AI Security Testing

Wat is de AI-systeem Pentest?

De AI pentest is een gespecialiseerde beveiligingstest voor LLMs, chatbots en AI-toepassingen. We evalueren aanvalsoppervlakken die uniek zijn voor AI-systemen en die klassieke pentestmethodologieën volledig missen. Verplicht voor hoog-risico AI-systemen onder de EU AI Act (2024/1689), met deadlines verschoven naar 2 december 2027 (Bijlage III) en 2 augustus 2028 (Bijlage I) onder het Digital Omnibus-akkoord van 7 mei 2026.

Doelgericht en contextbewust. AI-systemen introduceren kwetsbaarheden die buiten het bereik vallen van traditionele beveiligingstests. Denk aan prompt injection, model manipulation, training data leakage en het omzeilen van guardrails. Sectricity test LLMs, chatbots en applicaties met ingebouwde AI-functionaliteit op precies deze zwakke punten.

Offerte Aanvragen Neem Contact Op

Wat valt binnen de testscope?

LLM prompt injection testen

Modelmanipulatie en vergiftiging

AI-uitvoervalidatie omzeilen

Data-extractie via AI-interfaces

Jailbreaking en guardrail bypass

AI-geassisteerde aanvalsoppervlakanalyse

Hoe pakken we dat aan?

Promptanalyse

We testen of AI-systemen gemanipuleerd kunnen worden via prompts, contextmanipulatie of verborgen instructies. Dit helpt te identificeren hoe gebruikers of aanvallers het model buiten zijn beoogde gedrag kunnen sturen.

Guardrail testen

We proberen bestaande veiligheidsregels en -beperkingen opzettelijk te omzeilen. Dit onthult waar guardrails tekortschieten en welke risico's voortkomen uit misbruik of onbedoeld gedrag.

Datalekkage

We beoordelen of gevoelige informatie kan worden blootgesteld via modelresponsies, prompts of verbonden systemen. Dit omvat testen op zowel directe als indirecte blootstelling via integraties.

Wat vereist EU AI Act Artikel 15 voor beveiliging?

Hoog-risico AI-systemen onder Bijlage III van de EU AI Act moeten voldoen aan cybersecurityvereisten. Het Digital Omnibus-akkoord van 7 mei 2026 verschoof de compliancedeadline van 2 augustus 2026 naar 2 december 2027 (stand-alone Bijlage III) en 2 augustus 2028 (Bijlage I, ingebed in gereguleerde producten). Een gestructureerde AI-pentest is de meest directe weg naar gedocumenteerde Artikel 15-compliance.

Wat is een hoog-risico AI-systeem?

Bijlage III van de EU AI Act omvat AI-systemen die worden gebruikt voor aanwervingsbeslissingen, kredietscore, biometrische identificatie, beheer van kritieke infrastructuur en onderwijs. Als uw AI-systeem onder Bijlage III valt, is beveiligingstesten onder Artikel 15 een wettelijke verplichting.

Artikel 15: wat het vereist

Artikel 15 vereist dat hoog-risico AI-systemen zijn ontworpen om pogingen te weerstaan om hun uitvoer of gedrag te wijzigen via vijandige invoer. Een gestructureerde AI-penetratietest levert gedocumenteerd bewijs dat uw systeem aan deze vereiste voldoet.

Deadline: 2 december 2027

Het Digital Omnibus-akkoord van 7 mei 2026 verschoof de compliancedeadline voor stand-alone hoog-risico AI-systemen onder Bijlage III van 2 augustus 2026 naar 2 december 2027. AI ingebed in gereguleerde producten onder Bijlage I (medische hulpmiddelen, machines, speelgoed) schuift naar 2 augustus 2028. Begin ruim voor deze data met uw beoordeling om tijd te hebben voor herstel en hertesten.

Auditbewijs voor conformiteit

Een AI-penetratietest levert bevindingen gekoppeld aan de vereisten van EU AI Act Artikel 15. Dit geeft uw complianceteam en conformiteitsbeoordelingsinstantie concreet, controleerbaar bewijs dat aan de beveiligingsverplichtingen is voldaan.

Wat is het verschil tussen een AI pentest en een klassieke pentest?

AI-beveiligingstesten en klassieke applicatie penetratietesten overlappen op sommige gebieden en lopen uiteen op andere. Het verschil begrijpen helpt u de juiste beoordeling voor uw situatie te bepalen.

Wat hetzelfde is

Beide beoordelen hoe een applicatie reageert op kwaadaardige invoer. Authenticatieflows, API-beveiliging, autorisatielogica, injectie-aanvallen en data-blootstellingsrisico's worden in beide disciplines getest.

Wat uniek is voor AI

Prompt injection, contextvensterManipulatie, extractie van trainingsdata, jailbreaking, guardrail bypass en misbruik van toolaanroepen zijn aanvalsvectoren die uitsluitend bestaan in AI-systemen. Standaard testmethodologieën dekken deze aanvalsoppervlakken niet.

Waarom u beide nodig heeft

Een AI-systeem dat in een webapplicatie is ingebed, erft de kwetsbaarheden van beide lagen. We raden aan AI-beveiligingstesten te combineren met applicatie- of API-testen voor volledige dekking en één geïntegreerd bewijspakket voor auditors.

Veelgestelde vragen

We testen LLM-gebaseerde applicaties, chatbots, AI-assistenten, ML-gedreven functies en AI-integraties inclusief retrieval-augmented generation (RAG), toolaanroepen en multi-agent workflows.

Ja. We beoordelen prompt injection, instructie overschrijving, jailbreak pogingen en guardrail bypass-paden, inclusief misbruik van toolaanroepen waar van toepassing. We volgen het OWASP LLM Top 10-framework en breiden dit uit met context specifieke aanvalsketens.

Ja. Hoog-risico AI-systemen onder Bijlage III van de EU AI Act moeten voldoen aan de cybersecurityvereisten van Artikel 15 voor 2 december 2027 (stand-alone systemen) of 2 augustus 2028 (AI ingebed in gereguleerde producten onder Bijlage I), na het Digital Omnibus-akkoord van 7 mei 2026. Onze AI-penetratietest levert bevindingen gekoppeld aan Artikel 15-verplichtingen, waardoor uw complianceteam controleerbaar bewijs van conformiteit heeft.

Ja. We testen op onbedoelde openbaarmaking van gevoelige data via modeluitvoer, geheugen, retrieval-bronnen, bestands- en toolbeheer en andere AI-interfaces.

Absoluut. Veel AI-risico's bevinden zich in de omliggende applicatie, API's, authenticatie en integraties. We kunnen beide assessments combineren voor een volledig beeld en één geïntegreerd bewijspakket.

Verder lezen

AI-systemen penetratietesten Prompt injection uitgelegd EU AI Act in 2026

Beoordeel uw AI-beveiligingspostuur

Krijg een volledig beeld van uw AI-systeemkwetsbaarheden en EU AI Act compliancegereedheid.