AI Infrastructure Security
Overzicht van beveiligingszorgen in AI-infrastructuur, met aandacht voor model-supplychains, API-beveiliging, deployment-architectuur en de unieke aanvalsoppervlakken van ML-systemen.
AI-infrastructuur reikt veel verder dan het model zelf. De model-supplychain die modellen levert, de API's die ze serveren, de orkestratie die ze met tools verbindt, en de inzetomgevingen die ze hosten, vormen allemaal aanvalsoppervlakken die traditioneel AI-beveiligingsonderzoek vaak over het hoofd ziet.
De AI-infrastructuurstack
Model Registries (HuggingFace, etc.) ← Supply chain attacks
↓
Model Files (.pt, .onnx, .safetensors) ← Serialization exploits
↓
Serving Infrastructure (vLLM, TGI, etc.) ← Deployment attacks
↓
API Layer (REST, gRPC, WebSocket) ← API security
↓
Orchestration (LangChain, agents, MCP) ← Integration attacks
↓
Application (chat UI, plugins, tools) ← Application attacks
Elke laag in deze stack heeft zijn eigen dreigingsmodel, en een compromittering op welke laag dan ook kan doorwerken en alle lagen erboven beïnvloeden.
Belangrijkste aanvalscategorieën
Model-supplychain
De reis van een voorgetraind model naar een productiedeployment omvat het downloaden van modelbestanden, het laden van gewichten en vaak het uitvoeren van willekeurige code. Deze supplychain is rijp voor exploitatie. Zie Model Supply Chain.
API-beveiliging
LLM-API's verwerken gevoelige prompts, genereren potentieel schadelijke outputs en bieden vaak toegang tot interne tools. Standaard API-beveiligingszorgen (authenticatie, rate limiting, inputvalidatie) zijn van toepassing naast LLM-specifieke kwesties. Zie API Security.
Deployment-aanvallen
De infrastructuur die AI-modellen host en serveert — containers, GPU's, inferentieservers — introduceert zijn eigen aanvalsoppervlak. Misconfiguraties, resource-uitputting en escape-kwetsbaarheden zijn allemaal van toepassing. Zie Deployment Attacks.
Infrastructuur- vs. modelaanvallen
| Aspect | Modelaanvallen | Infrastructuuraanvallen |
|---|---|---|
| Doelwit | Het gedrag van het model | De systemen rondom het model |
| Benodigde toegang | Prompt-/query-toegang | Netwerk-/systeemtoegang |
| Persistentie | Meestal kortstondig | Kan permanent zijn |
| Detectie | AI-specifieke monitoring | Traditionele beveiligingstooling |
| Impact | Manipulatie van modeluitvoer | Volledige systeemcompromittering |
Red teaming van infrastructuur
Bij het beoordelen van AI-infrastructuur:
- Breng de supplychain in kaart — Waar komen modellen vandaan? Hoe worden ze gedownload, opgeslagen en geladen?
- Beoordeel de API-beveiliging — Authenticatie, autorisatie, rate limiting, inputvalidatie, outputfiltering
- Bekijk de deployment — Containerbeveiliging, netwerkisolatie, resourcelimieten, toegangscontroles
- Test integraties — Hoe verbindt het model met tools, databases en externe services?
Gerelateerde onderwerpen
- Model Supply Chain Risks -- pickle-exploits, registry-aanvallen en dependency-kwetsbaarheden
- Infrastructure Supply Chain (Advanced) -- diepgaande verkenning van supplychain-aanvalstechnieken
- Cloud & App Security -- beveiliging op applicatieniveau van AI-deployments
- Exploit Development -- het bouwen van exploits die zich richten op infrastructuurcomponenten
- Training Data Attacks -- datapijplijnaanvallen die het snijvlak vormen met infrastructuur
Referenties
- OWASP, "Top 10 for Large Language Model Applications" (2025) -- industry-standard LLM security risks including infrastructure
- Gu et al., "BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain" (2019) -- foundational supply chain attack research
- MITRE, "ATLAS: Adversarial Threat Landscape for AI Systems" (2023) -- comprehensive AI threat framework covering infrastructure
Waarom kunnen infrastructuuraanvallen een hogere impact hebben dan prompt-injectie voor een AI-red-teamer?