De Autoriteit Persoonsgegevens waarschuwt in het FD voor het delen van gevoelige informatie met chatbots zoals Claude, ChatGPT of Gemini. De privacywaakhond heeft dit jaar al tientallen meldingen gehad over datalekken die ontstaan zijn door het gebruik van die bots op de werkvloer.
Elk bedrijf wordt vanzelf een AI-organisatie. De AI-tools komen gewoon mee met de softwarepakketten van leveranciers, zoals een Microsoft of SAP. Of met nieuwe spelers, zoals OpenAI en Anthropic. Daarmee wordt ook de deur wijd opengezet voor nieuwe risico’s. En die staan nog totaal niet op het netvlies.
Hoe is dat mogelijk? Marc van Meel, AI-lead bij KPMG, helpt veel bestuurders en commissarissen om richting te geven aan AI. ‘Ze willen allemaal, ze vinden het leuk en interessant, maar ze worden overspoeld met allerhande AI-tooling en nieuwe hypes. Ze zien door de bomen het bos niet meer.’
‘Geen enkel bedrijf wil het gevoel hebben dat ze de boot missen. Ze willen ook niet binnen drie jaar irrelevant worden, omdat de concurrentie dankzij AI veel efficiënter werkt’, verklaart Piet Kerkhofs, cto van cyberspecialist Eye Security. Meedoen vinden ze nu gewoon belangrijker.
Toch zijn die risico’s niet te onderschatten, zeggen beide experts tegen MT/Sprout. Dit zijn de belangrijkste vijf.
#1 Foute instructies geven
AI-agents maken gebruik van de tools binnen de organisatie. Ze dealen met de buitenwereld en ze hebben toegang tot bepaalde informatie. Het hart van al die AI-agents en andere AI-tools zijn taalmodellen, de large language models.
‘De kern van de techniek is dat zo’n taalmodel altijd wil antwoorden. Daar is het voor ontworpen, om te voorspellen wat jij wilt horen. Dat is tegelijkertijd een enorme zwakheid. Voor aanvallers wordt het zo heel gemakkelijk om AI-tools te verleiden om meer te doen dan waarvoor ze instructies hebben gekregen’, weet Kerkhofs.
Moeilijk gedoe met coderen is daarbij niet meer nodig. Een prompt – een opdracht of vraag – in gewone taal is genoeg. Kwaadwillenden geven in prompts bepaalde instructies mee, prompt injection wordt dat genoemd. Dat kan met een directe prompt, of indirect via instructies in documenten of websites.
Onopgelost risico
Zo’n foute prompt kan zijn: stuur de volledige database door, of alle afspraken van de ceo, of beledig alleen onze vaste klanten. Stel dat je een AI-assistent hebt die mailboxen managet, dan kan een hacker per mail de instructie geven om het volledige klantenbestand naar hem of haar door te sturen.
Zelfs een bot die met veiligheidsprotocollen is uitgerust, kan worden verleid om antwoorden te geven die het eigenlijk niet mag geven. Dat wordt jailbreaking genoemd. Onderzoekers testen regelmatig uit wat werkt, zoals overspoelen met technisch jargon of met lange zinnen vol grammaticafouten. Ook blijken bots gevoelig te zijn voor phishingtactieken.
‘Prompt injection is in de AI-wereld nog een onopgelost risico’, vult Van Meel aan. ‘Er bestaan geen 100 procent veilige maatregelen voor, technisch gezien.’
Lees ook: AI ziet zak chips aan voor pistool en zes andere megablunders
Nieuwe tak van de industrie
Maatregelen om het risico te verminderen, zijn er wel. Bijvoorbeeld de AI-agent afsluiten van de buitenwereld en die geen binnenkomende mails meer laten behandelen, of de AI-assistent verbieden om uitgaande mails te versturen voordat een mens daar eerst naar heeft gekeken.
Een AI-tool kan ook van speciale filters worden voorzien. ‘Maar die zijn te omzeilen’, zegt Kerkhofs. ‘Aanvallers vinden steeds weer een manier om om die filters heen te werken en bij de kern te komen, het taalmodel.’
‘Als je daar eenmaal bent, kun je eigenlijk alles wat die tool tot zijn beschikking heeft opvragen. Dat is vaak enorm veel data, want daar zit de waarde van die AI-tools. Het gaat nog jaren duren voordat we daar meer grip op krijgen.’
Bedrijven zien het risico nog niet, merkt Kerkhofs, omdat ze nog niet zo’n incident hebben meegemaakt. ‘Maar dat gaat sowieso gebeuren de komende jaren. Bedrijven die AI omarmen, gaan AI-incidenten hebben. AI-datalekken en AI-hacks zijn een heel nieuwe industrie binnen de cybersecurity.’
#2 Gratis AI-tools gebruiken
Medewerkers gebruiken AI-tools al voor allerlei persoonlijke zaken. Waarom zouden ze die niet gebruiken voor hun werk? Shadow AI wordt dat genoemd. Acht op de tien medewerkers passen die tools al toe op de werkvloer. En 70 procent geeft aan dat daarbij gevoelige gegevens worden ingevoerd.
Dat is ook meteen het belangrijkste risico, geeft Kerkhofs aan. ‘Zonder dat je het weet, wordt jouw bedrijfsinformatie aan die tools gegeven. Je data wordt gelekt op een manier die je niet onder controle hebt.’
Het meest recente voorbeeld hiervan is de gemeente Eindhoven, waar medewerkers cv’s, jeugdzorgdossiers en interne documenten via gratis chatbots zoals ChatGPT hebben gedeeld. Hoe groot het datalek is, weet de gemeente niet. Bovendien kunnen de mensen om wie het gaat daarover niet worden geïnformeerd.
Techbedrijven hebben vaak in hun clausules opgenomen dat ze de data die ze op die manier verwerven, mogen gebruiken. ‘Daarom is het gratis. Voor niks gaat de zon op. En die data worden niet alleen gebruikt om de modellen te trainen en beter te maken.’
Creatieve medewerkers
‘Techbedrijven gebruiken data ook om geld te verdienen. Bedrijfsinformatie, intellectueel eigendom, blauwdrukken, persoonsgegevens, alles wat waarde heeft wordt ingezet om eraan te verdienen. En kan dus worden doorgespeeld naar anderen.’
Wat valt daartegen te doen? Documenten versleutelen bijvoorbeeld, zodat de tools ze niet kunnen lezen. Bij alle documenten en mails automatisch een instructie toevoegen om de data niet te verwerken. ‘Die is onzichtbaar is voor de mens, maar zichtbaar voor iedere AI-tool.’
Of net zoals de banken het onmogelijk maken om documenten buiten de eigen it-omgeving te verwerken. ‘Al merk je dat het gewoon moeilijk is om er echt grip op te krijgen. Medewerkers vinden vaak wel wegen er omheen. Ze willen met die tools gewoon sneller klaar zijn met hun werk en worden dan bijzonder creatief.’
Lees ook: Strengere AI-regels in aantocht, wat betekent dit voor jouw bedrijf
#3 Zelf slimme assistenten maken
Medewerkers kunnen vandaag ook gemakkelijk zelf AI-tools maken. Van Meel: ‘Programmeren is niet meer nodig. Met natuurlijke tekst kunnen ze zo’n agent maken en live zetten. Het risico dat je daarmee loopt, is dat je geen zicht meer hebt op wat er binnen jouw organisatie allemaal ontwikkeld en gebruikt wordt.’
AI-tools kunnen zo worden ontworpen dat ze minder makkelijk informatie geven die ze niet mogen geven, vult Kerkhofs aan. Zo kan het een AI-planningsassistent onmogelijk worden gemaakt om alle afspraken in één keer te wijzigen of te deleten. Medewerkers houden daar bij het zelf maken van die tools veel minder rekening mee.
Het is dus ongelooflijk belangrijk om medewerkers te trainen, in bewustwording van de risico’s en het gebruiken van die tools.
Zet alles op één platform
Investeer in één krachtig AI-platform voor het hele bedrijf, is nog een advies van Kerkhofs. Dat moet wel beter werken dan de AI-tools van de medewerkers. Lok ze op basis van de kwaliteit naar dat platform, geef ze daar toegang. Aan zo’n platform kunnen eigen regels worden toegevoegd en alleen eigen corporate data worden gekoppeld.
Laat medewerkers alleen nog dat goedgekeurde platform gebruiken. ‘Dat heb je zelf onder controle, daar draai je zelf scans op en kun je zelf zaken blokkeren’, zegt Kerkhofs, die daar zelf mee bezig is bij Eye Security. ‘Er zijn nog weinig bedrijven die dit doen, maar ik vind wel dat ze daarmee aan de slag moeten.’
#4 Bots die hallucineren
Taalmodellen worden ook wel papegaaien genoemd. Ze zijn getraind om mee te praten en een zo overtuigend mogelijk antwoord te geven. Dat is niet hetzelfde als feitelijke informatie, geeft Van Meel aan.
‘Je kunt ChatGPT vragen wat de Griekse filosoof Plato zou hebben gedacht van de energietransitie. Dan krijg je een antwoord in de stijl van Plato. De man zou dat ook best nog wel gevonden kunnen hebben, maar hij leeft niet meer. Hij weet niet wat de energietransitie is. Eigenlijk is het dus onzin. Met diezelfde korrel zout zou je eigenlijk alle output moeten beoordelen.’
Hallucinerende taalmodellen zijn en blijven een bijna onoplosbaar probleem, geeft hij aan. AI-tools draaien op die taalmodellen, daardoor zijn ze evenmin gevrijwaard van hallucinaties. ‘Je kunt nooit uitsluiten dat wat de AI-tool produceert echt 100 procent feitelijke informatie is of dat het verzonnen is.’
Kritisch blijven op verzinsels
Al wordt er hard gewerkt aan het verminderen van de foutmarge. ‘Er wordt flink ingezet op checks en balances om die hallucinatiepercentages omlaag te brengen. Bijvoorbeeld door het inzetten van meerdere modellen die met elkaar concurreren om de kwaliteit van de output omhoog te krikken.’
Er zijn wel manieren om de tool een beetje in de goede richting te duwen. Bijvoorbeeld met instructies dat er alleen bepaalde bronnen gebruikt mogen worden voor het antwoord. Of door het zelf te checken. ‘Je zal toch zelf altijd moeten blijven nadenken. Het is dus goed om kritisch te blijven op de output.’
Dat risico op verzinsels wordt alleen maar groter. Volgend jaar zal de door AI gegenereerde content die van mensen op het internet overtreffen. Die AI-bagger komt ook in weer in de taalmodellen terecht en vervolgens in AI-tools. ‘Ga je dan beslissingen maken of sturen op informatie die door AI-modellen is gegenereerd, in plaats van door mensen?’
#5 Het vervuilen van de bron
AI-tools hebben om hun taken uit te voeren toegang tot verschillende andere tools en bronnen. Hackers kunnen die bronnen vervuilen met foutieve informatie. Van Meel noemt dat ‘de waterput vergiftigen’.
Die vervuilde informatie kan ook worden opgenomen in rapportages en zo jouw strategische beslissingen beïnvloeden. ‘Daar zijn geen sluitende oplossingen voor.’ Gelukkig werken bedrijven nu nog voornamelijk met enkelvoudige AI-agents. Die nemen maar een taak over, van opschalen is nog lang geen sprake.
‘Bij meerdere AI-agents die met elkaar samenwerken, is dat corrumperen van het geheugen nog veel gevaarlijker. Als je erin slaagt om één zo’n agent te manipuleren, kan een domino-effect ontstaan en loopt de hele AI-vloot een risico.’
Achterdeurtjes worden al ingebouwd
Dat vervuilen van de bron is nog relatief nieuw, weet Kerkhofs. Maar het biedt hackers wel oneindige mogelijkheden. Taalmodellen worden namelijk getraind met publieke informatie: boeken, artikelen, blogs, posts, complete websites, alle broncode van software…
Foute jongens en meisjes kunnen bijvoorbeeld websites of stukjes broncode gebruiken om de boel te vergiftigen. Ze weten dat die vroeg of laat opgepikt zal worden van het internet om taalmodellen te trainen. Met die vergiftigde data zijn de antwoorden die door het taalmodel worden gegeven dus te manipuleren.
Achterdeurtjes noemt Kerkhofs ze: specifieke zinnen die een bepaald gedrag triggeren bij het taalmodel. Hij verwijst naar een studie waaruit blijkt dat een klein aantal van die bewerkte documenten al genoeg is voor zo’n achterdeur. ‘Een heel gevaarlijke trend, want op dit moment worden dergelijke achterdeurtjes ingebouwd in alle bekende taalmodellen.’
Lees ook: Bij het opschalen van AI begint ook het gedoe op de werkvloer



