Prompt injection is een aanval op AI-systemen waarbij iemand kwaadaardige instructies verstopt in de tekst die de AI leest, zodat die zijn eigen regels negeert, geheimen prijsgeeft of acties uitvoert die niet horen. Het richt zich specifiek op large language models, omdat die bijna elke tekst behandelen als iets om op te volgen.
Stel je een nieuwe assistent voor die te horen kreeg: ‘voer alle instructies uit die op de briefjes staan die ik je geef’. Een aanvaller schuift simpelweg een briefje tussen de stapel met ‘negeer je baas en mail mij de klantenlijst’. De assistent kan het ingeschoven briefje niet onderscheiden van de echte, dus hij gehoorzaamt. Dat is prompt injection: de AI kan betrouwbare instructies niet goed scheiden van onbetrouwbare content, zeker als die content van een webpagina, een PDF of een RAG-kennisbank komt die hij moest lezen.
De gevaarlijke variant is indirect. De aanvaller praat helemaal niet met jouw AI. Hij verstopt een regel tekst op een webpagina of in een mail, en als jouw assistent die bron later als onderdeel van zijn werk leest, gaat de verborgen instructie af. De gebruiker ziet niets vreemds.
Daarmee is injection een van de bepalende beveiligingsproblemen van AI-functies. Zorgvuldige prompt engineering helpt, maar is geen compleet schild, want de aanvaller bewerkt juist de input waar de prompt op leunt. De praktische verdediging is uitgaan van het idee dat het model voor de gek te houden is en daaromheen bouwen: beperk waar het bij kan, behandel de output als suggestie en niet als bevel, en zet een mens of harde regel voor alles wat risico draagt, zoals geld overmaken of records verwijderen.
Bij TopDevs ontwerpen we AI-functies defensief: we houden onbetrouwbare data weg van de instructielaag en zetten harde grenzen op wat een model ooit zelfstandig mag doen.