Generatieve kunstmatige intelligentie (KI) verandert niet alleen de manier waarop bedrijven programmeren, processen automatiseren of klantcontact vormen, maar beïnvloedt ook de snelheid, schaal en aard van cyberaanvallen. Gartner heeft vier belangrijke bedreigingen geïdentificeerd die dringend aandacht vereisen van cybersecurityverantwoordelijken: de kwetsbaarheden van KI-toepassingen, identiteitsjokken met deepfakes, prompt-injectie en aanvallen op de softwareleveringsketen.
Deze diagnose is cruciaal omdat ze de problemen buiten de commerciële ruis rond KI-beveiliging plaatsen. Het gaat niet alleen om het toevoegen van een extra tool aan het Security Operations Center (SOC) of het verbieden van het gebruik van ChatGPT binnen een organisatie. Het aanvalsspectrum verschuift naar generatieve toepassingen die verbonden zijn met interne gegevens, agents met actiecapaciteit, digitale bijeenkomsten waarbij niet altijd op een stem of beeld vertrouwd kan worden, en ontwikkelpipelines die steeds meer afhankelijk zijn van externe componenten.
John Watts, vicepresident en analist bij Gartner, vat samen met een duidelijke waarschuwing: initiatieven voor beveiliging door invloedrijke AI-bedrijven veroorzaken veel ruis in een reeds verzadigde omgeving. Voor CISO’s ligt de uitdaging in het vinden van de kern van de signalen binnen dat lawaai en het tijdig reageren op veranderingen in het dreigingslandschap voordat aanvallers deze trends voor hun voordeel gebruiken.
Zakelijke AI is geen experimenteel project meer
De eerste bedreiging volgens Gartner is de kwetsbaarheid van KI-toepassingen. Veel bedrijven zijn in korte tijd geëvolueerd van het testen van generatieve assistenten naar de inzet van interne tools, copilots, bedrijfsspecifieke chatbots en agents die gekoppeld zijn aan operationele systemen. Deze snelle ontwikkeling brengt duidelijke voordelen, maar creëert ook nieuwe risico’s.
Een zakelijke AI-applicatie kan toegang hebben tot vertrouwelijke documenten, supporttickets, CRM-systemen, databases, code repositories, agenda’s, automatiseringsplatforms of HR-instrumenten. Als permissies, connectors, identiteiten en datastromen niet goed worden beheerd, wordt het model een nieuw risicopunt in plaats van een onschuldige interface.
Gartner adviseert dat securityteams hun programma uitbreiden voorbij traditionele softwarebeveiliging. Dit betekent het in kaart brengen van de aanvalssfeer rond generatieve AI-modellen en agenten, het toepassen van veilige ontwikkelpraktijken tijdens de levenscyclus van AI-toepassingen, threat modeling op maat, en databeveiliging via classificatie, toegangscontrole op doel en runtime monitoring.
De kernboodschap is eenvoudig: AI-toepassingen mogen niet worden behandeld als decoratieve chatbots als ze toegang hebben tot gevoelige gegevens of acties kunnen uitvoeren. Ze vereisen governance, traceerbaarheid, security testing en duidelijke grenzen over wat, voor wie en in welke context gedaan mag worden.
Deepfakes en prompt-injectie: twee bedreigingen die vertrouwen ondermijnen
De tweede bedreiging betreft identiteitsjokken met deepfakes. Verbeteringen in spraak-, video- en beeldgeneratie maken het mogelijk om eenvoudiger, sneller en overtuigender valse identiteiten te creëren. Wat voorheen gespecialiseerde middelen vereiste, kan nu met toegankelijke tools worden gedaan voor fraude, phishing, wervingsprocedures, videogesprekken of biometrische beveiligingen.
Het risico beperkt zich niet tot gemanipuleerde video’s op sociale media. In het bedrijfsleven kan een aanvaller de stem van een uitvoerende of leidinggevende nabootsen, zich virtueel voordoen tijdens online vergaderingen met synthetisch beeld, een medewerker onder druk zetten om een overschrijving te autoriseren, of identiteitscontroles omzeilen tijdens digitale processen. Visuele en auditieve vertrouwenwaarden, ooit een informele veiligheidslaag, zijn niet meer voldoende.
Gartner waarschuwt dat geen enkel enkele controlemethode dit probleem volledig kan oplossen. Detectie van deepfakes helpt, maar moet worden gecombineerd met versterkte processen, sterke authenticatie, metadata-analyse, contextuele signalen en dubbele validatie voor kritieke operaties. Bij online meetings zal verificatie van identiteiten nu meer gebaseerd zijn op bewezen identificaties dan op gezichtsherkenning op scherm.
De derde bedreiging, prompt-injectie, heeft directe impact op systemen die werken met grote taalmodellen. Een aanvaller kan invoer manipuleren om het gedrag van het model te beïnvloeden, instructies te negeren, vertrouwelijke data vrij te geven of ongeautoriseerde acties uit te voeren. Het verhoogt het risico vooral wanneer modellen externe documenten kunnen lezen, webpagina’s kunnen bezoeken, databases kunnen raadplegen of integratie met bedrijfstools mogelijk is.
Prompt-injectie doorbreekt de traditionele scheidslijn: in klassieke software ligt code en data gescheiden, maar in LLM’s kan een malafide instructie binnen een document of communicatie terechtkomen en door het model als legitieme opdracht worden geïnterpreteerd. Zonder goede ontwerpprincipes kunnen aanvallers zo het gedrag van het systeem beïnvloeden.
Beveiliging vereist gelaagde aanpak: input validatie en sanering, gerichte tests tijdens ontwikkeling, runtime guardrails, monitoring op afwijkingen en waarschuwingen bij ongewenst gedrag. Het uitgangspunt is dat het model te slim af kan zijn, waardoor het hele systeem zo is opgebouwd dat het de impact van dergelijke aanvallen kan beperken.
De software supply chain wordt complexer en kwetsbaarder
De vierde bedreiging betreft de beveiliging van de software supply chain. Modern development steunt op open source bibliotheken, containerimages, externe pakketten, CI/CD pipelines, gedeelde repositories, AI-modellen en automatiseringstools. Deze afhankelijkheden waren al complex, maar worden door generatieve AI verder vergroot.
Code-assistants versnellen niet alleen de ontwikkeling, maar kunnen ook onveilige afhankelijkheden suggereren, malafide of niet bestaande pakketten aanbevelen, kwetsbare patronen kopiëren of ongeteste code genereren. Daarnaast kunnen agents voor ontwikkeling toegang krijgen tot build-omgevingen, repositories en deployment-systemen, wat risico’s verhoogt bij onvoldoende toegangscontrole.
Gartner adviseert het inventariseren van alle software-assets en het toepassen van controles in elke ontwikkelfase. Belangrijke maatregelen zijn onder meer het eisen van Software Bill of Materials (SBOM) en AI Bill of Materials (AIBOM) van leveranciers, het vooraf evalueren van componenten, gebruik maken van gecureerde repositories voor code, containers en AI-modellen, bescherming van repository-branches, ondertekening van artefacten, het minimaliseren van privileges bij build-systemen en het monitoren van agent-activiteiten in productie.
Bijzonder is dat de AIBOM—de inventarisatie van AI-modellen en gebruikte datasets—een belangrijk hulpmiddel wordt. Terwijl de SBOM inzicht geeft in softwarecomponenten, identificeert de AIBOM de gebruikte modellen, data en dependencies binnen AI-systemen, waardoor transparantie en risico-inschatting verbeterd worden.
De rol van de CISO: minder ruis, meer controle
Wat deze vier bedreigingen gemeen hebben, is dat ze de basisprincipes van bedrijfsveiligheid ondermijnen. Vroeger kon men vertrouwen op scheidingen tussen applicaties en gebruikers, visuele identiteit, stabiele afhankelijkheidsketens en voorspelbare gedragspatronen. Generatieve AI zwakt deze zekerheden af.
Dat betekent niet dat bedrijven de adoptie van AI moeten stoppen. Productiviteit, automatisering en procesverbetering blijven cruciaal. Maar de integratie moet vanaf het begin worden beveiligd via controles en governance, niet achteraf toegevoegd na een pilot die in productie gaat.
Voor securityteams betekent dit een culturele en technologische omschakeling. Het vereist nauwer samenwerken met development, data-management, legal, procurement en bedrijfsvoering. Processen voor identiteit, agent-governance, toegangsbeheer, asset-inventarisatie en monitoring moeten worden herzien. Cybersecurity van AI wordt niet een geïsoleerd onderdeel, maar verweven door heel de technische architectuur van de organisatie.
Gartner benadrukt dat deze dreigingen niet hypothetisch zijn, maar al in bestaande toepassingen, meetings en workflows aanwezig. Organisaties die wachten op een incident, zullen ontdekken dat aanvallers zich al eerder hebben ingewerkt door AI te gebruiken voor snellere bewegingen en aanvalspatronen.
Veelgestelde vragen
Welke vier bedreigingen noemt Gartner?
Gartner wijst op toegenomen kwetsbaarheden van KI-toepassingen, identiteitsjokken met deepfakes, prompt-injectie en aanvallen op de softwareleveringsketen.
Waarom vormen KI-toepassingen een nieuwe aanvalssurface?
Omdat ze vaak toegang hebben tot gevoelige info en systemen, en bij zwakke controles kunnen ze gegevens blootleggen of ongewenste acties mogelijk maken.
Wat is prompt-injectie?
Een techniek waarbij kwaadwillenden invoer manipuleren om de werking van een taalmodel te verstoren, vertrouwelijke informatie te verkrijgen of acties te laten uitvoeren die niet toegestaan zijn.
Wat kunnen organisaties doen om deze risico’s te beperken?
Door beveiliging vanaf het ontwerp te integreren, inventarisatie van componenten te voeren, identiteit en toegangscontrole te versterken, AI-applicaties te testen op prompt-injectie, deepfakes te monitoren en agenten en modellen in productie te bewaken.
vía: Open Security