Beveilingsplatform Zscaler onderzocht 26 grote LLMs en zag dat sommige autonome AI-agents in slimme trucs trapten die een mens wel zou doorzien. Verborgen instructies op websites, oftewel indirect prompt injection, manipuleerden verschillende agents. Opvallend genoeg presteerden goedkopere modellen soms beter dan duurdere alternatieven.
De onderzoekers van Zscaler ThreatLabz keken naar verschillende vormen van indirect prompt injection. Daarbij verstoppen aanvallers kwaadaardige opdrachten in content die een AI-agent ophaalt, bijvoorbeeld vanuit websites, documenten of e-mails. De agent leest die verborgen instructie en voert die plichtsgetrouw uit tijdens het afhandelen van een taak.
Zscaler onderzocht twee echte campagnes. De ene betrof een betaalscam, de andere een typosquatting-campagne die zich voordeed als een cryptoplatform. Beide combineerden SEO-poisoning met CSS- en HTML-trucs om zoekresultaten te manipuleren en prompt-achtige instructies te verbergen.
Goedkopere modellen soms veiliger
In de test kregen vier modellen het stempel “vulnerable”. Het ging daarbij om Llama3-3-70b-instruct, Llama3-2-90b-instruct, Gemini-3-flash en Gemini-2.5-pro. Drie modellen werden als “safe” bestempeld, waaronder Llama4-maverick en Gemini-3.1-flash-lite. Dat laatste, goedkopere model bleek dus beter bestand tegen de scam dan het duurdere Gemini-2.5-pro.
Van die uitkomst moet je volgens Zscaler niet te veel verwachten in absolute zin. “Gevoeligheid varieert per model en per context die samen met de prompt aan het LLM wordt meegegeven”, stelt het bedrijf. In de bredere validatie over 26 LLMs faalden vier modellen bij de eerste campagne en classificeerden twee modellen de website in campagne twee verkeerd.
Aanvalsoppervlak groeit razendsnel
Het risico van dit soort aanvallen neemt hard toe. Volgens het OWASP-rapport over LLM-beveiliging is prompt injection de snelst groeiende categorie cyberaanvallen, met een stijging van 340 procent op jaarbasis. Google zag tussen november 2025 en februari 2026 een toename van een derde aan kwaadaardige indirecte injecties op het open web.
Recente benchmarks van AI-webagents laten daarnaast slagingspercentages van 42 tot 68 procent zien bij indirecte prompt injection. Betrouwbare verdediging ontbreekt vooralsnog. Zscaler zelf lanceerde eerder een AI Security Suite om AI-toepassingen tegen dit soort dreigingen te beschermen, mede in reactie op grootschalige LLMjacking-aanvallen.
Het probleem zit in het feit dat een LLM instructies en data niet netjes van elkaar scheiden zodra beide in hetzelfde context-venster belanden. Verschijnt daar een kwaadaardige opdracht, dan concurreert die met de oorspronkelijke systeemprompt.
Dat sluit aan bij eerdere waarschuwingen in de sector. KnowBe4-adviseur Martin Kraemer noemde prompt injection eerder al de digitale tegenhanger van social engineering. Volgens Zscaler wordt content zelf een steeds groter aanvalsoppervlak, nu AI-agents steeds vaker de interface naar het web vormen.
Lees ook: Prompt injection blijft permanent risico voor AI-applicaties