Impactcategorieën
Overzicht van de gevolgen in de praktijk van geslaagde AI-aanvallen, van desinformatie en schadelijke content tot financiële fraude en het overtreden van regelgeving.
Impactcategorieën
Overzicht
Geslaagde aanvallen op AI-systemen hebben gevolgen die veel verder reiken dan het technische domein. Wanneer een groot taalmodel gecompromitteerd raakt, kan de resulterende schade variëren van een subtiele erosie van het publieke vertrouwen door desinformatie tot directe financiële verliezen door fraude, van boetes van toezichthouders die de tientallen miljoenen euro's overschrijden tot een volledige degradatie van downstream-systemen die afhankelijk zijn van de uitvoer van het model. Het begrijpen van deze impactcategorieën is essentieel voor redteamers, want de waarde van het vinden van een kwetsbaarheid wordt niet afgemeten aan de slimheid van de exploit, maar aan de ernst van het gevolg dat hij mogelijk maakt.
Impactbeoordeling overbrugt de kloof tussen technische bevindingen en zakelijk risico. Een prompt injection die een chatbot een product van een concurrent laat aanbevelen, is technisch gezien identiek aan een die hem klantgegevens laat lekken, maar de zakelijke impact verschilt ordes van grootte. Red team-rapporten die de impact in zakelijke termen verwoorden -- omzetverlies, blootstelling aan regelgeving, reputatieschade -- krijgen aandacht van de directie en zetten investeringen in herstel in gang. Rapporten die alleen het technische mechanisme beschrijven, krijgen vaak een lagere prioriteit, ongeacht de werkelijke severity.
De impactcategorieën die in dit onderdeel aan bod komen, weerspiegelen het huidige dreigingslandschap voor organisaties die AI-systemen uitrollen. Desinformatie en het genereren van schadelijke content zijn de meest bestudeerde categorieën, met gevestigde aanvalspatronen en verdedigingen. Reputatieschade blijkt onevenredig veel impact te hebben in verhouding tot de technische geraffineerdheid, omdat één virale screenshot de nieuwscyclus kan domineren. Denial of service, datacorruptie, financiële fraude en het overtreden van regelgeving zijn opkomende categorieën waar het snijvlak tussen AI-capaciteiten en gevolgen in de praktijk nog in kaart wordt gebracht.
De categorieën sluiten elkaar niet uit. Eén enkele aanvalsketen kan meerdere gelijktijdige gevolgen hebben: een RAG-poisoning-aanval kan downstream-databases corrumperen (datacorruptie), het systeem vals medisch advies laten genereren (desinformatie), de HIPAA-wetgeving overtreden door onjuiste openbaarmaking (overtreding van regelgeving) en koppen genereren over de nalatige AI-deployment van de organisatie (reputatieschade). Een effectieve risicobeoordeling moet rekening houden met deze cascade-effecten.
Impact-referentiekaart
De volgende tabel koppelt elke impactcategorie aan de belangrijkste framework-referenties en geeft een ruwe inschatting van de severity op basis van de typische blootstelling van een organisatie.
| Impactcategorie | OWASP LLM Top 10 | MITRE ATLAS | Typische severity | Hersteldifficulteit |
|---|---|---|---|---|
| Misinformation Generation | LLM09 Misinformation | AML.T0048 | Hoog | Moeilijk (vertrouwenserosie) |
| Harmful Content Generation | LLM01 Prompt Injection | AML.T0040 | Kritiek | Gemiddeld |
| Reputation Damage | LLM09 Overreliance | AML.T0048 | Hoog | Moeilijk (publieke perceptie) |
| Denial of Service | LLM10 Unbounded Consumption | AML.T0029 | Gemiddeld-hoog | Makkelijk (technisch) |
| Data Corruption | LLM09 Misinformation | AML.T0020 | Kritiek | Zeer moeilijk |
| Financial Fraud | LLM01 Prompt Injection | AML.T0048 | Kritiek | Gemiddeld |
| Compliance Violations | LLM06 Sensitive Info Disclosure | AML.T0024 | Kritiek | Moeilijk (regelgeving) |
Impact beoordelen in red team-engagements
Bij het uitvoeren van red team-beoordelingen moet de impact langs vier dimensies worden geëvalueerd:
- Blast radius -- Hoeveel gebruikers, systemen of bedrijfsprocessen worden geraakt? Een aanval met datavergiftiging van trainingsdata raakt elke gebruiker; een prompt injection in één sessie raakt er één.
- Persistentie -- Stopt de impact wanneer de aanval stopt, of gaat hij door? Datacorruptie blijft bestaan tot hij wordt gedetecteerd en hersteld. Denial of service stopt zodra de aanval stopt.
- Omkeerbaarheid -- Kan de schade ongedaan worden gemaakt? Financiële verliezen zijn mogelijk te recupereren. Reputatieschade en boetes van toezichthouders niet.
- Toeschrijving -- Kan de impact tot het AI-systeem worden herleid? Subtiele desinformatie wordt misschien nooit aan het gecompromitteerde model toegeschreven, waardoor die tegelijk minder zichtbaar en gevaarlijker is.
Leerpad
Begin met Misinformation Generation en Harmful Content Generation als de meest uitgebreid gedocumenteerde categorieën. Bekijk daarna Reputation Damage voor het perspectief van de zakelijke impact. De overige categorieën -- Denial of Service, Data Corruption, Financial Fraud en Compliance Violations -- behandelen opkomende gebieden waar AI-specifieke risico's steeds relevanter worden.
Referenties
- OWASP: "LLM Top 10 for Large Language Model Applications" (2025)
- MITRE: "ATLAS -- Adversarial Threat Landscape for Artificial Intelligence Systems" (2024)
- NIST: "AI Risk Management Framework (AI RMF 1.0)" (2023)
- EU AI Act: Regulation (EU) 2024/1689, Articles 6-55