Het AI-landschap: een kaart voor de redteamer
De belangrijkste modellen, aanbieders, deploymentpatronen en de AI-stack van hardware tot applicatie — oriëntatie voor redteamers in het huidige AI-ecosysteem.
Waarom het landschap ertoe doet
Voordat je een AI-systeem kunt aanvallen, moet je begrijpen waar je naar kijkt. Het AI-ecosysteem is gelaagd, gefragmenteerd en evolueert razendsnel. Een "chatbot" draait misschien op GPT-4 via Azure OpenAI Service, is fine-tuned met propriëtaire data, ingepakt in een LangChain-orchestratielaag, achter een Next.js-frontend. Elke laag introduceert zijn eigen aanvalsoppervlak, en inzicht in het landschap helpt je te bepalen welke lagen aanwezig zijn en welke de moeite waard zijn om aan te vallen.
De AI-stack
De moderne AI-stack heeft vijf onderscheiden lagen, elk met zijn eigen beveiligingsoverwegingen:
┌─────────────────────────────────────────┐
│ Application Layer │
│ (UI, business logic, user management) │
├─────────────────────────────────────────┤
│ Orchestration Layer │
│ (LangChain, LlamaIndex, custom code) │
├─────────────────────────────────────────┤
│ Model Layer │
│ (GPT-4, Claude, Llama, Gemini) │
├─────────────────────────────────────────┤
│ Infrastructure Layer │
│ (APIs, hosting, scaling, monitoring) │
├─────────────────────────────────────────┤
│ Hardware Layer │
│ (GPUs, TPUs, cloud compute) │
└─────────────────────────────────────────┘
Hardwarelaag
Het fundament van AI-berekeningen. De meeste AI-workloads draaien op gespecialiseerde hardware:
| Hardware | Aanbieder | Betekenis |
|---|---|---|
| NVIDIA H100/H200-GPU's | NVIDIA | Dominant voor training en inference; schaarste in aanbod vormt de hele industrie |
| Google TPU's | Speciaal gebouwd voor TensorFlow- en JAX-workloads; gebruikt voor Gemini | |
| AWS Trainium/Inferentia | Amazon | Eigen chips voor AI-workloads die op AWS draaien |
| Apple Neural Engine | Apple | On-device inference voor Apple-producten |
| Intel Gaudi | Intel | Alternatieve accelerator die terrein wint in de enterprise |
Relevantie voor het red team: Aanvallen op de hardwarelaag zijn zeldzaam maar hebben een hoge impact. Side-channel-aanvallen op gedeelde GPU-infrastructuur, supply chain-aanvallen op accelerator-firmware en resource-uitputtingsaanvallen die hardwarebeperkingen misbruiken zijn allemaal mogelijk, maar vereisen gespecialiseerde expertise.
Infrastructuurlaag
Waar modellen worden gehost en uitgeserveerd. Dit omvat cloudaanbieders, inference-engines en ondersteunende diensten.
| Platform | Aanbieder | Belangrijkste diensten |
|---|---|---|
| Azure AI | Microsoft | Hosting van OpenAI-modellen, Azure ML, Cognitive Services |
| AWS Bedrock | Amazon | Multi-model-API (Claude, Llama, Mistral, Titan) |
| Google Cloud AI | Vertex AI, Gemini API, Model Garden | |
| Together AI | Together | Hosting en inference van open-source modellen |
| Replicate | Replicate | Eenvoudige API-deployment voor open-source modellen |
| Hugging Face | Hugging Face | Model hub, Inference Endpoints, Spaces |
Relevantie voor het red team: Fouten in API-authenticatie, omzeilen van rate limits, enumeratie van modelendpoints, kwetsbaarheden in inference-engines en container-escape in gedeelde hostingomgevingen.
Modellaag
De AI-modellen zelf — de kernintelligentie van elk AI-systeem.
| Categorie | Toonaangevende modellen | Aanbieder |
|---|---|---|
| Frontier gesloten | GPT-4o, o1, o3 | OpenAI |
| Frontier gesloten | Claude 3.5 Sonnet, Claude 3 Opus | Anthropic |
| Frontier gesloten | Gemini 1.5 Pro, Gemini Ultra | |
| Frontier open | Llama 3.1 405B, Llama 3.2 | Meta |
| Open en efficiënt | Mistral Large, Mixtral | Mistral AI |
| Open en efficiënt | Qwen 2.5, DeepSeek-V3 | Alibaba, DeepSeek |
| Gespecialiseerd | Codex, CodeLlama, StarCoder | Diverse |
| Embedding | text-embedding-3, voyage-3, BGE | Diverse |
Relevantie voor het red team: Jailbreaken, prompt injection, modelextractie, extractie van trainingsdata, adversarial voorbeelden, omzeilen van alignment. Zie Modeltypes en aanvalsoppervlakken.
Orchestratielaag
Software die modellen verbindt met data, tools en elkaar. Dit is waar de meeste complexiteit van AI-applicaties zit.
| Framework | Doel | Adoptie |
|---|---|---|
| LangChain | Generiek framework voor LLM-applicaties | Zeer hoog |
| LlamaIndex | Dataverbinding en retrieval voor LLM's | Hoog |
| Semantic Kernel | Microsofts SDK voor AI-orchestratie | Groeiend |
| CrewAI | Multi-agent-orchestratie | Groeiend |
| AutoGen | Microsofts multi-agent-framework | Groeiend |
| Haystack | End-to-end NLP-/LLM-framework | Matig |
Relevantie voor het red team: Prompt injection via RAG-pijplijnen, misbruik van tools, manipulatie van agents, chain-of-thought-hijacking en memory poisoning. De orchestratielaag is vaak de zwakste schakel, omdat hij is gebouwd voor functionaliteit, niet voor beveiliging.
Applicatielaag
De laag richting de gebruiker — het product waar mensen daadwerkelijk mee werken.
- Chatinterfaces: Klantenservice, programmeerassistenten, generieke chatbots
- API's: Programmatische toegang voor ontwikkelaars die bovenop AI-diensten bouwen
- Embedded AI: AI-functies binnen bestaande producten (e-mails opstellen, documenten samenvatten)
- Autonome agents: AI-systemen die namens gebruikers acties uitvoeren (boeken, onderzoek, programmeren)
Relevantie voor het red team: Traditionele kwetsbaarheden in webapplicaties (XSS, CSRF, authenticatiefouten), plus AI-specifieke risico's zoals manipulatie van gebruikerssessies en datalekken tussen gebruikers via gedeelde modelstatus.
Het ecosysteem van aanbieders
Begrijpen wie AI-systemen bouwt, host en deployt onthult de vertrouwensgrenzen die redteamers kunnen misbruiken.
Modelaanbieders
Deze organisaties trainen en leveren de basismodellen:
- OpenAI: GPT-familie, DALL-E, Whisper. Gedistribueerd via hun eigen API en Azure.
- Anthropic: Claude-familie. Gedistribueerd via hun eigen API, AWS Bedrock en Google Cloud.
- Google: Gemini-familie, PaLM. Gedistribueerd via Google Cloud en een directe API.
- Meta: Llama-familie. Open-weight modellen gedistribueerd via Hugging Face en diverse hosts.
- Mistral AI: Mistral- en Mixtral-modellen. Gedistribueerd via hun eigen API, Azure en AWS.
- Cohere: Command-familie. Gericht op enterprise search en RAG-applicaties.
Platformaanbieders
Deze organisaties hosten en serveren modellen, vaak met aanvullende diensten:
- Cloud-hyperscalers (AWS, Azure, GCP): Bieden managed AI-diensten met enterprise-beveiligingsfuncties
- Gespecialiseerde inference-aanbieders (Together, Replicate, Anyscale): Optimaliseren voor snelheid en kosten van inference
- Modelregisters (Hugging Face): Hosten en distribueren modellen en datasets
Applicatiebouwers
Deze organisaties bouwen producten met AI-modellen en -platformen:
- Verticale SaaS: AI-functies ingebed in domeinspecifieke software (juridisch, medisch, finance)
- Horizontale tools: Generieke AI-assistenten, programmeertools, tools voor contentcreatie
- Enterprise-integraties: AI toegevoegd aan bestaande enterprise-workflows (CRM, ERP, samenwerking)
Actuele trends die de beveiliging beïnvloeden
Verschillende lopende trends in het AI-landschap beïnvloeden direct de prioriteiten van redteaming:
Trend 1: Multimodale uitbreiding
Modellen verwerken steeds vaker tekst, beelden, audio, video en code tegelijk. Elke modaliteit introduceert nieuw aanvalsoppervlak — adversarial beelden, prompt injection via audio, en cross-modale aanvallen die modaliteiten combineren om verdedigingen voor één enkele modaliteit te omzeilen.
Trend 2: Agentic AI
Modellen krijgen steeds meer de mogelijkheid om tools te gebruiken, op het web te surfen, code uit te voeren en acties te ondernemen in de echte wereld. Agentsystemen vergroten de straal van geslaagde aanvallen drastisch, van "het model zei iets slechts" naar "het model deed iets slechts".
Trend 3: Modelcommoditisering
Open-weight modellen benaderen de prestaties van gesloten modellen, waardoor het voor iedereen makkelijker wordt om krachtige AI te deployen. Dit democratiseert zowel nuttig gebruik als adversarial vermogen.
Trend 4: Specialisatie via fine-tuning
Organisaties fine-tunen basismodellen steeds vaker voor specifieke domeinen. Fine-tuning kan het veiligheidstraining verzwakken, en fine-tuned modellen hebben vaak een minder robuuste alignment dan hun basisversies.
Trend 5: Edge-deployment
Modellen die lokaal draaien op telefoons, laptops en IoT-apparaten vallen buiten de controle van de aanbieder. Modellen die op de edge gedeployd zijn, kunnen niet leunen op server-side guardrails, rate limiting of monitoring.
Gerelateerde onderwerpen
- Modeltypes en aanvalsoppervlakken — beveiligingsimplicaties van verschillende modelarchitecturen
- Deploymentpatronen — hoe deploymentkeuzes de beveiliging beïnvloeden
- Het AI-API-ecosysteem — authenticatie- en toegangspatronen
- Open versus gesloten modellen — beveiligingsafwegingen van modelbeschikbaarheid
- AI-systeemarchitectuur — diepere duik in architectuur op systeemniveau
Bronnen
- "State of AI Report 2025" - Benaich & Hogarth (2025) - Jaarlijkse uitgebreide analyse van het AI-industrielandschap, de belangrijkste spelers en trends
- "The AI Index Report" - Stanford HAI (2025) - Datagedreven analyse van de voortgang, adoptie en het beleid rond AI in het wereldwijde ecosysteem
- "MLOps: Continuous Delivery for Machine Learning" - Google (2024) - Overzicht van de infrastructuur en operationele praktijken die productie-AI-systemen ondersteunen
- "OWASP AI Security and Privacy Guide" - OWASP (2025) - Beveiligingsoverwegingen geordend per AI-systeemcomponent en levenscyclusfase
Waarom is inzicht in de volledige AI-stack belangrijk voor redteaming, in plaats van je alleen op het model te richten?