Index van aanvalstechnieken

Gemiddeld17 min lezenBijgewerkt op 2026-03-20

Uitgebreide index van aanvalstechnieken, georganiseerd op doel, moeilijkheidsgraad en aanpak om verdediging te omzeilen.

attack references index technique

Overzicht

Uitgebreide index van aanvalstechnieken, georganiseerd op doel, moeilijkheidsgraad en aanpak om verdediging te omzeilen.

Dit onderwerp vormt een kritiek gebied in AI-security dat het onderwerp is geweest van significant onderzoek en reële exploitatie. Inzicht in de concepten, technieken en defensieve maatregelen die hier worden behandeld, is essentieel voor iedereen die werkt in AI-security, zowel in offensieve als defensieve rollen.

Zou et al. 2023 -- "Universal and Transferable Adversarial Attacks on Aligned Language Models" biedt fundamentele context voor de kwetsbaarheidsklasse die in dit artikel wordt verkend.

Kernconcepten

Fundamentele principes

De veiligheidsimplicaties van dit onderwerp komen voort uit fundamentele eigenschappen van hoe moderne taalmodellen ontworpen, getraind en ingezet worden. Dit zijn geen geïsoleerde implementatiefouten, maar systemische kenmerken die alle transformer-gebaseerde taalmodellen in verschillende mate beïnvloeden.

Begrip van deze fundamentele eigenschap is de sleutel tot begrip van waarom de technieken die in dit artikel worden beschreven werken en waarom ze effectief blijven ondanks doorlopende verbeteringen in de veiligheidstraining van modellen. Veiligheidstraining voegt een gedragslaag toe die het minder waarschijnlijk maakt dat modellen duidelijk schadelijke instructies opvolgen, maar deze laag werkt bovenop dezelfde architectuur en kan worden beïnvloed door dezelfde attention-mechanismen die legitieme invoer verwerken.

Technische verdieping

Het mechanisme dat ten grondslag ligt aan deze kwetsbaarheidsklasse opereert op de interactie tussen instructievolg-vaardigheid en bron-authenticatie. Tijdens training leren modellen instructies te volgen die in specifieke formaten en contexten worden gepresenteerd. Een aanvaller die adversarial content kan presenteren in een formaat dat overeenkomt met de geleerde instructievolg-patronen van het model, kan modelgedrag betrouwbaar beïnvloeden.

from dataclasses import dataclass
from typing import Optional
import json
 
@dataclass
class SecurityAnalysis:
    """Framework for analyzing security properties of LLM systems."""
    target: str
    model: str
    defenses: list
    vulnerabilities: list
 
    def assess_risk(self, attack_type: str) -> dict:
        """Assess risk for a specific attack type."""
        # Controleer of een verdediging dit aanvalstype aanpakt
        relevant_defenses = [
            d for d in self.defenses
            if attack_type in d.get("covers", [])
        ]
 
        # Risicofactoren
        likelihood = "high" if not relevant_defenses else "medium"
        impact = self._assess_impact(attack_type)
 
        return {
            "attack_type": attack_type,
            "likelihood": likelihood,
            "impact": impact,
            "defenses": len(relevant_defenses),
            "risk_level": self._calculate_risk(likelihood, impact),
        }
 
    def _assess_impact(self, attack_type: str) -> str:
        """Assess the potential impact of an attack type."""
        high_impact = ["data_exfiltration", "unauthorized_actions", "privilege_escalation"]
        return "high" if attack_type in high_impact else "medium"
 
    def _calculate_risk(self, likelihood: str, impact: str) -> str:
        """Calculate overall risk from likelihood and impact."""
        risk_matrix = {
            ("high", "high"): "critical",
            ("high", "medium"): "high",
            ("medium", "high"): "high",
            ("medium", "medium"): "medium",
        }
        return risk_matrix.get((likelihood, impact), "medium")
 
    def generate_report(self) -> str:
        """Generate a risk assessment report."""
        attacks = ["prompt_injection", "data_exfiltration", "unauthorized_actions"]
        assessments = [self.assess_risk(a) for a in attacks]
 
        report = f"# Risk Assessment: {self.target}\n\n"
        for assessment in assessments:
            report += (
                f"## {assessment['attack_type']}\n"
                f"- Risk: {assessment['risk_level']}\n"
                f"- Likelihood: {assessment['likelihood']}\n"
                f"- Impact: {assessment['impact']}\n"
                f"- Active defenses: {assessment['defenses']}\n\n"
            )
        return report

Analyse van aanvalsoppervlak

Inzicht in het aanvalsoppervlak is essentieel voor zowel offensief als defensief werk:

Aanvalsvector	Ingang	Typische impact	Verdedigingsaanpak
Directe injectie	Invoer van gebruikersbericht	Extractie van system prompt, omzeilen van veiligheid	Invoerclassificatie
Indirecte injectie	Externe databronnen (web, documenten, tools)	Data-exfiltratie, ongeautoriseerde acties	Data-sanitatie
Misbruik van function calling	Tool-parameterinjectie	Ongeautoriseerde API-calls, datatoegang	Tool-sandboxing
Memory-manipulatie	Conversatiegeschiedenis, persistente memory	Persistentie over sessies heen, valse context	Memory-validatie
Contextmanipulatie	Beheer van contextvenster	Override van instructie-prioriteit	Contextisolatie

Praktische toepassing

Implementatieaanpak

Het toepassen van deze concepten in de praktijk vereist een systematische methodologie:

class PracticalFramework:
    """Practical framework for applying the concepts in this article."""
 
    def __init__(self, target_config: dict):
        self.config = target_config
        self.findings = []
        self.tested_vectors = set()
 
    def test_vector(self, vector: str, payload: str) -> dict:
        """Test a specific attack vector against the target."""
        self.tested_vectors.add(vector)
 
        # Verstuur de payload
        response = self._send(payload)
 
        # Evalueer het resultaat
        finding = {
            "vector": vector,
            "payload_length": len(payload),
            "response_length": len(response),
            "success": self._evaluate(response),
            "defense_triggered": self._detect_defense(response),
        }
 
        if finding["success"]:
            self.findings.append(finding)
 
        return finding
 
    def coverage_report(self) -> dict:
        """Report on testing coverage."""
        all_vectors = {
            "direct_injection", "indirect_injection", "function_abuse",
            "memory_manipulation", "context_manipulation",
        }
        return {
            "tested": list(self.tested_vectors),
            "untested": list(all_vectors - self.tested_vectors),
            "coverage": f"{len(self.tested_vectors)/len(all_vectors)*100:.0f}%",
            "findings": len(self.findings),
        }
 
    def _send(self, payload: str) -> str:
        """Send payload to target (implementation varies by target)."""
        pass
 
    def _evaluate(self, response: str) -> bool:
        """Evaluate whether the attack was successful."""
        pass
 
    def _detect_defense(self, response: str) -> Optional[str]:
        """Detect which defense mechanism was triggered."""
        pass

Defensieve overwegingen

Inzicht in defensieve maatregelen is even belangrijk:

Invoervalidatie: De eerste verdedigingslinie. Zet invoerclassifiers in die binnenkomende prompts evalueren op adversarial patronen voordat ze het model bereiken. Moderne classifiers combineren keyword-matching, regex-patronen en ML-gebaseerde detectie voor uitgebreide dekking.
Output-filtering: Het vangnet. Verwerk alle model-outputs na om lekken van gevoelige data, fragmenten van het system prompt en andere beleidsovertredingen te detecteren en te verwijderen. Outputfilters moeten onafhankelijk zijn van invoerfilters om defense-in-depth te bieden.
Gedragsmonitoring: De detectielaag. Monitor patronen van modelinteractie op anomalieën die op lopende aanvallen wijzen -- ongebruikelijke verzoekpatronen, herhaalde weigeringen of responskenmerken die afwijken van het basisgedrag.
Architectuurontwerp: Het fundament. Ontwerp applicatie-architecturen die het vertrouwen in model-outputs minimaliseren, least privilege voor tool-toegang afdwingen en duidelijke security-grenzen tussen componenten behouden.

Reële relevantie

Deze concepten zijn direct toepasbaar op productie-AI-systemen in alle sectoren. De volgende factoren maken dit onderwerp bijzonder relevant:

Alomtegenwoordigheid: De kwetsbaarheidsklasse treft alle grote modelproviders en deployment-configuraties
Impact: Succesvolle exploitatie kan leiden tot data-openbaring, ongeautoriseerde acties en compliance-schendingen
Persistentie: De onderliggende architectonische eigenschappen zorgen ervoor dat deze technieken relevant blijven naarmate modellen evolueren
Regelgeving: Opkomende regelgeving (EU AI Act, NIST AI RMF) vereist steeds vaker dat organisaties deze risico's beoordelen en mitigeren

Huidig onderzoek

Actief onderzoek op dit gebied omvat:

Formele robuustheidsgaranties: Ontwikkelen van wiskundige frameworks om modelgedrag te bewijzen onder begrensde adversarial perturbatie
Adversarial training op schaal: Trainingsprocedures die modellen tijdens veiligheidstraining blootstellen aan adversarial inputs om de robuustheid te verbeteren
Interpretability-gestuurde verdediging: Mechanistische interpretability gebruiken om te begrijpen waarom aanvallen slagen op neuronniveau, wat gerichte verdedigingen mogelijk maakt
Gestandaardiseerde evaluatie: Benchmarks zoals HarmBench en JailbreakBench die systematische meting van aanvals- en verdedigingseffectiviteit mogelijk maken

Implementatie-overwegingen

Architectuurpatronen

Bij het implementeren van systemen die met LLM's interacteren beïnvloeden verschillende architectuurpatronen de security-positie van de algehele applicatie:

Gateway-patroon: Een specifieke API-gateway zit tussen gebruikers en het LLM, en handelt authenticatie, rate limiting, invoervalidatie en output-filtering af. Dit centraliseert security-controles maar creëert een single point of failure.

from dataclasses import dataclass
from typing import Optional
import time
 
@dataclass
class SecurityGateway:
    """Gateway pattern for securing LLM application access."""
 
    input_classifier: object  # ML-based input classifier
    output_filter: object     # Output content filter
    rate_limiter: object      # Rate limiting service
    audit_logger: object      # Audit trail logger
 
    def process_request(self, user_id: str, message: str, session_id: str) -> dict:
        """Process a request through all security layers."""
        request_id = self._generate_request_id()
 
        # Laag 1: Rate limiting
        if not self.rate_limiter.allow(user_id):
            self.audit_logger.log(request_id, "rate_limited", user_id)
            return {"error": "Rate limit exceeded", "retry_after": 60}
 
        # Laag 2: Invoerclassificatie
        classification = self.input_classifier.classify(message)
        if classification.is_adversarial:
            self.audit_logger.log(
                request_id, "input_blocked",
                user_id, classification.category
            )
            return {"error": "Request could not be processed"}
 
        # Laag 3: LLM-verwerking
        response = self._call_llm(message, session_id)
 
        # Laag 4: Output-filtering
        filtered = self.output_filter.filter(response)
        if filtered.was_modified:
            self.audit_logger.log(
                request_id, "output_filtered",
                user_id, filtered.reason
            )
 
        # Laag 5: Audit-logging
        self.audit_logger.log(
            request_id, "completed",
            user_id, len(message), len(filtered.content)
        )
 
        return {"response": filtered.content}
 
    def _generate_request_id(self) -> str:
        import uuid
        return str(uuid.uuid4())
 
    def _call_llm(self, message: str, session_id: str) -> str:
        # LLM API call implementation
        pass

Sidecar-patroon: Security-componenten draaien naast het LLM als onafhankelijke services, elk verantwoordelijk voor een specifiek aspect van security. Dit biedt betere isolatie en onafhankelijk schalen, maar verhoogt de systeemcomplexiteit.

Mesh-patroon: Voor multi-agent-systemen heeft elke agent zijn eigen security-perimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trust-principes.

Prestatie-implicaties

Veiligheidsmaatregelen voegen onvermijdelijk latency en rekenkracht toe. Begrip van deze trade-offs is essentieel voor productie-deployments:

Security-laag	Typische latency	Rekenkundige kosten	Impact op UX
Keyword-filter	<1ms	Verwaarloosbaar	Geen
Regex-filter	1-5ms	Laag	Geen
ML-classifier (klein)	10-50ms	Matig	Minimaal
ML-classifier (groot)	50-200ms	Hoog	Merkbaar
LLM-as-judge	500-2000ms	Zeer hoog	Significant
Volledige pipeline	100-500ms	Hoog	Matig

De aanbevolen aanpak is om eerst snelle, lichtgewicht controles te gebruiken (keyword- en regex-filters) om voor de hand liggende aanvallen te vangen, gevolgd door duurdere ML-gebaseerde analyse alleen voor invoer die de eerste filters passeert. Deze cascadische aanpak biedt goede security met acceptabele prestaties.

Monitoring en observability

Effectieve security-monitoring voor LLM-applicaties vereist het volgen van metrics die adversarial gedragspatronen vastleggen:

from dataclasses import dataclass
from collections import defaultdict
import time
 
@dataclass
class SecurityMetrics:
    """Track security-relevant metrics for LLM applications."""
 
    # Tellers
    total_requests: int = 0
    blocked_requests: int = 0
    filtered_outputs: int = 0
    anomalous_sessions: int = 0
 
    # Rate-tracking
    _request_times: list = None
    _block_times: list = None
 
    def __post_init__(self):
        self._request_times = []
        self._block_times = []
 
    def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
        """Record a request and its disposition."""
        now = time.time()
        self.total_requests += 1
        self._request_times.append(now)
 
        if was_blocked:
            self.blocked_requests += 1
            self._block_times.append(now)
 
        if was_filtered:
            self.filtered_outputs += 1
 
    def get_block_rate(self, window_seconds: int = 300) -> float:
        """Calculate the block rate over a time window."""
        now = time.time()
        cutoff = now - window_seconds
        recent_requests = sum(1 for t in self._request_times if t > cutoff)
        recent_blocks = sum(1 for t in self._block_times if t > cutoff)
        if recent_requests == 0:
            return 0.0
        return recent_blocks / recent_requests
 
    def should_alert(self) -> bool:
        """Determine if current metrics warrant an alert."""
        block_rate = self.get_block_rate()
        # Alert als block rate de drempel overschrijdt
        if block_rate > 0.3:  # >30% van requests geblokkeerd in laatste 5 min
            return True
        return False

Security-tests in CI/CD

Door AI-security-testen te integreren in de ontwikkelpipeline vang je regressies voordat ze de productie bereiken:

Unit-niveau tests: Test individuele security-componenten (classifiers, filters) tegen bekende payloads
Integratietests: Test de volledige security-pipeline end-to-end
Regressietests: Onderhoud een suite van eerder ontdekte aanvalspayloads en verifieer dat ze geblokkeerd blijven
Adversarial tests: Voer periodiek geautomatiseerde red team-tools (Garak, Promptfoo) uit als onderdeel van de deployment-pipeline

Opkomende trends

Huidige onderzoeksrichtingen

Het veld van LLM-security ontwikkelt zich snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk vorm zullen geven, zijn onder andere:

Formele verificatie van LLM-gedrag: Onderzoekers verkennen wiskundige frameworks om eigenschappen van modelgedrag te bewijzen onder adversarial omstandigheden. Hoewel volledige formele verificatie van neurale netwerken onpraktisch blijft, biedt begrensde verificatie van specifieke eigenschappen perspectief.
Adversarial training voor LLM-robuustheid: Naast standaard RLHF ontwikkelen onderzoekers trainingsprocedures die modellen tijdens de veiligheidstraining expliciet blootstellen aan adversarial inputs, wat de robuustheid tegen bekende aanvalspatronen verbetert.
Interpretability-gestuurde verdediging: Mechanistisch interpretability-onderzoek stelt verdedigers in staat te begrijpen waarom specifieke aanvallen slagen op neuron- en circuit-niveau, wat gerichtere defensieve maatregelen mogelijk maakt.
Multi-agent-security: Naarmate LLM-agents wijdverbreider worden, is het beveiligen van inter-agent-communicatie en het handhaven van vertrouwensgrenzen tussen agent-systemen een actief onderzoeksgebied met aanzienlijke praktische implicaties.
Geautomatiseerde red teaming op schaal: Tools zoals NVIDIA's Garak, Microsoft's PyRIT en het Inspect-framework van UK AISI maken geautomatiseerd security-testen mogelijk op schalen die voorheen onmogelijk waren, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.

De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-security-praktijken definiëren.

Geavanceerde overwegingen

Evoluerend aanvalslandschap

Het AI-security-landschap evolueert snel naarmate zowel offensieve technieken als defensieve maatregelen vorderen. Verschillende trends bepalen de huidige stand van zaken:

Toenemende modelcapaciteiten creëren nieuwe aanvalsoppervlakken. Naarmate modellen toegang krijgen tot tools, code-uitvoering, webbrowsen en computer use, introduceert elke nieuwe capaciteit potentiële exploitatievectoren die in eerdere, tekst-only systemen niet bestonden. Het principe van least privilege wordt steeds belangrijker naarmate modelcapaciteiten uitbreiden.

Verbeteringen in veiligheidstraining zijn noodzakelijk maar niet voldoende. Modelproviders investeren zwaar in veiligheidstraining via RLHF, DPO, constitutional AI en andere alignment-technieken. Deze verbeteringen verhogen de lat voor succesvolle aanvallen maar elimineren de fundamentele kwetsbaarheid niet: modellen kunnen legitieme instructies niet betrouwbaar onderscheiden van adversarial instructies omdat dit onderscheid niet wordt gerepresenteerd in de architectuur.

Geautomatiseerde red teaming-tools democratiseren het testen. Tools zoals NVIDIA's Garak, Microsoft's PyRIT en Promptfoo stellen organisaties in staat geautomatiseerde security-tests uit te voeren zonder diepgaande AI-security-expertise. Geautomatiseerde tools vangen echter bekende patronen; nieuwe aanvallen en kwetsbaarheden in business logic vereisen nog steeds menselijke creativiteit en domeinkennis.

Regelgevende druk drijft organisatie-investeringen. De EU AI Act, NIST AI RMF en sectorspecifieke regelgeving vereisen steeds vaker dat organisaties AI-specifieke risico's beoordelen en mitigeren. Deze regelgevende druk drijft investeringen in AI-security-programma's, maar veel organisaties bevinden zich nog in een vroege fase van het opbouwen van volwassen AI-security-praktijken.

Overkoepelende security-principes

Verschillende security-principes gelden voor alle onderwerpen die in dit curriculum worden behandeld:

Defense-in-depth: Geen enkele defensieve maatregel is voldoende. Stapel meerdere onafhankelijke verdedigingen zodat het falen van één laag niet leidt tot systeemcompromittering. Invoerclassificatie, output-filtering, gedragsmonitoring en architectonische controles moeten allemaal aanwezig zijn.
Assume breach: Ontwerp systemen ervan uitgaande dat elke individuele component gecompromitteerd kan worden. Deze mindset leidt tot betere isolatie, monitoring en incident response-capaciteiten. Wanneer een prompt injection slaagt, moet de blast radius worden geminimaliseerd via architectonische controles.
Least privilege: Geef modellen en agents alleen de minimale capaciteiten die nodig zijn voor hun beoogde functie. Een chatbot voor klantenservice heeft geen toegang tot het bestandssysteem of code-uitvoering nodig. Excessieve capaciteiten vergroten de impact van succesvolle exploitatie.
Continu testen: AI-security is geen eenmalige assessment. Modellen veranderen, verdedigingen evolueren en nieuwe aanvalstechnieken worden regelmatig ontdekt. Implementeer continu security-testen als onderdeel van de ontwikkel- en deployment-levenscyclus.
Secure by default: Standaardconfiguraties moeten veilig zijn. Eis expliciete opt-in voor risicovolle capaciteiten, gebruik allowlists in plaats van denylists, en kies eerder voor beperking dan voor toegeeflijkheid.

Integratie met organisatorische security

AI-security bestaat niet in isolatie -- het moet integreren met het bredere security-programma van de organisatie:

Security-domein	AI-specifieke integratie
Identity and Access	Beheer van API-keys, model-toegangscontroles, gebruikersauthenticatie voor AI-features
Databescherming	Classificatie van trainingsdata, PII in prompts, dataresidentie voor model-calls
Application Security	Dreigingsmodellering van AI-features, prompt injection in SAST/DAST, veilige AI-ontwerppatronen
Incident Response	AI-specifieke playbooks, monitoring van modelgedrag, forensisch onderzoek van prompt injection
Compliance	Mapping van AI-regelgeving (EU AI Act, NIST), AI-audit-trails, modeldocumentatie
Supply chain	Modelherkomst, dependency-security, integriteitsverificatie van adapter/gewichten

class OrganizationalIntegration:
    """Framework for integrating AI security with organizational security programs."""
 
    def __init__(self, org_config: dict):
        self.config = org_config
        self.gaps = []
 
    def assess_maturity(self) -> dict:
        """Assess the organization's AI security maturity."""
        domains = {
            "governance": self._check_governance(),
            "technical_controls": self._check_technical(),
            "monitoring": self._check_monitoring(),
            "incident_response": self._check_ir(),
            "training": self._check_training(),
        }
        overall = sum(d["score"] for d in domains.values()) / len(domains)
        return {"domains": domains, "overall_maturity": round(overall, 1)}
 
    def _check_governance(self) -> dict:
        has_policy = self.config.get("ai_security_policy", False)
        has_framework = self.config.get("risk_framework", False)
        score = (int(has_policy) + int(has_framework)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_technical(self) -> dict:
        controls = ["input_classification", "output_filtering", "rate_limiting", "sandboxing"]
        active = sum(1 for c in controls if self.config.get(c, False))
        return {"score": active * 1.25, "max": 5.0}
 
    def _check_monitoring(self) -> dict:
        has_monitoring = self.config.get("ai_monitoring", False)
        has_alerting = self.config.get("ai_alerting", False)
        score = (int(has_monitoring) + int(has_alerting)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_ir(self) -> dict:
        has_playbook = self.config.get("ai_ir_playbook", False)
        return {"score": 5.0 if has_playbook else 0.0, "max": 5.0}
 
    def _check_training(self) -> dict:
        has_training = self.config.get("ai_security_training", False)
        return {"score": 5.0 if has_training else 0.0, "max": 5.0}

Toekomstige richtingen

Verschillende onderzoeks- en industrietrends zullen de evolutie van dit veld bepalen:

Formele methoden voor AI-veiligheid: Ontwikkeling van wiskundige frameworks die begrensde garanties kunnen bieden over modelgedrag onder adversarial omstandigheden
Geautomatiseerde red teaming op schaal: Voortdurende verbetering van geautomatiseerde testtools die nieuwe kwetsbaarheden kunnen ontdekken zonder menselijke begeleiding
AI-ondersteunde verdediging: AI-systemen gebruiken om aanvallen op andere AI-systemen te detecteren en erop te reageren, wat een dynamisch aanvals-verdedigings-ecosysteem creëert
Gestandaardiseerde evaluatie: Groeiende adoptie van gestandaardiseerde benchmarks (HarmBench, JailbreakBench) die consistente meting van voortgang mogelijk maken
Regelgevingsharmonisatie: Convergentie van AI-regelgevingskaders over jurisdicties heen, wat duidelijkere vereisten biedt voor organisaties

Referenties en verder lezen

OWASP LLM Top 10 2025 -- Uitgebreide gids voor LLM-security-risico's (owasp.org/www-project-top-10-for-large-language-model-applications)
MITRE ATLAS -- Adversarial Threat Landscape for AI Systems (atlas.mitre.org)
Zou et al. 2023 -- "Universal and Transferable Adversarial Attacks on Aligned Language Models"
Chao et al. 2023 -- "Jailbreaking Black-Box LLMs in Twenty Queries" (PAIR)
Garak (NVIDIA) -- LLM-kwetsbaarhedenscanner (github.com/NVIDIA/garak)

Knowledge Check

Wat is de meest effectieve defensieve strategie tegen de aanvalsklasse die in dit artikel wordt beschreven?

Knowledge Check

Waarom blijven de technieken die in dit artikel worden beschreven effectief ondanks doorlopende security-verbeteringen door modelproviders?

Index van aanvalstechnieken

Gemiddeld17 min lezenBijgewerkt op 2026-03-20

Uitgebreide index van aanvalstechnieken, georganiseerd op doel, moeilijkheidsgraad en aanpak om verdediging te omzeilen.

attack references index technique

Overzicht

Uitgebreide index van aanvalstechnieken, georganiseerd op doel, moeilijkheidsgraad en aanpak om verdediging te omzeilen.

Zou et al. 2023 -- "Universal and Transferable Adversarial Attacks on Aligned Language Models" biedt fundamentele context voor de kwetsbaarheidsklasse die in dit artikel wordt verkend.

Kernconcepten

Fundamentele principes

Technische verdieping

from dataclasses import dataclass
from typing import Optional
import json
 
@dataclass
class SecurityAnalysis:
    """Framework for analyzing security properties of LLM systems."""
    target: str
    model: str
    defenses: list
    vulnerabilities: list
 
    def assess_risk(self, attack_type: str) -> dict:
        """Assess risk for a specific attack type."""
        # Controleer of een verdediging dit aanvalstype aanpakt
        relevant_defenses = [
            d for d in self.defenses
            if attack_type in d.get("covers", [])
        ]
 
        # Risicofactoren
        likelihood = "high" if not relevant_defenses else "medium"
        impact = self._assess_impact(attack_type)
 
        return {
            "attack_type": attack_type,
            "likelihood": likelihood,
            "impact": impact,
            "defenses": len(relevant_defenses),
            "risk_level": self._calculate_risk(likelihood, impact),
        }
 
    def _assess_impact(self, attack_type: str) -> str:
        """Assess the potential impact of an attack type."""
        high_impact = ["data_exfiltration", "unauthorized_actions", "privilege_escalation"]
        return "high" if attack_type in high_impact else "medium"
 
    def _calculate_risk(self, likelihood: str, impact: str) -> str:
        """Calculate overall risk from likelihood and impact."""
        risk_matrix = {
            ("high", "high"): "critical",
            ("high", "medium"): "high",
            ("medium", "high"): "high",
            ("medium", "medium"): "medium",
        }
        return risk_matrix.get((likelihood, impact), "medium")
 
    def generate_report(self) -> str:
        """Generate a risk assessment report."""
        attacks = ["prompt_injection", "data_exfiltration", "unauthorized_actions"]
        assessments = [self.assess_risk(a) for a in attacks]
 
        report = f"# Risk Assessment: {self.target}\n\n"
        for assessment in assessments:
            report += (
                f"## {assessment['attack_type']}\n"
                f"- Risk: {assessment['risk_level']}\n"
                f"- Likelihood: {assessment['likelihood']}\n"
                f"- Impact: {assessment['impact']}\n"
                f"- Active defenses: {assessment['defenses']}\n\n"
            )
        return report

Analyse van aanvalsoppervlak

Inzicht in het aanvalsoppervlak is essentieel voor zowel offensief als defensief werk:

Aanvalsvector	Ingang	Typische impact	Verdedigingsaanpak
Directe injectie	Invoer van gebruikersbericht	Extractie van system prompt, omzeilen van veiligheid	Invoerclassificatie
Indirecte injectie	Externe databronnen (web, documenten, tools)	Data-exfiltratie, ongeautoriseerde acties	Data-sanitatie
Misbruik van function calling	Tool-parameterinjectie	Ongeautoriseerde API-calls, datatoegang	Tool-sandboxing
Memory-manipulatie	Conversatiegeschiedenis, persistente memory	Persistentie over sessies heen, valse context	Memory-validatie
Contextmanipulatie	Beheer van contextvenster	Override van instructie-prioriteit	Contextisolatie

Praktische toepassing

Implementatieaanpak

Het toepassen van deze concepten in de praktijk vereist een systematische methodologie:

class PracticalFramework:
    """Practical framework for applying the concepts in this article."""
 
    def __init__(self, target_config: dict):
        self.config = target_config
        self.findings = []
        self.tested_vectors = set()
 
    def test_vector(self, vector: str, payload: str) -> dict:
        """Test a specific attack vector against the target."""
        self.tested_vectors.add(vector)
 
        # Verstuur de payload
        response = self._send(payload)
 
        # Evalueer het resultaat
        finding = {
            "vector": vector,
            "payload_length": len(payload),
            "response_length": len(response),
            "success": self._evaluate(response),
            "defense_triggered": self._detect_defense(response),
        }
 
        if finding["success"]:
            self.findings.append(finding)
 
        return finding
 
    def coverage_report(self) -> dict:
        """Report on testing coverage."""
        all_vectors = {
            "direct_injection", "indirect_injection", "function_abuse",
            "memory_manipulation", "context_manipulation",
        }
        return {
            "tested": list(self.tested_vectors),
            "untested": list(all_vectors - self.tested_vectors),
            "coverage": f"{len(self.tested_vectors)/len(all_vectors)*100:.0f}%",
            "findings": len(self.findings),
        }
 
    def _send(self, payload: str) -> str:
        """Send payload to target (implementation varies by target)."""
        pass
 
    def _evaluate(self, response: str) -> bool:
        """Evaluate whether the attack was successful."""
        pass
 
    def _detect_defense(self, response: str) -> Optional[str]:
        """Detect which defense mechanism was triggered."""
        pass

Defensieve overwegingen

Inzicht in defensieve maatregelen is even belangrijk:

Invoervalidatie: De eerste verdedigingslinie. Zet invoerclassifiers in die binnenkomende prompts evalueren op adversarial patronen voordat ze het model bereiken. Moderne classifiers combineren keyword-matching, regex-patronen en ML-gebaseerde detectie voor uitgebreide dekking.
Output-filtering: Het vangnet. Verwerk alle model-outputs na om lekken van gevoelige data, fragmenten van het system prompt en andere beleidsovertredingen te detecteren en te verwijderen. Outputfilters moeten onafhankelijk zijn van invoerfilters om defense-in-depth te bieden.
Gedragsmonitoring: De detectielaag. Monitor patronen van modelinteractie op anomalieën die op lopende aanvallen wijzen -- ongebruikelijke verzoekpatronen, herhaalde weigeringen of responskenmerken die afwijken van het basisgedrag.
Architectuurontwerp: Het fundament. Ontwerp applicatie-architecturen die het vertrouwen in model-outputs minimaliseren, least privilege voor tool-toegang afdwingen en duidelijke security-grenzen tussen componenten behouden.

Reële relevantie

Deze concepten zijn direct toepasbaar op productie-AI-systemen in alle sectoren. De volgende factoren maken dit onderwerp bijzonder relevant:

Alomtegenwoordigheid: De kwetsbaarheidsklasse treft alle grote modelproviders en deployment-configuraties
Impact: Succesvolle exploitatie kan leiden tot data-openbaring, ongeautoriseerde acties en compliance-schendingen
Persistentie: De onderliggende architectonische eigenschappen zorgen ervoor dat deze technieken relevant blijven naarmate modellen evolueren
Regelgeving: Opkomende regelgeving (EU AI Act, NIST AI RMF) vereist steeds vaker dat organisaties deze risico's beoordelen en mitigeren

Huidig onderzoek

Actief onderzoek op dit gebied omvat:

Formele robuustheidsgaranties: Ontwikkelen van wiskundige frameworks om modelgedrag te bewijzen onder begrensde adversarial perturbatie
Adversarial training op schaal: Trainingsprocedures die modellen tijdens veiligheidstraining blootstellen aan adversarial inputs om de robuustheid te verbeteren
Interpretability-gestuurde verdediging: Mechanistische interpretability gebruiken om te begrijpen waarom aanvallen slagen op neuronniveau, wat gerichte verdedigingen mogelijk maakt
Gestandaardiseerde evaluatie: Benchmarks zoals HarmBench en JailbreakBench die systematische meting van aanvals- en verdedigingseffectiviteit mogelijk maken

Implementatie-overwegingen

Architectuurpatronen

Bij het implementeren van systemen die met LLM's interacteren beïnvloeden verschillende architectuurpatronen de security-positie van de algehele applicatie:

from dataclasses import dataclass
from typing import Optional
import time
 
@dataclass
class SecurityGateway:
    """Gateway pattern for securing LLM application access."""
 
    input_classifier: object  # ML-based input classifier
    output_filter: object     # Output content filter
    rate_limiter: object      # Rate limiting service
    audit_logger: object      # Audit trail logger
 
    def process_request(self, user_id: str, message: str, session_id: str) -> dict:
        """Process a request through all security layers."""
        request_id = self._generate_request_id()
 
        # Laag 1: Rate limiting
        if not self.rate_limiter.allow(user_id):
            self.audit_logger.log(request_id, "rate_limited", user_id)
            return {"error": "Rate limit exceeded", "retry_after": 60}
 
        # Laag 2: Invoerclassificatie
        classification = self.input_classifier.classify(message)
        if classification.is_adversarial:
            self.audit_logger.log(
                request_id, "input_blocked",
                user_id, classification.category
            )
            return {"error": "Request could not be processed"}
 
        # Laag 3: LLM-verwerking
        response = self._call_llm(message, session_id)
 
        # Laag 4: Output-filtering
        filtered = self.output_filter.filter(response)
        if filtered.was_modified:
            self.audit_logger.log(
                request_id, "output_filtered",
                user_id, filtered.reason
            )
 
        # Laag 5: Audit-logging
        self.audit_logger.log(
            request_id, "completed",
            user_id, len(message), len(filtered.content)
        )
 
        return {"response": filtered.content}
 
    def _generate_request_id(self) -> str:
        import uuid
        return str(uuid.uuid4())
 
    def _call_llm(self, message: str, session_id: str) -> str:
        # LLM API call implementation
        pass

Mesh-patroon: Voor multi-agent-systemen heeft elke agent zijn eigen security-perimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trust-principes.

Prestatie-implicaties

Veiligheidsmaatregelen voegen onvermijdelijk latency en rekenkracht toe. Begrip van deze trade-offs is essentieel voor productie-deployments:

Security-laag	Typische latency	Rekenkundige kosten	Impact op UX
Keyword-filter	<1ms	Verwaarloosbaar	Geen
Regex-filter	1-5ms	Laag	Geen
ML-classifier (klein)	10-50ms	Matig	Minimaal
ML-classifier (groot)	50-200ms	Hoog	Merkbaar
LLM-as-judge	500-2000ms	Zeer hoog	Significant
Volledige pipeline	100-500ms	Hoog	Matig

Monitoring en observability

Effectieve security-monitoring voor LLM-applicaties vereist het volgen van metrics die adversarial gedragspatronen vastleggen:

from dataclasses import dataclass
from collections import defaultdict
import time
 
@dataclass
class SecurityMetrics:
    """Track security-relevant metrics for LLM applications."""
 
    # Tellers
    total_requests: int = 0
    blocked_requests: int = 0
    filtered_outputs: int = 0
    anomalous_sessions: int = 0
 
    # Rate-tracking
    _request_times: list = None
    _block_times: list = None
 
    def __post_init__(self):
        self._request_times = []
        self._block_times = []
 
    def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
        """Record a request and its disposition."""
        now = time.time()
        self.total_requests += 1
        self._request_times.append(now)
 
        if was_blocked:
            self.blocked_requests += 1
            self._block_times.append(now)
 
        if was_filtered:
            self.filtered_outputs += 1
 
    def get_block_rate(self, window_seconds: int = 300) -> float:
        """Calculate the block rate over a time window."""
        now = time.time()
        cutoff = now - window_seconds
        recent_requests = sum(1 for t in self._request_times if t > cutoff)
        recent_blocks = sum(1 for t in self._block_times if t > cutoff)
        if recent_requests == 0:
            return 0.0
        return recent_blocks / recent_requests
 
    def should_alert(self) -> bool:
        """Determine if current metrics warrant an alert."""
        block_rate = self.get_block_rate()
        # Alert als block rate de drempel overschrijdt
        if block_rate > 0.3:  # >30% van requests geblokkeerd in laatste 5 min
            return True
        return False

Security-tests in CI/CD

Door AI-security-testen te integreren in de ontwikkelpipeline vang je regressies voordat ze de productie bereiken:

Unit-niveau tests: Test individuele security-componenten (classifiers, filters) tegen bekende payloads
Integratietests: Test de volledige security-pipeline end-to-end
Regressietests: Onderhoud een suite van eerder ontdekte aanvalspayloads en verifieer dat ze geblokkeerd blijven
Adversarial tests: Voer periodiek geautomatiseerde red team-tools (Garak, Promptfoo) uit als onderdeel van de deployment-pipeline

Opkomende trends

Huidige onderzoeksrichtingen

Het veld van LLM-security ontwikkelt zich snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk vorm zullen geven, zijn onder andere:

Formele verificatie van LLM-gedrag: Onderzoekers verkennen wiskundige frameworks om eigenschappen van modelgedrag te bewijzen onder adversarial omstandigheden. Hoewel volledige formele verificatie van neurale netwerken onpraktisch blijft, biedt begrensde verificatie van specifieke eigenschappen perspectief.
Adversarial training voor LLM-robuustheid: Naast standaard RLHF ontwikkelen onderzoekers trainingsprocedures die modellen tijdens de veiligheidstraining expliciet blootstellen aan adversarial inputs, wat de robuustheid tegen bekende aanvalspatronen verbetert.
Interpretability-gestuurde verdediging: Mechanistisch interpretability-onderzoek stelt verdedigers in staat te begrijpen waarom specifieke aanvallen slagen op neuron- en circuit-niveau, wat gerichtere defensieve maatregelen mogelijk maakt.
Multi-agent-security: Naarmate LLM-agents wijdverbreider worden, is het beveiligen van inter-agent-communicatie en het handhaven van vertrouwensgrenzen tussen agent-systemen een actief onderzoeksgebied met aanzienlijke praktische implicaties.
Geautomatiseerde red teaming op schaal: Tools zoals NVIDIA's Garak, Microsoft's PyRIT en het Inspect-framework van UK AISI maken geautomatiseerd security-testen mogelijk op schalen die voorheen onmogelijk waren, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.

De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-security-praktijken definiëren.

Geavanceerde overwegingen

Evoluerend aanvalslandschap

Het AI-security-landschap evolueert snel naarmate zowel offensieve technieken als defensieve maatregelen vorderen. Verschillende trends bepalen de huidige stand van zaken:

Overkoepelende security-principes

Verschillende security-principes gelden voor alle onderwerpen die in dit curriculum worden behandeld:

Defense-in-depth: Geen enkele defensieve maatregel is voldoende. Stapel meerdere onafhankelijke verdedigingen zodat het falen van één laag niet leidt tot systeemcompromittering. Invoerclassificatie, output-filtering, gedragsmonitoring en architectonische controles moeten allemaal aanwezig zijn.
Assume breach: Ontwerp systemen ervan uitgaande dat elke individuele component gecompromitteerd kan worden. Deze mindset leidt tot betere isolatie, monitoring en incident response-capaciteiten. Wanneer een prompt injection slaagt, moet de blast radius worden geminimaliseerd via architectonische controles.
Least privilege: Geef modellen en agents alleen de minimale capaciteiten die nodig zijn voor hun beoogde functie. Een chatbot voor klantenservice heeft geen toegang tot het bestandssysteem of code-uitvoering nodig. Excessieve capaciteiten vergroten de impact van succesvolle exploitatie.
Continu testen: AI-security is geen eenmalige assessment. Modellen veranderen, verdedigingen evolueren en nieuwe aanvalstechnieken worden regelmatig ontdekt. Implementeer continu security-testen als onderdeel van de ontwikkel- en deployment-levenscyclus.
Secure by default: Standaardconfiguraties moeten veilig zijn. Eis expliciete opt-in voor risicovolle capaciteiten, gebruik allowlists in plaats van denylists, en kies eerder voor beperking dan voor toegeeflijkheid.

Integratie met organisatorische security

AI-security bestaat niet in isolatie -- het moet integreren met het bredere security-programma van de organisatie:

Security-domein	AI-specifieke integratie
Identity and Access	Beheer van API-keys, model-toegangscontroles, gebruikersauthenticatie voor AI-features
Databescherming	Classificatie van trainingsdata, PII in prompts, dataresidentie voor model-calls
Application Security	Dreigingsmodellering van AI-features, prompt injection in SAST/DAST, veilige AI-ontwerppatronen
Incident Response	AI-specifieke playbooks, monitoring van modelgedrag, forensisch onderzoek van prompt injection
Compliance	Mapping van AI-regelgeving (EU AI Act, NIST), AI-audit-trails, modeldocumentatie
Supply chain	Modelherkomst, dependency-security, integriteitsverificatie van adapter/gewichten

class OrganizationalIntegration:
    """Framework for integrating AI security with organizational security programs."""
 
    def __init__(self, org_config: dict):
        self.config = org_config
        self.gaps = []
 
    def assess_maturity(self) -> dict:
        """Assess the organization's AI security maturity."""
        domains = {
            "governance": self._check_governance(),
            "technical_controls": self._check_technical(),
            "monitoring": self._check_monitoring(),
            "incident_response": self._check_ir(),
            "training": self._check_training(),
        }
        overall = sum(d["score"] for d in domains.values()) / len(domains)
        return {"domains": domains, "overall_maturity": round(overall, 1)}
 
    def _check_governance(self) -> dict:
        has_policy = self.config.get("ai_security_policy", False)
        has_framework = self.config.get("risk_framework", False)
        score = (int(has_policy) + int(has_framework)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_technical(self) -> dict:
        controls = ["input_classification", "output_filtering", "rate_limiting", "sandboxing"]
        active = sum(1 for c in controls if self.config.get(c, False))
        return {"score": active * 1.25, "max": 5.0}
 
    def _check_monitoring(self) -> dict:
        has_monitoring = self.config.get("ai_monitoring", False)
        has_alerting = self.config.get("ai_alerting", False)
        score = (int(has_monitoring) + int(has_alerting)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_ir(self) -> dict:
        has_playbook = self.config.get("ai_ir_playbook", False)
        return {"score": 5.0 if has_playbook else 0.0, "max": 5.0}
 
    def _check_training(self) -> dict:
        has_training = self.config.get("ai_security_training", False)
        return {"score": 5.0 if has_training else 0.0, "max": 5.0}

Toekomstige richtingen

Verschillende onderzoeks- en industrietrends zullen de evolutie van dit veld bepalen:

Formele methoden voor AI-veiligheid: Ontwikkeling van wiskundige frameworks die begrensde garanties kunnen bieden over modelgedrag onder adversarial omstandigheden
Geautomatiseerde red teaming op schaal: Voortdurende verbetering van geautomatiseerde testtools die nieuwe kwetsbaarheden kunnen ontdekken zonder menselijke begeleiding
AI-ondersteunde verdediging: AI-systemen gebruiken om aanvallen op andere AI-systemen te detecteren en erop te reageren, wat een dynamisch aanvals-verdedigings-ecosysteem creëert
Gestandaardiseerde evaluatie: Groeiende adoptie van gestandaardiseerde benchmarks (HarmBench, JailbreakBench) die consistente meting van voortgang mogelijk maken
Regelgevingsharmonisatie: Convergentie van AI-regelgevingskaders over jurisdicties heen, wat duidelijkere vereisten biedt voor organisaties

Referenties en verder lezen

OWASP LLM Top 10 2025 -- Uitgebreide gids voor LLM-security-risico's (owasp.org/www-project-top-10-for-large-language-model-applications)
MITRE ATLAS -- Adversarial Threat Landscape for AI Systems (atlas.mitre.org)
Zou et al. 2023 -- "Universal and Transferable Adversarial Attacks on Aligned Language Models"
Chao et al. 2023 -- "Jailbreaking Black-Box LLMs in Twenty Queries" (PAIR)
Garak (NVIDIA) -- LLM-kwetsbaarhedenscanner (github.com/NVIDIA/garak)

Knowledge Check

Wat is de meest effectieve defensieve strategie tegen de aanvalsklasse die in dit artikel wordt beschreven?

Knowledge Check

Waarom blijven de technieken die in dit artikel worden beschreven effectief ondanks doorlopende security-verbeteringen door modelproviders?

Index van aanvalstechnieken

Gerelateerde artikelen

Index van aanvalstechnieken

Gerelateerde artikelen