Default
Door Remote - 27 Apr 2026
In het kort
Google documenteerde tussen november 2025 en februari 2026 een stijging van 32% in kwaadaardige, indirecte prompt injection-aanvallen, gericht op AI-agenten die op internet surfen.
Echte payloads die in het wild werden gevonden, omvatten volledig gespecificeerde PayPal-transactie-instructies die onzichtbaar waren ingebed in gewone HTML, gericht op agenten met betalingsmogelijkheden.
Er is momenteel geen enkel juridisch kader dat de aansprakelijkheid bepaalt wanneer een AI-agent met legitieme inloggegevens een opdracht uitvoert die door een kwaadwillende website van derden is geplaatst.
Aanvallers zijn stilletjes webpagina's die boobytrappingen uitvoeren met onzichtbare instructies die zijn ontworpen voor AI-agenten en niet voor menselijke lezers. En volgens het beveiligingsteam van Google groeit het probleem snel.
In een rapport dat op 23 april werd gepubliceerd, scanden Google-onderzoekers Thomas Brunner, Yu-Han Liu en Moni Pande 2 tot 3 miljard gecrawlde webpagina's per maand op zoek naar indirecte prompt injection-aanvallen: verborgen commando's ingebed in websites die wachten tot een AI-agent ze leest en vervolgens bevelen opvolgt. Ze vonden tussen november 2025 en februari 2026 een stijging van 32% in het aantal kwaadwillige zaken.
Aanvallers sluiten instructies in een webpagina in op manieren die onzichtbaar zijn voor mensen: tekst verkleind tot een enkele pixel, tekst die bijna transparant is, inhoud die verborgen is in HTML-commentaarsecties of opdrachten die verborgen zijn in de metagegevens van de pagina. De AI leest de volledige HTML. De mens ziet niets.
Het meeste van wat Google ontdekte was van laag niveau: grappen, manipulatie van zoekmachines, pogingen om te voorkomen dat AI-agenten de inhoud samenvatten. Er waren bijvoorbeeld enkele prompts die probeerden de AI te vertellen 'Tweet als een vogel'.
Maar de gevaarlijke gevallen zijn een ander verhaal. In één geval werd de LLM opgedragen om het IP-adres van de gebruiker samen met zijn wachtwoord terug te geven. In een ander geval werd geprobeerd de AI te manipuleren om een opdracht uit te voeren die de machine van de AI-gebruiker formatteerde.
Maar andere gevallen zijn grenscrimineel.
Onderzoekers van het cyberbeveiligingsbedrijf Forcepoint publiceerden vrijwel gelijktijdig een rapport en vonden ladingen die verder gingen. Eén integreerde een volledig gespecificeerde PayPal-transactie met stapsgewijze instructies gericht op AI-agenten met geïntegreerde betalingsmogelijkheden, waarbij ook gebruik werd gemaakt van de beroemde jailbreaktechniek “negeer alle voorgaande instructies”.
Bij een tweede aanval werd gebruik gemaakt van een techniek genaamd ‘metatag namespace injection’, gecombineerd met een overtuigingsversterker-trefwoord om door AI gemedieerde betalingen naar een Stripe-donatielink te leiden. Een derde leek bedoeld om te onderzoeken welke AI-systemen daadwerkelijk kwetsbaar zijn: verkenning vóór een grotere aanval.
Dit is de kern van het ondernemingsrisico. Een AI-agent met legitieme betalingsgegevens, die een transactie uitvoert die hij van een website leest, produceert logboeken die er identiek uitzien als normale handelingen. Er is geen afwijkende login. Geen brute kracht. De agent deed precies waarvoor hij bevoegd was: hij kreeg alleen zijn instructies van de verkeerde bron.
De CopyPasta-aanval die afgelopen september werd gedocumenteerd, liet zien hoe snelle injecties zich konden verspreiden via ontwikkelaarstools door zich te verstoppen in “leesmij”-bestanden. De financiële variant is hetzelfde concept dat wordt toegepast op geld in plaats van op code – en met een veel grotere impact per succesvolle hit.
Zoals Forcepoint uitlegt, brengt een browser-AI die alleen inhoud kan samenvatten een laag risico met zich mee. Een agent-AI die e-mails kan verzenden, terminalopdrachten kan uitvoeren of betalingen kan verwerken, is een geheel andere doelgroep. Het aanvalsoppervlak schaalt met privileges.
Noch Google noch Forcepoint hebben bewijs gevonden van geavanceerde, gecoördineerde campagnes. Forcepoint merkte wel op dat gedeelde injectiesjablonen over meerdere domeinen "georganiseerde tooling suggereren in plaats van geïsoleerde experimenten" - wat betekent dat iemand hiervoor een infrastructuur aan het bouwen is, zelfs als hij deze nog niet volledig heeft geïmplementeerd.
Maar Google was directer: het onderzoeksteam zei dat het verwacht dat zowel de omvang als de verfijning van indirecte, snelle injectie-aanvallen in de nabije toekomst zal toenemen. De onderzoekers van Forcepoint waarschuwen dat het venster om deze dreiging voor te zijn snel sluit.
De aansprakelijkheidsvraag is de vraag die niemand heeft beantwoord. Wanneer een AI-agent met door het bedrijf goedgekeurde inloggegevens een kwaadaardige webpagina leest en een frauduleuze PayPal-overboeking initieert, wie zit er dan aan de haak? De onderneming die de agent heeft ingezet? De modelaanbieder wiens systeem de geïnjecteerde instructie volgde? De website-eigenaar die de payload heeft gehost, al dan niet bewust? Momenteel is er geen juridisch kader dat dit dekt. Dit is een grijs gebied, ook al is het scenario niet langer theoretisch, aangezien Google de ladingen in februari in het wild heeft aangetroffen.
Het Open Worldwide Application Security Project rangschikt prompt injection als LLM01:2025 – de meest kritieke kwetsbaarheidsklasse in AI-applicaties. De FBI heeft in 2025 bijna 900 miljoen dollar aan AI-gerelateerde zwendelverliezen bijgehouden, het eerste jaar waarin deze categorie afzonderlijk werd geregistreerd. De bevindingen van Google suggereren dat de meer gerichte, agentspecifieke financiële aanvallen nog maar net begonnen zijn.
De stijging van 32%, gemeten tussen november 2025 en februari 2026, heeft alleen betrekking op statische openbare webpagina's. Sociale media, ingelogde inhoud en dynamische sites vielen buiten het bereik. Het werkelijke besmettingspercentage op het volledige internet is waarschijnlijk hoger.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Google documenteerde tussen november 2025 en februari 2026 een stijging van 32% in kwaadaardige, indirecte prompt injection-aanvallen, gericht op AI-agenten die op internet surfen.
Echte payloads die in het wild werden gevonden, omvatten volledig gespecificeerde PayPal-transactie-instructies die onzichtbaar waren ingebed in gewone HTML, gericht op agenten met betalingsmogelijkheden.
Er is momenteel geen enkel juridisch kader dat de aansprakelijkheid bepaalt wanneer een AI-agent met legitieme inloggegevens een opdracht uitvoert die door een kwaadwillende website van derden is geplaatst.
Aanvallers zijn stilletjes webpagina's die boobytrappingen uitvoeren met onzichtbare instructies die zijn ontworpen voor AI-agenten en niet voor menselijke lezers. En volgens het beveiligingsteam van Google groeit het probleem snel.
In een rapport dat op 23 april werd gepubliceerd, scanden Google-onderzoekers Thomas Brunner, Yu-Han Liu en Moni Pande 2 tot 3 miljard gecrawlde webpagina's per maand op zoek naar indirecte prompt injection-aanvallen: verborgen commando's ingebed in websites die wachten tot een AI-agent ze leest en vervolgens bevelen opvolgt. Ze vonden tussen november 2025 en februari 2026 een stijging van 32% in het aantal kwaadwillige zaken.
Aanvallers sluiten instructies in een webpagina in op manieren die onzichtbaar zijn voor mensen: tekst verkleind tot een enkele pixel, tekst die bijna transparant is, inhoud die verborgen is in HTML-commentaarsecties of opdrachten die verborgen zijn in de metagegevens van de pagina. De AI leest de volledige HTML. De mens ziet niets.
Het meeste van wat Google ontdekte was van laag niveau: grappen, manipulatie van zoekmachines, pogingen om te voorkomen dat AI-agenten de inhoud samenvatten. Er waren bijvoorbeeld enkele prompts die probeerden de AI te vertellen 'Tweet als een vogel'.
Maar de gevaarlijke gevallen zijn een ander verhaal. In één geval werd de LLM opgedragen om het IP-adres van de gebruiker samen met zijn wachtwoord terug te geven. In een ander geval werd geprobeerd de AI te manipuleren om een opdracht uit te voeren die de machine van de AI-gebruiker formatteerde.
Maar andere gevallen zijn grenscrimineel.
Onderzoekers van het cyberbeveiligingsbedrijf Forcepoint publiceerden vrijwel gelijktijdig een rapport en vonden ladingen die verder gingen. Eén integreerde een volledig gespecificeerde PayPal-transactie met stapsgewijze instructies gericht op AI-agenten met geïntegreerde betalingsmogelijkheden, waarbij ook gebruik werd gemaakt van de beroemde jailbreaktechniek “negeer alle voorgaande instructies”.
Bij een tweede aanval werd gebruik gemaakt van een techniek genaamd ‘metatag namespace injection’, gecombineerd met een overtuigingsversterker-trefwoord om door AI gemedieerde betalingen naar een Stripe-donatielink te leiden. Een derde leek bedoeld om te onderzoeken welke AI-systemen daadwerkelijk kwetsbaar zijn: verkenning vóór een grotere aanval.
Dit is de kern van het ondernemingsrisico. Een AI-agent met legitieme betalingsgegevens, die een transactie uitvoert die hij van een website leest, produceert logboeken die er identiek uitzien als normale handelingen. Er is geen afwijkende login. Geen brute kracht. De agent deed precies waarvoor hij bevoegd was: hij kreeg alleen zijn instructies van de verkeerde bron.
De CopyPasta-aanval die afgelopen september werd gedocumenteerd, liet zien hoe snelle injecties zich konden verspreiden via ontwikkelaarstools door zich te verstoppen in “leesmij”-bestanden. De financiële variant is hetzelfde concept dat wordt toegepast op geld in plaats van op code – en met een veel grotere impact per succesvolle hit.
Zoals Forcepoint uitlegt, brengt een browser-AI die alleen inhoud kan samenvatten een laag risico met zich mee. Een agent-AI die e-mails kan verzenden, terminalopdrachten kan uitvoeren of betalingen kan verwerken, is een geheel andere doelgroep. Het aanvalsoppervlak schaalt met privileges.
Noch Google noch Forcepoint hebben bewijs gevonden van geavanceerde, gecoördineerde campagnes. Forcepoint merkte wel op dat gedeelde injectiesjablonen over meerdere domeinen "georganiseerde tooling suggereren in plaats van geïsoleerde experimenten" - wat betekent dat iemand hiervoor een infrastructuur aan het bouwen is, zelfs als hij deze nog niet volledig heeft geïmplementeerd.
Maar Google was directer: het onderzoeksteam zei dat het verwacht dat zowel de omvang als de verfijning van indirecte, snelle injectie-aanvallen in de nabije toekomst zal toenemen. De onderzoekers van Forcepoint waarschuwen dat het venster om deze dreiging voor te zijn snel sluit.
De aansprakelijkheidsvraag is de vraag die niemand heeft beantwoord. Wanneer een AI-agent met door het bedrijf goedgekeurde inloggegevens een kwaadaardige webpagina leest en een frauduleuze PayPal-overboeking initieert, wie zit er dan aan de haak? De onderneming die de agent heeft ingezet? De modelaanbieder wiens systeem de geïnjecteerde instructie volgde? De website-eigenaar die de payload heeft gehost, al dan niet bewust? Momenteel is er geen juridisch kader dat dit dekt. Dit is een grijs gebied, ook al is het scenario niet langer theoretisch, aangezien Google de ladingen in februari in het wild heeft aangetroffen.
Het Open Worldwide Application Security Project rangschikt prompt injection als LLM01:2025 – de meest kritieke kwetsbaarheidsklasse in AI-applicaties. De FBI heeft in 2025 bijna 900 miljoen dollar aan AI-gerelateerde zwendelverliezen bijgehouden, het eerste jaar waarin deze categorie afzonderlijk werd geregistreerd. De bevindingen van Google suggereren dat de meer gerichte, agentspecifieke financiële aanvallen nog maar net begonnen zijn.
De stijging van 32%, gemeten tussen november 2025 en februari 2026, heeft alleen betrekking op statische openbare webpagina's. Sociale media, ingelogde inhoud en dynamische sites vielen buiten het bereik. Het werkelijke besmettingspercentage op het volledige internet is waarschijnlijk hoger.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!