Catalogus van verdedigingsmechanismen

Gemiddeld17 min lezenBijgewerkt op 2026-03-20

Catalogus van verdedigingsmechanismen met effectiviteitsbeoordelingen per aanvalscategorie.

Overzicht

Catalogus van verdedigingsmechanismen met effectiviteitsbeoordelingen per aanvalscategorie.

Dit onderwerp vertegenwoordigt een cruciaal gebied binnen AI-beveiliging dat het onderwerp is geweest van veel onderzoek en praktijkmisbruik. De concepten, technieken en verdedigingsmaatregelen die hier behandeld worden, zijn essentieel voor iedereen die in AI-beveiliging werkt, zowel offensief als defensief.

Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models" biedt de fundamentele context voor de klasse van kwetsbaarheden die in dit artikel wordt onderzocht.

Kernconcepten

Grondbeginselen

De beveiligingsimplicaties van dit onderwerp komen voort uit fundamentele eigenschappen van hoe moderne taalmodellen worden ontworpen, getraind en uitgerold. Dit zijn geen geïsoleerde implementatiefouten, maar systemische kenmerken die in wisselende mate gelden voor alle transformer-gebaseerde taalmodellen.

Het begrijpen van deze fundamentele eigenschap is de sleutel om te snappen waarom de technieken in dit artikel werken en waarom ze effectief blijven ondanks voortdurende verbeteringen in veiligheidstraining. Veiligheidstraining voegt een gedragslaag toe die het minder waarschijnlijk maakt dat modellen overduidelijk schadelijke instructies opvolgen, maar die laag draait bovenop dezelfde architectuur en kan beïnvloed worden door dezelfde attention-mechanismen die legitieme input verwerken.

Technische verdieping

Het mechanisme achter deze klasse van kwetsbaarheden werkt op het snijvlak van instructieopvolging en bronauthenticatie. Tijdens training leren modellen instructies te volgen die in specifieke formaten en contexten worden gepresenteerd. Een aanvaller die adversarial content kan presenteren in een formaat dat overeenkomt met de aangeleerde instructieopvolgingspatronen van het model, kan modelgedrag met hoge betrouwbaarheid beïnvloeden.

from dataclasses import dataclass
from typing import Optional
import json
 
@dataclass
class SecurityAnalysis:
    """Framework voor het analyseren van beveiligingseigenschappen van LLM-systemen."""
    target: str
    model: str
    defenses: list
    vulnerabilities: list
 
    def assess_risk(self, attack_type: str) -> dict:
        """Beoordeel het risico voor een specifiek aanvalstype."""
        # Controleer of er verdedigingen zijn die dit aanvalstype dekken
        relevant_defenses = [
            d for d in self.defenses
            if attack_type in d.get("covers", [])
        ]
 
        # Risicofactoren
        likelihood = "high" if not relevant_defenses else "medium"
        impact = self._assess_impact(attack_type)
 
        return {
            "attack_type": attack_type,
            "likelihood": likelihood,
            "impact": impact,
            "defenses": len(relevant_defenses),
            "risk_level": self._calculate_risk(likelihood, impact),
        }
 
    def _assess_impact(self, attack_type: str) -> str:
        """Beoordeel de potentiële impact van een aanvalstype."""
        high_impact = ["data_exfiltration", "unauthorized_actions", "privilege_escalation"]
        return "high" if attack_type in high_impact else "medium"
 
    def _calculate_risk(self, likelihood: str, impact: str) -> str:
        """Bereken het totale risico op basis van waarschijnlijkheid en impact."""
        risk_matrix = {
            ("high", "high"): "critical",
            ("high", "medium"): "high",
            ("medium", "high"): "high",
            ("medium", "medium"): "medium",
        }
        return risk_matrix.get((likelihood, impact), "medium")
 
    def generate_report(self) -> str:
        """Genereer een rapport van de risicobeoordeling."""
        attacks = ["prompt_injection", "data_exfiltration", "unauthorized_actions"]
        assessments = [self.assess_risk(a) for a in attacks]
 
        report = f"# Risk Assessment: {self.target}\n\n"
        for assessment in assessments:
            report += (
                f"## {assessment['attack_type']}\n"
                f"- Risk: {assessment['risk_level']}\n"
                f"- Likelihood: {assessment['likelihood']}\n"
                f"- Impact: {assessment['impact']}\n"
                f"- Active defenses: {assessment['defenses']}\n\n"
            )
        return report

Analyse van het aanvalsoppervlak

Inzicht in het aanvalsoppervlak is essentieel voor zowel offensief als defensief werk:

Aanvalsvector	Toegangspunt	Typische impact	Verdedigingsaanpak
Directe injectie	Input van gebruikersberichten	Extractie van system prompts, veiligheidsbypass	Input-classificatie
Indirecte injectie	Externe databronnen (web, documenten, tools)	Data-exfiltratie, ongeautoriseerde acties	Data-sanitization
Misbruik van function calling	Injectie van tool-parameters	Ongeautoriseerde API-aanroepen, datatoegang	Tool-sandboxing
Geheugenmanipulatie	Gespreksgeschiedenis, persistent geheugen	Persistentie tussen sessies, valse context	Geheugenvalidatie
Contextmanipulatie	Beheer van het contextvenster	Overschrijven van instructieprioriteit	Contextisolatie

Praktische toepassing

Implementatieaanpak

Het toepassen van deze concepten in de praktijk vereist een systematische methodologie:

class PracticalFramework:
    """Praktisch framework om de concepten in dit artikel toe te passen."""
 
    def __init__(self, target_config: dict):
        self.config = target_config
        self.findings = []
        self.tested_vectors = set()
 
    def test_vector(self, vector: str, payload: str) -> dict:
        """Test een specifieke aanvalsvector tegen het doel."""
        self.tested_vectors.add(vector)
 
        # Stuur de payload
        response = self._send(payload)
 
        # Evalueer het resultaat
        finding = {
            "vector": vector,
            "payload_length": len(payload),
            "response_length": len(response),
            "success": self._evaluate(response),
            "defense_triggered": self._detect_defense(response),
        }
 
        if finding["success"]:
            self.findings.append(finding)
 
        return finding
 
    def coverage_report(self) -> dict:
        """Rapporteer de testdekking."""
        all_vectors = {
            "direct_injection", "indirect_injection", "function_abuse",
            "memory_manipulation", "context_manipulation",
        }
        return {
            "tested": list(self.tested_vectors),
            "untested": list(all_vectors - self.tested_vectors),
            "coverage": f"{len(self.tested_vectors)/len(all_vectors)*100:.0f}%",
            "findings": len(self.findings),
        }
 
    def _send(self, payload: str) -> str:
        """Stuur de payload naar het doel (implementatie verschilt per doel)."""
        pass
 
    def _evaluate(self, response: str) -> bool:
        """Evalueer of de aanval geslaagd is."""
        pass
 
    def _detect_defense(self, response: str) -> Optional[str]:
        """Detecteer welk verdedigingsmechanisme is getriggerd."""
        pass

Overwegingen voor verdediging

Inzicht in verdedigingsmaatregelen is net zo belangrijk:

Inputvalidatie: de eerste verdedigingslijn. Rol input-classifiers uit die binnenkomende prompts beoordelen op adversarial patronen voordat ze het model bereiken. Moderne classifiers combineren keyword-matching, regex-patronen en ML-gebaseerde detectie voor uitgebreide dekking.
Outputfiltering: het vangnet. Verwerk alle modeloutput na om datalekken van gevoelige gegevens, fragmenten van system prompts en andere beleidsovertredingen te detecteren en te verwijderen. Outputfilters moeten onafhankelijk zijn van inputfilters om defense-in-depth te bieden.
Gedragsmonitoring: de detectielaag. Monitor interactiepatronen van het model op anomalieën die op lopende aanvallen wijzen — ongebruikelijke request-patronen, herhaalde weigeringen of antwoordkenmerken die afwijken van baselinegedrag.
Architectuurontwerp: de basis. Ontwerp applicatiearchitecturen die het vertrouwen in modeloutput minimaliseren, least privilege afdwingen voor toolgebruik en duidelijke beveiligingsgrenzen tussen componenten handhaven.

Praktische relevantie

Deze concepten zijn direct toepasbaar op AI-systemen in productie in uiteenlopende sectoren. De volgende factoren maken dit onderwerp bijzonder relevant:

Alomtegenwoordigheid: de klasse van kwetsbaarheden treft alle grote modelaanbieders en deployment-configuraties
Impact: succesvol misbruik kan leiden tot datablootstelling, ongeautoriseerde acties en complianceovertredingen
Persistentie: de onderliggende architecturale eigenschappen zorgen ervoor dat deze technieken relevant blijven naarmate modellen evolueren
Regulering: opkomende regelgeving (EU AI Act, NIST AI RMF) vereist steeds vaker dat organisaties deze risico's beoordelen en mitigeren

Actueel onderzoek

Actief onderzoek op dit gebied omvat:

Formele robuustheidsgaranties: wiskundige frameworks ontwikkelen om modelgedrag onder begrensde adversarial perturbatie te bewijzen
Adversarial training op schaal: trainingsprocedures die modellen tijdens veiligheidstraining aan adversarial input blootstellen om de robuustheid te verbeteren
Verdediging gestuurd door interpretability: mechanistische interpretability gebruiken om te begrijpen waarom aanvallen op neuron-niveau slagen, wat gerichte verdediging mogelijk maakt
Gestandaardiseerde evaluatie: benchmarks zoals HarmBench en JailbreakBench die het mogelijk maken aanvals- en verdedigingseffectiviteit systematisch te meten

Overwegingen bij implementatie

Architectuurpatronen

Wanneer je systemen bouwt die met LLM's communiceren, beïnvloeden verschillende architectuurpatronen de beveiligingshouding van de hele applicatie:

Gateway-patroon: een dedicated API-gateway zit tussen gebruikers en het LLM en verzorgt authenticatie, rate limiting, inputvalidatie en outputfiltering. Dit centraliseert beveiligingscontroles, maar creëert een single point of failure.

from dataclasses import dataclass
from typing import Optional
import time
 
@dataclass
class SecurityGateway:
    """Gateway-patroon voor het beveiligen van toegang tot LLM-applicaties."""
 
    input_classifier: object  # ML-gebaseerde input-classifier
    output_filter: object     # Outputcontentfilter
    rate_limiter: object      # Rate-limitingservice
    audit_logger: object      # Audit-traillogger
 
    def process_request(self, user_id: str, message: str, session_id: str) -> dict:
        """Verwerk een request via alle beveiligingslagen."""
        request_id = self._generate_request_id()
 
        # Laag 1: rate limiting
        if not self.rate_limiter.allow(user_id):
            self.audit_logger.log(request_id, "rate_limited", user_id)
            return {"error": "Rate limit exceeded", "retry_after": 60}
 
        # Laag 2: input-classificatie
        classification = self.input_classifier.classify(message)
        if classification.is_adversarial:
            self.audit_logger.log(
                request_id, "input_blocked",
                user_id, classification.category
            )
            return {"error": "Request could not be processed"}
 
        # Laag 3: LLM-verwerking
        response = self._call_llm(message, session_id)
 
        # Laag 4: outputfiltering
        filtered = self.output_filter.filter(response)
        if filtered.was_modified:
            self.audit_logger.log(
                request_id, "output_filtered",
                user_id, filtered.reason
            )
 
        # Laag 5: audit-logging
        self.audit_logger.log(
            request_id, "completed",
            user_id, len(message), len(filtered.content)
        )
 
        return {"response": filtered.content}
 
    def _generate_request_id(self) -> str:
        import uuid
        return str(uuid.uuid4())
 
    def _call_llm(self, message: str, session_id: str) -> str:
        # Implementatie van de LLM-API-aanroep
        pass

Sidecar-patroon: beveiligingscomponenten draaien naast het LLM als onafhankelijke services, elk verantwoordelijk voor een specifiek beveiligingsaspect. Dit biedt betere isolatie en onafhankelijke schaalbaarheid, maar verhoogt de systeemcomplexiteit.

Mesh-patroon: bij multi-agent-systemen heeft elke agent zijn eigen beveiligingsperimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trust-principes.

Gevolgen voor prestaties

Beveiligingsmaatregelen voegen onvermijdelijk latency en rekenkosten toe. Inzicht in deze afwegingen is essentieel voor productie-implementaties:

Beveiligingslaag	Typische latency	Rekenkosten	Impact op UX
Keyword-filter	<1ms	Verwaarloosbaar	Geen
Regex-filter	1-5ms	Laag	Geen
ML-classifier (klein)	10-50ms	Gemiddeld	Minimaal
ML-classifier (groot)	50-200ms	Hoog	Merkbaar
LLM-as-judge	500-2000ms	Zeer hoog	Significant
Volledige pipeline	100-500ms	Hoog	Gemiddeld

De aanbevolen aanpak is eerst snelle, lichte checks (keyword- en regex-filters) toepassen om voor de hand liggende aanvallen op te vangen, en pas daarna duurdere ML-gebaseerde analyse uit te voeren op input die de eerste filters passeert. Deze cascade biedt goede beveiliging met acceptabele prestaties.

Monitoring en observability

Effectieve beveiligingsmonitoring voor LLM-applicaties vereist het bijhouden van metrics die adversarial gedragspatronen vastleggen:

from dataclasses import dataclass
from collections import defaultdict
import time
 
@dataclass
class SecurityMetrics:
    """Houd beveiligingsrelevante metrics bij voor LLM-applicaties."""
 
    # Counters
    total_requests: int = 0
    blocked_requests: int = 0
    filtered_outputs: int = 0
    anomalous_sessions: int = 0
 
    # Rate tracking
    _request_times: list = None
    _block_times: list = None
 
    def __post_init__(self):
        self._request_times = []
        self._block_times = []
 
    def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
        """Registreer een request en de afhandeling ervan."""
        now = time.time()
        self.total_requests += 1
        self._request_times.append(now)
 
        if was_blocked:
            self.blocked_requests += 1
            self._block_times.append(now)
 
        if was_filtered:
            self.filtered_outputs += 1
 
    def get_block_rate(self, window_seconds: int = 300) -> float:
        """Bereken het blokkeerpercentage over een tijdvenster."""
        now = time.time()
        cutoff = now - window_seconds
        recent_requests = sum(1 for t in self._request_times if t > cutoff)
        recent_blocks = sum(1 for t in self._block_times if t > cutoff)
        if recent_requests == 0:
            return 0.0
        return recent_blocks / recent_requests
 
    def should_alert(self) -> bool:
        """Bepaal of de huidige metrics een alert rechtvaardigen."""
        block_rate = self.get_block_rate()
        # Geef een alert als het blokkeerpercentage de drempel overschrijdt
        if block_rate > 0.3:  # >30% van de requests geblokkeerd in de laatste 5 min
            return True
        return False

Beveiligingstesten in CI/CD

AI-beveiligingstesten integreren in de ontwikkelpipeline vangt regressies op voordat ze de productie bereiken:

Tests op unit-niveau: test afzonderlijke beveiligingscomponenten (classifiers, filters) tegen bekende payloads
Integratietesten: test de volledige beveiligingspipeline end-to-end
Regressietesten: onderhoud een suite van eerder ontdekte aanvals-payloads en controleer of die geblokkeerd blijven
Adversarial tests: draai periodiek geautomatiseerde red team-tools (Garak, Promptfoo) als onderdeel van de deploymentpipeline

Opkomende trends

Actuele onderzoeksrichtingen

Het vakgebied LLM-beveiliging ontwikkelt zich snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk gaan vormen, zijn onder meer:

Formele verificatie van LLM-gedrag: onderzoekers verkennen wiskundige frameworks om eigenschappen van modelgedrag onder adversarial omstandigheden te bewijzen. Volledige formele verificatie van neurale netwerken blijft onhaalbaar, maar begrensde verificatie van specifieke eigenschappen is veelbelovend.
Adversarial training voor LLM-robuustheid: naast standaard-RLHF werken onderzoekers aan trainingsprocedures die modellen tijdens veiligheidstraining expliciet aan adversarial input blootstellen, waardoor de robuustheid tegen bekende aanvalspatronen verbetert.
Verdediging gestuurd door interpretability: onderzoek naar mechanistische interpretability stelt verdedigers in staat te begrijpen waarom specifieke aanvallen op neuron- en circuit-niveau slagen, wat gerichtere verdedigingsmaatregelen mogelijk maakt.
Multi-agent-beveiliging: nu LLM-agents steeds gangbaarder worden, is het beveiligen van communicatie tussen agents en het handhaven van vertrouwensgrenzen in agentsystemen een actief onderzoeksgebied met grote praktische implicaties.
Geautomatiseerde redteaming op schaal: tools zoals NVIDIA's Garak, Microsoft's PyRIT en het Inspect-framework van UK AISI maken geautomatiseerde beveiligingstesten op voorheen onmogelijke schaal mogelijk, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.

De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-beveiligingspraktijken bepalen.

Geavanceerde overwegingen

Een evoluerend aanvalslandschap

Het AI-beveiligingslandschap evolueert snel naarmate zowel offensieve technieken als verdedigingsmaatregelen vorderen. Een aantal trends bepaalt de huidige stand van zaken:

Toenemende modelmogelijkheden creëren nieuwe aanvalsoppervlakken. Naarmate modellen toegang krijgen tot tools, code-uitvoering, webbrowsen en computer use, introduceert elke nieuwe mogelijkheid potentiële misbruikvectoren die in eerdere, alleen-tekst-systemen niet bestonden. Het principe van least privilege wordt steeds belangrijker naarmate modelmogelijkheden uitbreiden.

Verbeteringen in veiligheidstraining zijn noodzakelijk maar niet voldoende. Modelaanbieders investeren fors in veiligheidstraining via RLHF, DPO, constitutional AI en andere alignment-technieken. Deze verbeteringen leggen de lat hoger voor geslaagde aanvallen, maar elimineren de fundamentele kwetsbaarheid niet: modellen kunnen legitieme en adversarial instructies niet betrouwbaar onderscheiden omdat dit onderscheid niet in de architectuur is verankerd.

Geautomatiseerde redteaming-tools democratiseren het testen. Tools zoals NVIDIA's Garak, Microsoft's PyRIT en Promptfoo stellen organisaties in staat geautomatiseerd beveiligingstesten uit te voeren zonder diepgaande AI-beveiligingsexpertise. Geautomatiseerde tools vangen echter bekende patronen op; nieuwe aanvallen en kwetsbaarheden in bedrijfslogica vragen nog steeds om menselijke creativiteit en domeinkennis.

Regulatoire druk stimuleert investeringen door organisaties. De EU AI Act, NIST AI RMF en sectorspecifieke regelgeving vereisen steeds vaker dat organisaties AI-specifieke risico's beoordelen en mitigeren. Deze regulatoire druk stuwt investeringen in AI-beveiligingsprogramma's, maar veel organisaties staan nog aan het begin van het opbouwen van volwassen AI-beveiligingspraktijken.

Overkoepelende beveiligingsprincipes

Verschillende beveiligingsprincipes gelden voor alle onderwerpen in dit curriculum:

Defense-in-depth: geen enkele verdedigingsmaatregel volstaat. Stapel meerdere onafhankelijke verdedigingen zodat het falen van één laag niet leidt tot systeemcompromittering. Input-classificatie, outputfiltering, gedragsmonitoring en architecturale controles horen er allemaal te zijn.
Ga uit van een breach: ontwerp systemen vanuit de aanname dat elke afzonderlijke component gecompromitteerd kan worden. Deze mindset leidt tot betere isolatie, monitoring en incidentresponsmogelijkheden. Als een prompt injection slaagt, moet de blast radius via architecturale controles geminimaliseerd zijn.
Least privilege: geef modellen en agents alleen de minimale mogelijkheden die ze nodig hebben voor hun beoogde functie. Een klantenservice-chatbot heeft geen bestandssysteemtoegang of code-uitvoering nodig. Overmatige mogelijkheden vergroten de impact van geslaagd misbruik.
Continu testen: AI-beveiliging is geen eenmalige beoordeling. Modellen veranderen, verdedigingen evolueren en regelmatig worden nieuwe aanvalstechnieken ontdekt. Implementeer continue beveiligingstesten als onderdeel van de ontwikkel- en deployment-lifecycle.
Secure by default: standaardconfiguraties moeten veilig zijn. Vereis expliciete opt-in voor risicovolle mogelijkheden, gebruik allowlists in plaats van denylists en kies bij twijfel voor restrictie boven permissiviteit.

Integratie met organisatiebrede beveiliging

AI-beveiliging staat niet op zichzelf — ze moet integreren met het bredere beveiligingsprogramma van de organisatie:

Beveiligingsdomein	AI-specifieke integratie
Identity & Access	Beheer van API-keys, toegangscontroles voor modellen, gebruikersauthenticatie voor AI-functies
Data Protection	Classificatie van trainingsdata, PII in prompts, data residency voor modelaanroepen
Application Security	Dreigingsmodellering voor AI-functies, prompt injection in SAST/DAST, secure AI-designpatronen
Incident Response	AI-specifieke playbooks, monitoring van modelgedrag, forensisch onderzoek bij prompt injection
Compliance	AI-regelgevingsmapping (EU AI Act, NIST), AI-audittrails, modeldocumentatie
Supply Chain	Modelherkomst, dependencybeveiliging, integriteitsverificatie van adapters/weights

class OrganizationalIntegration:
    """Framework om AI-beveiliging te integreren met organisatiebrede beveiligingsprogramma's."""
 
    def __init__(self, org_config: dict):
        self.config = org_config
        self.gaps = []
 
    def assess_maturity(self) -> dict:
        """Beoordeel de volwassenheid van de AI-beveiliging van de organisatie."""
        domains = {
            "governance": self._check_governance(),
            "technical_controls": self._check_technical(),
            "monitoring": self._check_monitoring(),
            "incident_response": self._check_ir(),
            "training": self._check_training(),
        }
        overall = sum(d["score"] for d in domains.values()) / len(domains)
        return {"domains": domains, "overall_maturity": round(overall, 1)}
 
    def _check_governance(self) -> dict:
        has_policy = self.config.get("ai_security_policy", False)
        has_framework = self.config.get("risk_framework", False)
        score = (int(has_policy) + int(has_framework)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_technical(self) -> dict:
        controls = ["input_classification", "output_filtering", "rate_limiting", "sandboxing"]
        active = sum(1 for c in controls if self.config.get(c, False))
        return {"score": active * 1.25, "max": 5.0}
 
    def _check_monitoring(self) -> dict:
        has_monitoring = self.config.get("ai_monitoring", False)
        has_alerting = self.config.get("ai_alerting", False)
        score = (int(has_monitoring) + int(has_alerting)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_ir(self) -> dict:
        has_playbook = self.config.get("ai_ir_playbook", False)
        return {"score": 5.0 if has_playbook else 0.0, "max": 5.0}
 
    def _check_training(self) -> dict:
        has_training = self.config.get("ai_security_training", False)
        return {"score": 5.0 if has_training else 0.0, "max": 5.0}

Toekomstige richtingen

Verschillende onderzoeks- en industrietrends bepalen de evolutie van dit vakgebied:

Formele methoden voor AI-veiligheid: ontwikkeling van wiskundige frameworks die begrensde garanties kunnen geven over modelgedrag onder adversarial omstandigheden
Geautomatiseerde redteaming op schaal: voortgaande verbetering van geautomatiseerde testtools die zonder menselijke sturing nieuwe kwetsbaarheden kunnen ontdekken
AI-ondersteunde verdediging: AI-systemen inzetten om aanvallen op andere AI-systemen te detecteren en erop te reageren, wat een dynamisch aanvals-verdedigingsecosysteem creëert
Gestandaardiseerde evaluatie: groeiende adoptie van gestandaardiseerde benchmarks (HarmBench, JailbreakBench) die consistente meting van voortgang mogelijk maken
Regulatoire harmonisatie: convergentie van AI-regelgevingsframeworks over jurisdicties heen, met duidelijkere vereisten voor organisaties

Referenties en verdere lectuur

OWASP LLM Top 10 2025 — Uitgebreide gids voor LLM-beveiligingsrisico's (owasp.org/www-project-top-10-for-large-language-model-applications)
MITRE ATLAS — Adversarial Threat Landscape for AI Systems (atlas.mitre.org)
Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models"
Chao et al. 2023 — "Jailbreaking Black-Box LLMs in Twenty Queries" (PAIR)
Garak (NVIDIA) — LLM-kwetsbaarheidsscanner (github.com/NVIDIA/garak)

Knowledge Check

Wat is de effectiefste verdedigingsstrategie tegen de aanvalsklasse die in dit artikel wordt beschreven?

Knowledge Check

Waarom blijven de technieken die in dit artikel worden beschreven effectief ondanks voortdurende beveiligingsverbeteringen door modelaanbieders?

Catalogus van verdedigingsmechanismen

Gemiddeld17 min lezenBijgewerkt op 2026-03-20

Catalogus van verdedigingsmechanismen met effectiviteitsbeoordelingen per aanvalscategorie.

mechanism references catalog defense

Overzicht

Catalogus van verdedigingsmechanismen met effectiviteitsbeoordelingen per aanvalscategorie.

Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models" biedt de fundamentele context voor de klasse van kwetsbaarheden die in dit artikel wordt onderzocht.

Kernconcepten

Grondbeginselen

Technische verdieping

from dataclasses import dataclass
from typing import Optional
import json
 
@dataclass
class SecurityAnalysis:
    """Framework voor het analyseren van beveiligingseigenschappen van LLM-systemen."""
    target: str
    model: str
    defenses: list
    vulnerabilities: list
 
    def assess_risk(self, attack_type: str) -> dict:
        """Beoordeel het risico voor een specifiek aanvalstype."""
        # Controleer of er verdedigingen zijn die dit aanvalstype dekken
        relevant_defenses = [
            d for d in self.defenses
            if attack_type in d.get("covers", [])
        ]
 
        # Risicofactoren
        likelihood = "high" if not relevant_defenses else "medium"
        impact = self._assess_impact(attack_type)
 
        return {
            "attack_type": attack_type,
            "likelihood": likelihood,
            "impact": impact,
            "defenses": len(relevant_defenses),
            "risk_level": self._calculate_risk(likelihood, impact),
        }
 
    def _assess_impact(self, attack_type: str) -> str:
        """Beoordeel de potentiële impact van een aanvalstype."""
        high_impact = ["data_exfiltration", "unauthorized_actions", "privilege_escalation"]
        return "high" if attack_type in high_impact else "medium"
 
    def _calculate_risk(self, likelihood: str, impact: str) -> str:
        """Bereken het totale risico op basis van waarschijnlijkheid en impact."""
        risk_matrix = {
            ("high", "high"): "critical",
            ("high", "medium"): "high",
            ("medium", "high"): "high",
            ("medium", "medium"): "medium",
        }
        return risk_matrix.get((likelihood, impact), "medium")
 
    def generate_report(self) -> str:
        """Genereer een rapport van de risicobeoordeling."""
        attacks = ["prompt_injection", "data_exfiltration", "unauthorized_actions"]
        assessments = [self.assess_risk(a) for a in attacks]
 
        report = f"# Risk Assessment: {self.target}\n\n"
        for assessment in assessments:
            report += (
                f"## {assessment['attack_type']}\n"
                f"- Risk: {assessment['risk_level']}\n"
                f"- Likelihood: {assessment['likelihood']}\n"
                f"- Impact: {assessment['impact']}\n"
                f"- Active defenses: {assessment['defenses']}\n\n"
            )
        return report

Analyse van het aanvalsoppervlak

Inzicht in het aanvalsoppervlak is essentieel voor zowel offensief als defensief werk:

Aanvalsvector	Toegangspunt	Typische impact	Verdedigingsaanpak
Directe injectie	Input van gebruikersberichten	Extractie van system prompts, veiligheidsbypass	Input-classificatie
Indirecte injectie	Externe databronnen (web, documenten, tools)	Data-exfiltratie, ongeautoriseerde acties	Data-sanitization
Misbruik van function calling	Injectie van tool-parameters	Ongeautoriseerde API-aanroepen, datatoegang	Tool-sandboxing
Geheugenmanipulatie	Gespreksgeschiedenis, persistent geheugen	Persistentie tussen sessies, valse context	Geheugenvalidatie
Contextmanipulatie	Beheer van het contextvenster	Overschrijven van instructieprioriteit	Contextisolatie

Praktische toepassing

Implementatieaanpak

Het toepassen van deze concepten in de praktijk vereist een systematische methodologie:

class PracticalFramework:
    """Praktisch framework om de concepten in dit artikel toe te passen."""
 
    def __init__(self, target_config: dict):
        self.config = target_config
        self.findings = []
        self.tested_vectors = set()
 
    def test_vector(self, vector: str, payload: str) -> dict:
        """Test een specifieke aanvalsvector tegen het doel."""
        self.tested_vectors.add(vector)
 
        # Stuur de payload
        response = self._send(payload)
 
        # Evalueer het resultaat
        finding = {
            "vector": vector,
            "payload_length": len(payload),
            "response_length": len(response),
            "success": self._evaluate(response),
            "defense_triggered": self._detect_defense(response),
        }
 
        if finding["success"]:
            self.findings.append(finding)
 
        return finding
 
    def coverage_report(self) -> dict:
        """Rapporteer de testdekking."""
        all_vectors = {
            "direct_injection", "indirect_injection", "function_abuse",
            "memory_manipulation", "context_manipulation",
        }
        return {
            "tested": list(self.tested_vectors),
            "untested": list(all_vectors - self.tested_vectors),
            "coverage": f"{len(self.tested_vectors)/len(all_vectors)*100:.0f}%",
            "findings": len(self.findings),
        }
 
    def _send(self, payload: str) -> str:
        """Stuur de payload naar het doel (implementatie verschilt per doel)."""
        pass
 
    def _evaluate(self, response: str) -> bool:
        """Evalueer of de aanval geslaagd is."""
        pass
 
    def _detect_defense(self, response: str) -> Optional[str]:
        """Detecteer welk verdedigingsmechanisme is getriggerd."""
        pass

Overwegingen voor verdediging

Inzicht in verdedigingsmaatregelen is net zo belangrijk:

Inputvalidatie: de eerste verdedigingslijn. Rol input-classifiers uit die binnenkomende prompts beoordelen op adversarial patronen voordat ze het model bereiken. Moderne classifiers combineren keyword-matching, regex-patronen en ML-gebaseerde detectie voor uitgebreide dekking.
Outputfiltering: het vangnet. Verwerk alle modeloutput na om datalekken van gevoelige gegevens, fragmenten van system prompts en andere beleidsovertredingen te detecteren en te verwijderen. Outputfilters moeten onafhankelijk zijn van inputfilters om defense-in-depth te bieden.
Gedragsmonitoring: de detectielaag. Monitor interactiepatronen van het model op anomalieën die op lopende aanvallen wijzen — ongebruikelijke request-patronen, herhaalde weigeringen of antwoordkenmerken die afwijken van baselinegedrag.
Architectuurontwerp: de basis. Ontwerp applicatiearchitecturen die het vertrouwen in modeloutput minimaliseren, least privilege afdwingen voor toolgebruik en duidelijke beveiligingsgrenzen tussen componenten handhaven.

Praktische relevantie

Deze concepten zijn direct toepasbaar op AI-systemen in productie in uiteenlopende sectoren. De volgende factoren maken dit onderwerp bijzonder relevant:

Alomtegenwoordigheid: de klasse van kwetsbaarheden treft alle grote modelaanbieders en deployment-configuraties
Impact: succesvol misbruik kan leiden tot datablootstelling, ongeautoriseerde acties en complianceovertredingen
Persistentie: de onderliggende architecturale eigenschappen zorgen ervoor dat deze technieken relevant blijven naarmate modellen evolueren
Regulering: opkomende regelgeving (EU AI Act, NIST AI RMF) vereist steeds vaker dat organisaties deze risico's beoordelen en mitigeren

Actueel onderzoek

Actief onderzoek op dit gebied omvat:

Formele robuustheidsgaranties: wiskundige frameworks ontwikkelen om modelgedrag onder begrensde adversarial perturbatie te bewijzen
Adversarial training op schaal: trainingsprocedures die modellen tijdens veiligheidstraining aan adversarial input blootstellen om de robuustheid te verbeteren
Verdediging gestuurd door interpretability: mechanistische interpretability gebruiken om te begrijpen waarom aanvallen op neuron-niveau slagen, wat gerichte verdediging mogelijk maakt
Gestandaardiseerde evaluatie: benchmarks zoals HarmBench en JailbreakBench die het mogelijk maken aanvals- en verdedigingseffectiviteit systematisch te meten

Overwegingen bij implementatie

Architectuurpatronen

Wanneer je systemen bouwt die met LLM's communiceren, beïnvloeden verschillende architectuurpatronen de beveiligingshouding van de hele applicatie:

from dataclasses import dataclass
from typing import Optional
import time
 
@dataclass
class SecurityGateway:
    """Gateway-patroon voor het beveiligen van toegang tot LLM-applicaties."""
 
    input_classifier: object  # ML-gebaseerde input-classifier
    output_filter: object     # Outputcontentfilter
    rate_limiter: object      # Rate-limitingservice
    audit_logger: object      # Audit-traillogger
 
    def process_request(self, user_id: str, message: str, session_id: str) -> dict:
        """Verwerk een request via alle beveiligingslagen."""
        request_id = self._generate_request_id()
 
        # Laag 1: rate limiting
        if not self.rate_limiter.allow(user_id):
            self.audit_logger.log(request_id, "rate_limited", user_id)
            return {"error": "Rate limit exceeded", "retry_after": 60}
 
        # Laag 2: input-classificatie
        classification = self.input_classifier.classify(message)
        if classification.is_adversarial:
            self.audit_logger.log(
                request_id, "input_blocked",
                user_id, classification.category
            )
            return {"error": "Request could not be processed"}
 
        # Laag 3: LLM-verwerking
        response = self._call_llm(message, session_id)
 
        # Laag 4: outputfiltering
        filtered = self.output_filter.filter(response)
        if filtered.was_modified:
            self.audit_logger.log(
                request_id, "output_filtered",
                user_id, filtered.reason
            )
 
        # Laag 5: audit-logging
        self.audit_logger.log(
            request_id, "completed",
            user_id, len(message), len(filtered.content)
        )
 
        return {"response": filtered.content}
 
    def _generate_request_id(self) -> str:
        import uuid
        return str(uuid.uuid4())
 
    def _call_llm(self, message: str, session_id: str) -> str:
        # Implementatie van de LLM-API-aanroep
        pass

Mesh-patroon: bij multi-agent-systemen heeft elke agent zijn eigen beveiligingsperimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trust-principes.

Gevolgen voor prestaties

Beveiligingsmaatregelen voegen onvermijdelijk latency en rekenkosten toe. Inzicht in deze afwegingen is essentieel voor productie-implementaties:

Beveiligingslaag	Typische latency	Rekenkosten	Impact op UX
Keyword-filter	<1ms	Verwaarloosbaar	Geen
Regex-filter	1-5ms	Laag	Geen
ML-classifier (klein)	10-50ms	Gemiddeld	Minimaal
ML-classifier (groot)	50-200ms	Hoog	Merkbaar
LLM-as-judge	500-2000ms	Zeer hoog	Significant
Volledige pipeline	100-500ms	Hoog	Gemiddeld

Monitoring en observability

Effectieve beveiligingsmonitoring voor LLM-applicaties vereist het bijhouden van metrics die adversarial gedragspatronen vastleggen:

from dataclasses import dataclass
from collections import defaultdict
import time
 
@dataclass
class SecurityMetrics:
    """Houd beveiligingsrelevante metrics bij voor LLM-applicaties."""
 
    # Counters
    total_requests: int = 0
    blocked_requests: int = 0
    filtered_outputs: int = 0
    anomalous_sessions: int = 0
 
    # Rate tracking
    _request_times: list = None
    _block_times: list = None
 
    def __post_init__(self):
        self._request_times = []
        self._block_times = []
 
    def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
        """Registreer een request en de afhandeling ervan."""
        now = time.time()
        self.total_requests += 1
        self._request_times.append(now)
 
        if was_blocked:
            self.blocked_requests += 1
            self._block_times.append(now)
 
        if was_filtered:
            self.filtered_outputs += 1
 
    def get_block_rate(self, window_seconds: int = 300) -> float:
        """Bereken het blokkeerpercentage over een tijdvenster."""
        now = time.time()
        cutoff = now - window_seconds
        recent_requests = sum(1 for t in self._request_times if t > cutoff)
        recent_blocks = sum(1 for t in self._block_times if t > cutoff)
        if recent_requests == 0:
            return 0.0
        return recent_blocks / recent_requests
 
    def should_alert(self) -> bool:
        """Bepaal of de huidige metrics een alert rechtvaardigen."""
        block_rate = self.get_block_rate()
        # Geef een alert als het blokkeerpercentage de drempel overschrijdt
        if block_rate > 0.3:  # >30% van de requests geblokkeerd in de laatste 5 min
            return True
        return False

Beveiligingstesten in CI/CD

AI-beveiligingstesten integreren in de ontwikkelpipeline vangt regressies op voordat ze de productie bereiken:

Tests op unit-niveau: test afzonderlijke beveiligingscomponenten (classifiers, filters) tegen bekende payloads
Integratietesten: test de volledige beveiligingspipeline end-to-end
Regressietesten: onderhoud een suite van eerder ontdekte aanvals-payloads en controleer of die geblokkeerd blijven
Adversarial tests: draai periodiek geautomatiseerde red team-tools (Garak, Promptfoo) als onderdeel van de deploymentpipeline

Opkomende trends

Actuele onderzoeksrichtingen

Het vakgebied LLM-beveiliging ontwikkelt zich snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk gaan vormen, zijn onder meer:

Formele verificatie van LLM-gedrag: onderzoekers verkennen wiskundige frameworks om eigenschappen van modelgedrag onder adversarial omstandigheden te bewijzen. Volledige formele verificatie van neurale netwerken blijft onhaalbaar, maar begrensde verificatie van specifieke eigenschappen is veelbelovend.
Adversarial training voor LLM-robuustheid: naast standaard-RLHF werken onderzoekers aan trainingsprocedures die modellen tijdens veiligheidstraining expliciet aan adversarial input blootstellen, waardoor de robuustheid tegen bekende aanvalspatronen verbetert.
Verdediging gestuurd door interpretability: onderzoek naar mechanistische interpretability stelt verdedigers in staat te begrijpen waarom specifieke aanvallen op neuron- en circuit-niveau slagen, wat gerichtere verdedigingsmaatregelen mogelijk maakt.
Multi-agent-beveiliging: nu LLM-agents steeds gangbaarder worden, is het beveiligen van communicatie tussen agents en het handhaven van vertrouwensgrenzen in agentsystemen een actief onderzoeksgebied met grote praktische implicaties.
Geautomatiseerde redteaming op schaal: tools zoals NVIDIA's Garak, Microsoft's PyRIT en het Inspect-framework van UK AISI maken geautomatiseerde beveiligingstesten op voorheen onmogelijke schaal mogelijk, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.

De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-beveiligingspraktijken bepalen.

Geavanceerde overwegingen

Een evoluerend aanvalslandschap

Het AI-beveiligingslandschap evolueert snel naarmate zowel offensieve technieken als verdedigingsmaatregelen vorderen. Een aantal trends bepaalt de huidige stand van zaken:

Overkoepelende beveiligingsprincipes

Verschillende beveiligingsprincipes gelden voor alle onderwerpen in dit curriculum:

Defense-in-depth: geen enkele verdedigingsmaatregel volstaat. Stapel meerdere onafhankelijke verdedigingen zodat het falen van één laag niet leidt tot systeemcompromittering. Input-classificatie, outputfiltering, gedragsmonitoring en architecturale controles horen er allemaal te zijn.
Ga uit van een breach: ontwerp systemen vanuit de aanname dat elke afzonderlijke component gecompromitteerd kan worden. Deze mindset leidt tot betere isolatie, monitoring en incidentresponsmogelijkheden. Als een prompt injection slaagt, moet de blast radius via architecturale controles geminimaliseerd zijn.
Least privilege: geef modellen en agents alleen de minimale mogelijkheden die ze nodig hebben voor hun beoogde functie. Een klantenservice-chatbot heeft geen bestandssysteemtoegang of code-uitvoering nodig. Overmatige mogelijkheden vergroten de impact van geslaagd misbruik.
Continu testen: AI-beveiliging is geen eenmalige beoordeling. Modellen veranderen, verdedigingen evolueren en regelmatig worden nieuwe aanvalstechnieken ontdekt. Implementeer continue beveiligingstesten als onderdeel van de ontwikkel- en deployment-lifecycle.
Secure by default: standaardconfiguraties moeten veilig zijn. Vereis expliciete opt-in voor risicovolle mogelijkheden, gebruik allowlists in plaats van denylists en kies bij twijfel voor restrictie boven permissiviteit.

Integratie met organisatiebrede beveiliging

AI-beveiliging staat niet op zichzelf — ze moet integreren met het bredere beveiligingsprogramma van de organisatie:

Beveiligingsdomein	AI-specifieke integratie
Identity & Access	Beheer van API-keys, toegangscontroles voor modellen, gebruikersauthenticatie voor AI-functies
Data Protection	Classificatie van trainingsdata, PII in prompts, data residency voor modelaanroepen
Application Security	Dreigingsmodellering voor AI-functies, prompt injection in SAST/DAST, secure AI-designpatronen
Incident Response	AI-specifieke playbooks, monitoring van modelgedrag, forensisch onderzoek bij prompt injection
Compliance	AI-regelgevingsmapping (EU AI Act, NIST), AI-audittrails, modeldocumentatie
Supply Chain	Modelherkomst, dependencybeveiliging, integriteitsverificatie van adapters/weights

class OrganizationalIntegration:
    """Framework om AI-beveiliging te integreren met organisatiebrede beveiligingsprogramma's."""
 
    def __init__(self, org_config: dict):
        self.config = org_config
        self.gaps = []
 
    def assess_maturity(self) -> dict:
        """Beoordeel de volwassenheid van de AI-beveiliging van de organisatie."""
        domains = {
            "governance": self._check_governance(),
            "technical_controls": self._check_technical(),
            "monitoring": self._check_monitoring(),
            "incident_response": self._check_ir(),
            "training": self._check_training(),
        }
        overall = sum(d["score"] for d in domains.values()) / len(domains)
        return {"domains": domains, "overall_maturity": round(overall, 1)}
 
    def _check_governance(self) -> dict:
        has_policy = self.config.get("ai_security_policy", False)
        has_framework = self.config.get("risk_framework", False)
        score = (int(has_policy) + int(has_framework)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_technical(self) -> dict:
        controls = ["input_classification", "output_filtering", "rate_limiting", "sandboxing"]
        active = sum(1 for c in controls if self.config.get(c, False))
        return {"score": active * 1.25, "max": 5.0}
 
    def _check_monitoring(self) -> dict:
        has_monitoring = self.config.get("ai_monitoring", False)
        has_alerting = self.config.get("ai_alerting", False)
        score = (int(has_monitoring) + int(has_alerting)) * 2.5
        return {"score": score, "max": 5.0}
 
    def _check_ir(self) -> dict:
        has_playbook = self.config.get("ai_ir_playbook", False)
        return {"score": 5.0 if has_playbook else 0.0, "max": 5.0}
 
    def _check_training(self) -> dict:
        has_training = self.config.get("ai_security_training", False)
        return {"score": 5.0 if has_training else 0.0, "max": 5.0}

Toekomstige richtingen

Verschillende onderzoeks- en industrietrends bepalen de evolutie van dit vakgebied:

Formele methoden voor AI-veiligheid: ontwikkeling van wiskundige frameworks die begrensde garanties kunnen geven over modelgedrag onder adversarial omstandigheden
Geautomatiseerde redteaming op schaal: voortgaande verbetering van geautomatiseerde testtools die zonder menselijke sturing nieuwe kwetsbaarheden kunnen ontdekken
AI-ondersteunde verdediging: AI-systemen inzetten om aanvallen op andere AI-systemen te detecteren en erop te reageren, wat een dynamisch aanvals-verdedigingsecosysteem creëert
Gestandaardiseerde evaluatie: groeiende adoptie van gestandaardiseerde benchmarks (HarmBench, JailbreakBench) die consistente meting van voortgang mogelijk maken
Regulatoire harmonisatie: convergentie van AI-regelgevingsframeworks over jurisdicties heen, met duidelijkere vereisten voor organisaties

Referenties en verdere lectuur

OWASP LLM Top 10 2025 — Uitgebreide gids voor LLM-beveiligingsrisico's (owasp.org/www-project-top-10-for-large-language-model-applications)
MITRE ATLAS — Adversarial Threat Landscape for AI Systems (atlas.mitre.org)
Zou et al. 2023 — "Universal and Transferable Adversarial Attacks on Aligned Language Models"
Chao et al. 2023 — "Jailbreaking Black-Box LLMs in Twenty Queries" (PAIR)
Garak (NVIDIA) — LLM-kwetsbaarheidsscanner (github.com/NVIDIA/garak)

Knowledge Check

Wat is de effectiefste verdedigingsstrategie tegen de aanvalsklasse die in dit artikel wordt beschreven?

Knowledge Check

Waarom blijven de technieken die in dit artikel worden beschreven effectief ondanks voortdurende beveiligingsverbeteringen door modelaanbieders?

Catalogus van verdedigingsmechanismen

Gerelateerde artikelen

Catalogus van verdedigingsmechanismen

Gerelateerde artikelen