd een verzameling eerder ontdekte aanvals-payloads bij en controleer of die geblokkeerd blijven
Adversarial tests: draai periodiek geautomatiseerde red team-tools (Garak, Promptfoo) als onderdeel van de deploymentpipeline

Opkomende trends

Actuele onderzoeksrichtingen

Het vakgebied van LLM-beveiliging evolueert snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk gaan bepalen, zijn onder meer:

Formele verificatie van LLM-gedrag: onderzoekers verkennen wiskundige kaders om eigenschappen van modelgedrag onder adversarial omstandigheden te bewijzen. Hoewel volledige formele verificatie van neurale netwerken onhaalbaar blijft, biedt begrensde verificatie van specifieke eigenschappen perspectief.
Adversarial training voor LLM-robuustheid: naast standaard-RLHF ontwikkelen onderzoekers trainingsprocedures die modellen tijdens de veiligheidstraining expliciet blootstellen aan adversarial invoer, wat de robuustheid tegen bekende aanvalspatronen verbetert.
Door interpreteerbaarheid gestuurde verdediging: onderzoek naar mechanistische interpreteerbaarheid stelt verdedigers in staat om op neuron- en circuitniveau te begrijpen waarom specifieke aanvallen slagen, wat gerichtere verdedigingsmaatregelen oplevert.
Beveiliging van multi-agentsystemen: nu LLM-agents steeds gangbaarder worden, is het beveiligen van communicatie tussen agents en het bewaken van vertrouwensgrenzen over agentsystemen heen een actief onderzoeksgebied met aanzienlijke praktische gevolgen.
Geautomatiseerde red teaming op grote schaal: tools zoals Garak van NVIDIA, PyRIT van Microsoft en het Inspect-framework van het Britse AISI maken geautomatiseerde beveiligingstests mogelijk op een schaal die voorheen onhaalbaar was, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.

De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-beveiligingspraktijken bepalen.

Geavanceerde overwegingen

Het veranderende aanvalslandschap

Het landschap van AI-veiligheid verandert snel, naarmate zowel offensieve technieken als verdedigingsmaatregelen zich ontwikkelen. Verschillende trends bepalen de huidige stand van zaken:

Overkoepelende beveiligingsprincipes

Verschillende beveiligingsprincipes gelden voor alle onderwerpen die in dit curriculum aan bod komen:

Defense-in-depth: geen enkele afzonderlijke verdedigingsmaatregel is afdoende. Stapel meerdere onafhankelijke verdedigingen zodat het falen van één laag niet leidt tot compromittering van het systeem. Invoerclassificatie, uitvoerfiltering, gedragsmonitoring en architectonische controles moeten allemaal aanwezig zijn.
Ga uit van een inbreuk: ontwerp systemen in de veronderstelling dat elk afzonderlijk component gecompromitteerd kan raken. Deze mindset leidt tot betere isolatie, monitoring en incident response-mogelijkheden. Als een prompt injection slaagt, moet de blast radius via architectonische controles worden geminimaliseerd.
Least privilege: geef modellen en agents alleen de minimale capaciteiten die ze voor hun beoogde functie nodig hebben. Een klantenservicechatbot heeft geen toegang tot het bestandssysteem of code-uitvoering nodig. Overmatige capaciteiten vergroten de impact van geslaagd misbruik.
Continu testen: AI-veiligheid is geen eenmalige beoordeling. Modellen veranderen, verdedigingen evolueren en er worden regelmatig nieuwe aanvalstechnieken ontdekt. Voer continue beveiligingstests uit als onderdeel van de ontwikkel- en deploymentcyclus.
Secure by default: standaardconfiguraties moeten veilig zijn. Vereis expliciete opt-in voor risicovolle capaciteiten, gebruik allowlists in plaats van denylists en kies in geval van twijfel voor restrictie boven toegeeflijkheid.

Integratie met de organisatiebrede beveiliging

AI-veiligheid staat niet op zichzelf — ze moet worden geïntegreerd in het bredere beveiligingsprogramma van de organisatie:

Beveiligingsdomein	AI-specifieke integratie
Identiteit en toegang	Beheer van API-sleutels, toegangscontroles op modellen, gebruikersauthenticatie voor AI-functies
Gegevensbescherming	Classificatie van trainingsdata, PII in prompts, dataresidentie voor modelaanroepen
Applicatiebeveiliging	Dreigingsmodellering van AI-functies, prompt injection in SAST/DAST, veilige AI-ontwerppatronen
Incident response	AI-specifieke playbooks, monitoring van modelgedrag, forensisch onderzoek naar prompt injection
Compliance	Toewijzing aan AI-regelgeving (EU AI Act, NIST), AI-audittrails, modeldocumentatie
Supply chain	Herkomst van modellen, beveiliging van afhankelijkheden, integriteitsverificatie van adapters/gewichten

class OrganizationalIntegration:
    """Framework om AI-veiligheid te integreren met organisatiebrede beveiligingsprogramma's."""
 
    def __init__(self, org_config: dict):
        self.config = org_config
        self.gaps = []
 
    def assess_maturity(self) -> dict:
        """Beoordeel de volwassenheid van de AI-veiligheid van de organisatie."""
        domains = {
            "governance": self._check_governance(),
            "technical_controls": self._check_technical(),
            "monitoring": self._check_monitoring(),
            "incident_response": self._check_ir(),
            "training": self._check_training(),
        }
        overall = sum(d["score"] for d in domains.values()) / len(domains)
        return {"domains": domains, "overall_maturity": round(overall, 1)}
 
    def _check_governance(self) -> dict:
        has_policy = self.config.get("ai_security_policy", False)
        has_framework = self.config.get("risk_framework", False)
        score = (int(has_policy) + int(has_framework)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_technical(self) -> dict:
        controls = ["input_classification", "output_filtering", "rate_limiting", "sandboxing"]
        active = sum(1 for c in controls if self.config.get(c, False))
        return {"score": active * 1.25, "max": 5.0}
 
    def _check_monitoring(self) -> dict:
        has_monitoring = self.config.get("ai_monitoring", False)
        has_alerting = self.config.get("ai_alerting", False)
        score = (int(has_monitoring) + int(has_alerting)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_ir(self) -> dict:
        has_playbook = self.config.get("ai_ir_playbook", False)
        return {"score": 5.0 if has_playbook else 0.0, "max": 5.0}
 
    def _check_training(self) -> dict:
        has_training = self.config.get("ai_security_training", False)
        return {"score": 5.0 if has_training else 0.0, "max": 5.0}

Toekomstige richtingen

Verschillende trends in onderzoek en industrie zullen de ontwikkeling van dit vakgebied vormgeven:

Formele methoden voor AI-veiligheid: ontwikkeling van wiskundige kaders die begrensde garanties kunnen bieden over modelgedrag onder adversarial omstandigheden
Geautomatiseerde red teaming op schaal: doorlopende verbetering van geautomatiseerde testtools die nieuwe kwetsbaarheden kunnen ontdekken zonder menselijke sturing
AI-ondersteunde verdediging: AI-systemen inzetten om aanvallen op andere AI-systemen te detecteren en erop te reageren, wat een dynamisch aanval-verdedigingsecosysteem creëert
Gestandaardiseerde evaluatie: toenemende adoptie van gestandaardiseerde benchmarks (HarmBench, JailbreakBench) die een consistente meting van vooruitgang mogelijk maken
Harmonisatie van regelgeving: convergentie van AI-regelgevingskaders over rechtsgebieden heen, wat duidelijkere eisen voor organisaties oplevert

Bronnen en verder lezen

OWASP LLM Top 10 2025 — Uitgebreide gids over beveiligingsrisico's van LLM's (owasp.org/www-project-top-10-for-large-language-model-applications)
MITRE ATLAS — Adversarial Threat Landscape for AI Systems (atlas.mitre.org)
Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models"
Chao et al. 2023 — "Jailbreaking Black-Box LLMs in Twenty Queries" (PAIR)
Garak (NVIDIA) — LLM-kwetsbaarheidsscanner (github.com/NVIDIA/garak)

Knowledge Check

Wat is de meest effectieve verdedigingsstrategie tegen de aanvalsklasse die in dit artikel wordt beschreven?

Knowledge Check

Waarom blijven de in dit artikel beschreven technieken effectief ondanks de doorlopende beveiligingsverbeteringen van modelaanbieders?

Embedding-driftaanvallen

Gerelateerde artikelen

Embedding-driftaanvallen

Gerelateerde artikelen