Security

Threat modeling voor generative en agentic AI-apps

3 min leestijd

Samenvatting

Microsoft legt uit dat threat modeling voor generative en agentic AI-apps anders moet dan bij traditionele software, omdat niet-deterministische outputs, instruction-following bias en gekoppelde tools of memory nieuwe aanvalsvectoren creëren. Dat is belangrijk omdat risico’s zoals prompt injection, misbruik van tools en privilege escalation in AI-systemen sneller kunnen opschalen en daardoor om een aangepaste security-aanpak vragen.

Hulp nodig met Security?Praat met een expert

Introductie: waarom dit belangrijk is

Threat modeling helpt teams vroeg te identificeren wat er mis kan gaan—voordat er in de praktijk fouten ontstaan of adversarial exploits plaatsvinden. Microsoft merkt op dat AI-applicaties (vooral generative en agentic systemen) veel aannames van traditionele, deterministische software doorbreken, waardoor security-teams hun threat modeling-aanpak moeten aanpassen voor probabilistische outputs, grotere attack surfaces en mensgerichte schade.

Wat is nieuw: hoe AI het threat landscape verandert

Microsoft benoemt drie kenmerken die threat modeling voor AI fundamenteel verschuiven:

  • Niet-determinisme: dezelfde input kan bij verschillende runs andere outputs opleveren, wat analyse vereist van ranges van waarschijnlijk gedrag—ook zeldzame maar hoog-impact uitkomsten.
  • Instruction-following bias: modellen zijn geoptimaliseerd om behulpzaam te zijn, waardoor ze vatbaarder zijn voor prompt injection, dwang en manipulatie—zeker wanneer data en instructies hetzelfde inputkanaal delen.
  • Systeemuitbreiding via tools en memory: agentic systemen kunnen API’s aanroepen, state behouden en workflows autonoom triggeren. Als er iets misgaat, kunnen failures zich snel over componenten heen opstapelen.

Deze eigenschappen geven bekende risico’s nieuwe vormen, waaronder:

  • Directe en indirecte prompt injection (ook via externe content die het model ophaalt)
  • Tool misuse en privilege escalation via chaining
  • Stille data exfiltration (outputs of tool calls die sensitive information lekken)
  • Zelfverzekerd foute outputs die als feiten worden behandeld
  • Mensgerichte schade zoals erosie van vertrouwen, overreliance, het versterken van bias en overtuigende misinformation

Threat model vanuit assets, niet vanuit aanvallen

Een kernaanbeveling is om te beginnen met expliciet definiëren wat je beschermt—omdat AI-assets verder gaan dan databases en credentials. Veelvoorkomende AI-specifieke assets zijn:

  • User safety (met name wanneer AI-advies acties beïnvloedt)
  • User trust in outputs en gedrag
  • Privacy/security van gevoelige bedrijfs- en gebruikersdata
  • Integriteit van prompts, instructies en contextual data
  • Integriteit van agent actions en downstream effects

Deze asset-first benadering dwingt ook vroeg beleidskeuzes af: Welke acties mag het systeem nooit uitvoeren? Sommige uitkomsten kunnen onacceptabel zijn, ongeacht het voordeel.

Modelleer het systeem dat je echt hebt gebouwd

Microsoft benadrukt dat AI threat modeling de echte werking moet weerspiegelen, niet geïdealiseerde diagrammen. Let extra op:

  • Hoe gebruikers daadwerkelijk met het systeem interacteren
  • Hoe prompts, memory en context worden samengesteld en getransformeerd
  • Welke externe bronnen worden ingelezen en welke trust assumptions daarbij gelden
  • Welke tools/API’s het systeem kan aanroepen (en met welke permissions)
  • Of acties reactief of autonoom zijn, en waar human approval wordt afgedwongen

In AI-systemen wordt de prompt assembly pipeline een first-class security boundary—context retrieval, transformatie, persistency en hergebruik zijn plekken waar “stille” trust assumptions zich opstapelen.

Impact op IT admins en platform owners

Voor administrators die AI-oplossingen uitrollen (custom apps, Copilots of agentic workflows) onderstreept deze guidance dat controls het volgende moeten afdekken:

  • Het volledige data-to-prompt-to-action pad (niet alleen model hosting)
  • Permissions en guardrails voor tool access en downstream automations
  • Operational monitoring voor unexpected outputs, ongebruikelijke tool calls en exfiltration patterns

Action items / next steps

  • Inventory AI assets: neem trust, safety en instruction/context integrity mee.
  • Map the prompt pipeline end-to-end: bronnen, retrieval, transformatie, memory en hergebruik.
  • Constrain tool permissions en vereis human approval voor high-impact actions.
  • Test for injection and misuse: neem indirecte prompt injection via retrieved content mee.
  • Plan for accidents: beperk overreliance met UX cues, validatiestappen en escalation paths.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Scott Christiansen, Alyssa Ofstein and Neil Coles
AI securitythreat modelingprompt injectionagentic AIrisk management

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.