AI verandert cybersecurity niet omdat aanvallers ineens volledig nieuwe doelen hebben. De meeste risico’s bestaan al langer: kwetsbare applicaties, slecht ingerichte API’s, te ruime rechten, phishing, configuratiefouten en onduidelijke datastromen.
Wat wél verandert, is de snelheid en schaal waarop aanvallers kunnen werken.
Taken die eerder veel handwerk vroegen, kunnen met AI sneller worden voorbereid, gevarieerd of geautomatiseerd. Denk aan het analyseren van foutmeldingen, het schrijven van scripts, het aanpassen van payloads, het herkennen van patronen in API-responses of het opstellen van geloofwaardige phishingberichten.
Dat betekent niet dat menselijke expertise verdwijnt. Een ervaren aanvaller of pentester blijft nodig om context te begrijpen en echte impact te beoordelen.
Maar AI verlaagt wel de drempel.
Minder ervaren aanvallers kunnen sneller experimenteren. Ervaren aanvallers kunnen meer tegelijk onderzoeken. Daardoor wordt het belangrijker om kwetsbaarheden eerder te vinden en sneller te begrijpen welke risico’s echt impact hebben.
Kwetsbaarheden worden sneller onderzocht
Een van de duidelijkste veranderingen zit in analyse.
Wanneer een aanvaller een applicatie, API of omgeving onderzoekt, draait het vaak om het herkennen van patronen. Denk aan endpoints die steeds terugkomen, parameters die gevoelige informatie beïnvloeden, foutmeldingen die technische details prijsgeven of object-ID’s die voorspelbaar lijken. Ook de manier waarop systemen met elkaar communiceren kan waardevolle aanknopingspunten geven.
AI kan helpen om dat soort informatie sneller te ordenen.
Bij een API kan een aanvaller bijvoorbeeld sneller begrijpen hoe requests zijn opgebouwd. Bij een webapplicatie kunnen foutmeldingen, responses en invoervelden sneller worden geanalyseerd. In een cloudomgeving kunnen configuraties, rechten en policies sneller worden doorgelicht op opvallende patronen.
Daarmee wordt niet automatisch elke kwetsbaarheid gevonden. Context blijft belangrijk.
Toch verandert de verhouding. Waar een aanvaller eerder veel tijd kwijt was aan handmatig uitzoeken, kan AI helpen om sneller tot bruikbare hypotheses te komen.
Voor organisaties betekent dit dat “security by obscurity” steeds minder houdbaar wordt. Complexiteit beschermt niet. Als een applicatie rommelig is opgebouwd, veel endpoints heeft of onduidelijke autorisatieregels kent, kan AI juist helpen om daar sneller structuur in te vinden.
Aanvallen worden makkelijker te automatiseren
AI maakt ook automatisering toegankelijker.
Een aanvaller hoeft niet altijd zelf alle scripts, payloads of testcases te schrijven. AI kan helpen met het maken van scripts, het aanpassen van requests, het genereren van testdata of het variëren van payloads.
Dat is vooral relevant bij kwetsbaarheden die schaalbaar zijn.
Denk aan API’s waarbij object-ID’s kunnen worden aangepast. Of formulieren waarbij meerdere invoervelden getest moeten worden. Ook bij zwakke autorisatie, onduidelijke foutafhandeling of voorspelbare URL-structuren kan automatisering het verschil maken.
Een kwetsbaarheid die bij handmatig gebruik beperkt lijkt, kan bij grootschalige exploitatie veel meer impact hebben.
Als één klantrecord onterecht toegankelijk is, kan een script mogelijk honderden records proberen. Wanneer één endpoint te veel data teruggeeft, kan hetzelfde request worden herhaald voor andere objecten. Als één configuratiefout toegang geeft tot een interne service, kan een aanvaller sneller onderzoeken wat daarachter bereikbaar is.
AI maakt dit niet per definitie succesvol, maar wel sneller en laagdrempeliger.
Daarom moeten organisaties niet alleen onderzoeken óf een kwetsbaarheid misbruikt kan worden, maar ook hoe makkelijk een aanvaller dat misbruik kan herhalen op grotere schaal
API’s en externe koppelingen worden interessanter
Moderne applicaties bestaan zelden uit één systeem. Vaak gaat het om webapplicaties, mobiele apps, API’s, cloudresources, externe leveranciers en interne services die met elkaar communiceren.
Dat maakt API’s aantrekkelijk voor aanvallers.
Een API zit vaak dicht op data en functionaliteit. Via endpoints worden klantgegevens opgehaald, orders verwerkt, documenten geopend of acties uitgevoerd. Als autorisatie daar niet consequent werkt, kan de impact groot zijn. Bij systemen met veel endpoints en data flows kan een API pentest helpen om dit soort risico’s in kaart te brengen.
AI kan helpen om API-structuren sneller te analyseren. Denk aan endpoints groeperen, parameters vergelijken, responseverschillen herkennen of patronen in object-ID’s vinden. Juist bij grotere API’s met veel rollen en datastromen kan dat waardevol zijn voor een aanvaller.
Het risico zit niet alleen in één endpoint.
Vaak ontstaat impact door combinaties. Een response geeft interne ID’s terug. Een ander endpoint accepteert die ID’s zonder goede objectcontrole. Een token geeft een gebruiker meer rechten dan nodig, waardoor die meer acties kan uitvoeren dan bedoeld. Een frontend verbergt functionaliteit, maar de API accepteert de request nog steeds.
Dit zijn precies de scenario’s waar een gewone vulnerability scan vaak weinig zicht op heeft. Een vulnerability scan kan bekende kwetsbaarheden signaleren, maar begrijpt meestal niet welke gebruiker welke data hoort te mogen zien.
AI vergroot dat verschil. Aanvallers kunnen sneller zoeken naar patronen, terwijl organisaties nog steeds denken dat een schoon rapport voldoende zekerheid geeft.
Social engineering wordt overtuigender
AI vergroot cybersecurityrisico’s niet alleen aan de technische kant.
Ook social engineering wordt overtuigender.
Phishingmails waren vroeger vaak herkenbaar door slechte taal, generieke teksten of vreemde formuleringen. Met AI kunnen aanvallers sneller berichten schrijven die natuurlijk klinken, aansluiten op een specifieke doelgroep en minder fouten bevatten.
Dat maakt phishing geloofwaardiger.
Daarnaast kunnen aanvallers sneller varianten maken voor verschillende doelgroepen. Finance krijgt bijvoorbeeld een bericht over een openstaande factuur, HR over een sollicitant of personeelsdossier en IT over een verzoek van een leverancier, klant of interne collega.
Het gaat daarbij niet alleen om e-mail. Ook chatberichten, LinkedIn-berichten, supportverzoeken en nepcommunicatie richting servicedesks kunnen overtuigender worden.
Voor organisaties betekent dit dat bewustwording belangrijk blijft, maar niet voldoende is. Als phishing realistischer wordt, moet je er ook vanuit gaan dat een account op een gegeven moment misbruikt kan worden.
Daarom moet je niet alleen kijken naar de phishingmail zelf, maar ook naar wat er mogelijk wordt als een account wordt misbruikt. Welke data kan dan worden buitgemaakt? Welke acties kan iemand uitvoeren? En kan iemand vanaf dat account verder komen in de omgeving?
Die vragen raken direct aan autorisatie, logging, segmentatie en laterale beweging.
AI-functionaliteit wordt zelf een nieuw aanvalsoppervlak
Naast AI als hulpmiddel voor aanvallers is er nog een tweede ontwikkeling: organisaties bouwen zelf steeds vaker AI-functionaliteit in hun applicaties en processen.
Denk aan chatbots, interne copilots, documentanalyse, klantenservice-assistenten, zoekfuncties op interne kennisbanken of AI-agents die acties kunnen uitvoeren.
Daarmee ontstaat een nieuw aanvalsoppervlak.
Een klassieke webapplicatie verwerkt vooral duidelijke input: formulieren, knoppen, API-requests en bestanden. AI-systemen werken vaak met vrije tekst, context, instructies en gekoppelde databronnen. Dat maakt de beveiliging ingewikkelder.
Een gebruiker kan proberen het AI-systeem andere instructies te geven dan bedoeld. Zulke manipulatie hoeft niet alleen direct via een prompt te gebeuren; verborgen instructies kunnen ook zitten in documenten, e-mails of webpagina’s die het systeem verwerkt. Als de AI-functionaliteit daarnaast toegang heeft tot interne informatie of tools waarmee acties worden uitgevoerd, wordt de impact veel groter.
Het risico zit dus niet alleen in het model zelf.
Het gaat vooral om de omgeving eromheen: data, rechten, prompts, tools, integraties en logging.
Prompt injection en misbruik van AI-tools
Een belangrijk risico bij AI-functionaliteit is prompt injection.
Daarbij probeert een gebruiker, document of externe input het AI-systeem te beïnvloeden met instructies die botsen met het bedoelde gedrag.
Een simpel voorbeeld is een chatbot die bedoeld is om klantvragen te beantwoorden, maar via slimme instructies wordt aangezet om interne informatie prijs te geven. In complexere scenario’s kan een AI-systeem documenten samenvatten waarin verborgen instructies staan, of gekoppelde tools gebruiken op een manier die niet zo bedoeld is.
Prompt injection lijkt soms op een nieuw soort kwetsbaarheid, maar het raakt aan een bekend securityprincipe:
Input van gebruikers of externe bronnen mag je niet zomaar vertrouwen.
Bij AI-systemen wordt dat lastiger, omdat input niet altijd duidelijk gescheiden is van instructies. Een document, e-mail, chatbericht of webpagina kan inhoud bevatten die het model beïnvloedt.
Wanneer een AI-systeem alleen tekst genereert, is de impact mogelijk beperkt. Maar zodra het systeem toegang heeft tot interne data, klantgegevens, tickets, documenten, repositories of operationele tools, wordt het risico groter.
Dan gaat het niet meer alleen om een verkeerd antwoord.
Dan kan het gaan om datalekken, ongewenste acties of misbruik van gekoppelde systemen.
Waarom AI security niet automatisch oplost
AI wordt soms gepresenteerd als oplossing voor securityproblemen. Dat is te simpel.
AI kan helpen bij detectie, analyse en ondersteuning van securityteams. Het kan patronen herkennen, grote hoeveelheden informatie samenvatten en helpen bij het prioriteren van signalen.
Maar AI maakt systemen niet automatisch veilig.
Veel kwetsbaarheden ontstaan door ontwerpkeuzes, verkeerde aannames en context. Een autorisatiefout in een API, een te ruime cloudrol, een onlogische betaalflow of een verkeerd ingericht retourproces vraagt om begrip van het systeem en de bedoeling erachter.
AI kan daarbij ondersteunen, maar begrijpt niet vanzelf wat zakelijk wel of niet toegestaan is.
Een AI-tool kan zien dat een endpoint bestaat. Dat betekent nog niet dat de tool begrijpt welke gebruiker toegang hoort te hebben tot het object achter dat endpoint. Een model kan configuraties analyseren, maar de vraag of een bepaalde toegang logisch is binnen jouw organisatie blijft contextafhankelijk.
Daarom blijft handmatige analyse belangrijk.
Zeker bij pentesten draait het niet alleen om detectie, maar om impact. Een tester kijkt naar wat een kwaadwillende kan bereiken, welke data of systemen uitgebuit kunnen worden en of meerdere bevindingen samen een groter aanvalspad vormen.
Die vragen zijn moeilijk volledig te automatiseren.
Wat dit betekent voor pentesten
AI verandert de rol van pentesten niet volledig, maar maakt de waarde ervan wel duidelijker.
Als aanvallers sneller kunnen analyseren en automatiseren, wordt het belangrijker om zelf te begrijpen waar echte risico’s zitten. Niet alleen bekende kwetsbaarheden, maar ook autorisatieproblemen, configuratiefouten, businesslogica en aanvalspaden.
Een pentest moet daarom niet alleen antwoord geven op de vraag:
“Welke kwetsbaarheden zijn gevonden?”
De betere vraag is:
“Wat kan een aanvaller hiermee bereiken, en hoe snel kan dat misbruik worden opgeschaald?”
Bij applicaties betekent dit meer aandacht voor rollen, datatoegang en businesslogica. Bij API’s gaat het om objectniveau-autorisatie, tokens, endpoints en datastromen. In cloudomgevingen draait het om identity, rechten, configuraties en de samenhang tussen resources.
AI maakt vooral duidelijk dat oppervlakkige controles sneller tekortschieten.
Een vulnerability scan blijft nuttig voor bekende kwetsbaarheden en zichtbare configuratieproblemen. Maar de risico’s die AI-aanvallers sneller kunnen verkennen, zitten vaak in context en samenhang.
Juist daar voegt een pentest waarde toe.
In het artikel over het verschil tussen een vulnerability scan en een pentest kun je meer lezen over de verschillen.
Wanneer een AI pentest relevant wordt
Een AI pentest wordt vooral relevant wanneer AI-functionaliteit interne data kan raadplegen, gekoppeld is aan bedrijfssystemen of acties kan uitvoeren namens gebruikers.
Niet iedere chatbot vraagt meteen om een uitgebreide pentest. Een eenvoudige publieke chatbot zonder toegang tot gevoelige informatie heeft een ander risicoprofiel dan een interne AI-assistent die documenten kan doorzoeken, tickets kan aanpassen of acties kan uitvoeren in bedrijfsapplicaties.
Extra aandacht is logisch wanneer AI-functionaliteit:
- interne documenten of klantdata kan raadplegen;
- gekoppeld is aan tools of acties kan uitvoeren;
- beslissingen ondersteunt met zakelijke impact;
- gebruikersinvoer combineert met interne kennis;
- werkt met gevoelige, financiële of persoonsgegevens;
- output geeft die gebruikers kunnen vertrouwen als advies of besluitinformatie;
- onderdeel is van een applicatie met rollen en autorisatie.
In zulke situaties moet je niet alleen testen of de webapplicatie veilig is. Je moet ook onderzoeken hoe de AI-functionaliteit zich gedraagt bij ongewenste input, verborgen instructies, onjuiste autorisatie of misbruik van gekoppelde tools.
Een AI pentest kijkt dus niet alleen naar prompt injection. Het gaat dieper: data-afscherming, toegangscontrole, toolgebruik, logging, outputbeperkingen en de manier waarop het AI-systeem is ingebed in de rest van de applicatie.
Wat organisaties nu moeten doen
Organisaties hoeven niet in paniek te raken door AI, maar afwachten is ook niet verstandig.
De eerste stap is overzicht.
Waar gebruiken we AI?
Welke AI-functionaliteit is extern bereikbaar?
Met welke systemen of databronnen is de AI-functionaliteit gekoppeld?
Kan het AI-systeem alleen antwoorden geven, of ook acties uitvoeren?
Welke gebruikers mogen welke informatie opvragen?
Wordt output gelogd, gecontroleerd of gebruikt in besluitvorming?
Daarna moet het risico per toepassing worden beoordeeld.
Een interne samenvattingstool vraagt om andere maatregelen dan een AI-agent die klantgegevens kan opzoeken en acties kan uitvoeren. Een chatbot zonder gevoelige data heeft een ander risicoprofiel dan een assistent die toegang heeft tot interne documentatie of supporttickets.
Ook bestaande securitymaatregelen moeten opnieuw worden bekeken. Autorisatie, logging, monitoring, data-afscherming en inputvalidatie blijven belangrijk, maar krijgen een nieuwe context wanneer AI onderdeel wordt van de workflow.
Wie AI gebruikt in applicaties, moet dus niet alleen nadenken over kwaliteit van output, maar ook over potentieel misbruik.
Van AI-hype naar realistisch risicobeeld
AI vergroot cybersecurityrisico’s vooral doordat aanvallers sneller kunnen werken, makkelijker kunnen automatiseren en minder technische kennis nodig hebben.
Aanvallers kunnen sneller analyseren, makkelijker automatiseren en overtuigender communiceren. Tegelijkertijd creëren organisaties zelf nieuwe risico’s wanneer AI-systemen toegang krijgen tot data, tools en processen.
De kern van security verandert daardoor niet.
Je moet nog steeds weten wie toegang heeft, welke data bereikbaar is, welke acties mogelijk zijn en waar misbruik impact kan hebben.
AI maakt die vragen alleen urgenter.
Voor organisaties die AI-functionaliteit gebruiken, is het daarom belangrijk om verder te kijken dan de hype. Niet alleen: werkt het model goed? Maar ook: wat kan iemand ermee doen als hij bewust probeert de grenzen op te zoeken?
Wil je weten of AI-functionaliteit binnen jouw applicatie veilig is ingericht? Dan kan een gerichte AI pentest helpen om risico’s rond prompt injection, datatoegang, autorisatie en gekoppelde tools concreet in kaart te brengen.