Shadow AI bestrijden: een praktisch hulpmiddel voor CISO’s

Generatieve AI verandert de manier waarop organisaties werken. Tools zoals ChatGPT, Copilot en DeepSeek maken het mogelijk om sneller te schrijven, te analyseren en te automatiseren. Maar deze vooruitgang brengt ook een nieuw risico met zich mee: Shadow AI.

Daarom bedacht het Research Team van Eye Security een nieuw concept: Prompt Injection for the Good. Een creatieve manier om een bekende AI-kwetsbaarheid om te zetten in een hulpmiddel voor bewustwording en naleving van databeleid.

👉 Probeer de promptgenerator

Shadow AI: het risico achter productiviteit

Vrijwel iedere CISO kent het fenomeen Shadow IT. Shadow AI is de volgende, complexere variant daarvan.

Medewerkers gebruiken steeds vaker AI-tools buiten de goedgekeurde bedrijfsomgeving. Ze plakken delen van e-mails, documenten of broncode in chatbots om sneller antwoorden te krijgen of werk te automatiseren. Meestal is dat niet kwaadwillend, maar het effect is hetzelfde: gevoelige informatie verlaat ongemerkt de organisatie.

Dat leidt tot meerdere risico’s:

• Dataverlies: gevoelige informatie, persoonsgegevens of intellectueel eigendom kunnen worden opgeslagen of verwerkt door externe AI-providers.

• Compliance-risico: volgens AVG, NIS2 en ISO 27001 moet een organisatie aantonen dat zij controle heeft over gegevensverwerking. Dat is lastig met ongecontroleerd AI-gebruik.

• Audit-gap: Shadow AI laat geen logboeken of sporen achter.

• Bewustzijn: medewerkers beseffen vaak niet dat het vragen van “hulp aan ChatGPT” kan worden gezien als een datalek.

En dat is precies het dilemma van de CISO: hoe laat je innovatie met AI toe zonder de controle over data te verliezen?

Prompt injection inzetten voor het goede

Bij Eye Security denken we graag anders. We stelden onszelf een simpele vraag:

“Wat als we dezelfde technieken die aanvallers gebruiken om AI te misleiden, zouden kunnen gebruiken om AI veiliger te maken?”

Prompt injection is een methode waarmee aanvallers AI-modellen kunnen manipuleren via verborgen instructies. Eerder dit jaar ontdekte onze Chief Hacker Vaisha Bernard hiermee een kwetsbaarheid in Copilot.

In plaats van deze techniek offensief te gebruiken, hebben we haar nu defensief toegepast. Zo ontstond Prompt Injection for the Good — een open-source prototype waarmee securityteams kunnen testen hoe ze AI-waarschuwingen kunnen verankeren in hun eigen documenten en e-mails.

Wanneer een medewerker een beschermd bestand uploadt naar een persoonlijke AI-tool zoals ChatGPT of Copilot, toont de AI automatisch een waarschuwing zoals:

“Dit document bevat gevoelige bedrijfsinformatie. Wees je bewust van de risico’s van het delen met niet-vertrouwde partijen.”

Het blokkeert geen productiviteit, maar geeft een realtime bewustzijnsmoment.

Wat is defensieve prompt injection?

Normaal gesproken gebruiken aanvallers prompt injection om AI-modellen te manipuleren. Eye Security draait dit om: wij gebruiken dezelfde techniek om de AI te instrueren om de gebruiker te waarschuwen of zelfs het verwerken van gevoelige informatie te stoppen zodra data buiten de bedrijfsomgeving wordt geplaatst.

Maak je eigen defensieve prompt

Via onderstaande interactieve generator kun je zelf een defensieve prompt aanmaken.
Voer simpelweg de naam van je organisatie in, kies of je alleen wilt waarschuwen of ook blokkeren, en selecteer eventueel een voorkeurs-AI zoals Microsoft Copilot.

De gegenereerde snippet kun je opnemen in bestaande onderdelen, zoals e-mailhandtekeningen of documentkoppen. Zodra iemand dat document in ChatGPT of Copilot plakt, triggert het een zichtbare waarschuwing aan zowel de AI als de gebruiker.

Waarom dit belangrijk is

Standaard DLP-oplossingen beschermen vooral beheerde apparaten en goedgekeurde SaaS-apps. AI-tools daarentegen worden vaak gebruikt op persoonlijke apparaten of buiten die controle, waardoor er blinde vlekken ontstaan.

Door een defensieve prompt in een document te verbergen, verandert dat document zelf in een waakhond. Zodra het door een AI wordt gelezen, verschijnt er een waarschuwing. Zo creëren we een nudge-cultuur in plaats van een verbodscultuur: medewerkers worden bewust gemaakt van risico’s zonder dat hun nieuwsgierigheid wordt afgestraft.

Praktische toepassingen

Organisaties kunnen de aanpak op verschillende manieren testen:

• E-mailhandtekeningen
  Veel organisaties voegen al juridische disclaimers toe aan hun e-mailhandtekeningen. Daar kun je ook een defensieve prompt aan toevoegen. Wanneer iemand vervolgens een e-mailketen of bericht kopieert en plakt in een AI-tool zoals ChatGPT, herkent het model de instructie en toont direct de ingebouwde waarschuwing.

Het voorkomt niet dat de gebruiker plakt, maar zorgt er wél voor dat de AI bij het verwerken van de hele thread de waarschuwing zichtbaar maakt — een direct leermoment voor de gebruiker.

• Documentkoppen en voetteksten (via Microsoft Purview of vergelijkbare tools)
  Veel bedrijven gebruiken Microsoft Purview of andere governance-oplossingen om standaardkoppen en -voetteksten toe te voegen aan Word-, Excel- of PowerPoint-bestanden. Ook Google Docs ondersteunt dit.

  De prompttekst kan hier als zichtbare footer of juist als verborgen header worden ingebed. Zodra een gebruiker een bestand exporteert of uploadt naar een AI-tool, wordt de instructie herkend en activeert deze automatisch de bewustwordingsmelding.

De header in dit voorbeeld kan onzichtbaar worden gemaakt door de tekst wit te kleuren of het lettertype zo klein te maken dat het voor mensen niet zichtbaar is, maar wél leesbaar blijft voor AI-modellen.

• Exports vanuit SaaS-platformen (zoals Confluence Cloud)
  Sommige SaaS-platformen, zoals Confluence Cloud, bieden de mogelijkheid om standaardkopteksten mee te geven bij het exporteren van data, bijvoorbeeld naar PDF. Ook hier kan de defensieve prompt worden toegevoegd aan de exportheader.

  Medewerkers kunnen de bestanden nog steeds exporteren en uploaden, maar zodra een AI-model het document leest, herkent het de prompt en toont het de waarschuwing.

Net als bij Microsoft Word kunnen ook deze headers in PDF’s onzichtbaar worden gemaakt voor het oog, maar zichtbaar blijven voor AI-tools.

• Andere communicatiekanalen (zoals CRM-systemen of HubSpot-handtekeningen)
  Organisaties die gebruikmaken van gecentraliseerd handtekeningenbeheer in HubSpot of vergelijkbare marketing- of CRM-systemen kunnen de prompttekst breed uitrollen. Denk aan verkoopmails, marketingcommunicatie of interne updates. Hoe breder de implementatie, hoe consistenter het bewustwordingssignaal binnen de organisatie.

Dus, hebben we Shadow AI opgelost?

Shadow AI is geen probleem dat je op een eenduidige manier kunt oplossen. Het is een voortdurend veranderend gedrag, een bijproduct van snelle innovatie, vervagende grenzen tussen persoonlijke en professionele data, en een groeiende behoefte aan AI-ondersteund werk. In plaats van te proberen deze ontwikkeling te stoppen, hebben we een manier gevonden om haar veilig te sturen.

Om dieper in te gaan op de technische implementatie en dit idee zelf te kunnen verkennen, hebben we een uitgebreide toelichting gepubliceerd op onze researchblog, samen met een open-source framework waarmee securityteams defensieve prompt injections kunnen testen en toepassen in realistische scenario’s.

👉 Lees onze researchblog en experimenteer met het open-source prototype. 

De tool vereist enige technische kennis om uit te voeren, maar is ontworpen voor securityteams die een volledige manier zoeken om verschillende strategieën voor defensieve prompt injection te evalueren, over uiteenlopende contenttypen, distributiemethoden (headers, handtekeningen, exports) en AI-platformen.

De tool ondersteunt tests op grote modellen zoals ChatGPT, Microsoft Copilot, Claude, DeepSeek en meer, zodat je beter kunt begrijpen hoe gevoelige documenten zich gedragen wanneer ze in contact komen met deze tools.

Hebben we Shadow AI daarmee opgelost? Nee. Maar we proberen het zichtbaar, testbaar en beheersbaar te maken. En dat is een belangrijke stap vooruit.

Wat is de waarde voor de boardroom?

Voor CISO’s die aan het bestuur presenteren, helpt het prototypen van defensieve prompt injection (in testomgevingen) om een volwassen benadering van AI-risico’s te illustreren:

• Proactieve governance. Je ontwikkelt interne controles.
• Gebalanceerde besluitvorming. Je brengt productiviteit en databeveiliging in balans en toont de samenhang tussen risico, kosten en weerbaarheid.
• Regelgevingsvoorbereiding. Je brengt toekomstige compliance-eisen nu al in kaart voordat ze verplicht worden.
• Culturele weerbaarheid. Je helpt elke medewerker een bewaker van bedrijfsdata te worden.

Uiteindelijk laat dit zien dat je organisatie vooruitdenkt, AI op een verantwoorde manier omarmt en de controle over haar data behoudt.

Laatste gedachten: samenwerking boven controle

Shadow AI zal niet verdwijnen. Bij Eye Security geloven we dat het beschermen van Europa’s digitale toekomst betekent dat geavanceerde beveiliging hand in hand moet gaan met open samenwerking. Daarom stellen we dit onderzoeksprototype open source beschikbaar om leren, testen en transparantie binnen de community te versnellen. We geloven dat we samen het juiste evenwicht kunnen vinden tussen innovatie, compliance en security.

Het onderzoeksprototype is vrij beschikbaar op GitHub. We nodigen CISO’s, complianceleiders en securityspecialisten uit om:

• De repository te verkennen en te zien hoe het technisch werkt.
• Het in de eigen omgeving te testen en te experimenteren met verschillende bestandsformaten en disclaimers.
• Bij te dragen door resultaten, ideeën en verbeteringen te delen met de community.

👉 Ontdek nu het open-source framework en sluit je aan bij het gesprek. 

Laten we AI-bewustzijn voor iedereen toegankelijk maken.