In zijn Global Threat-report/”>Global Threat Report uit 2026 rapporteerde CrowdStrike prompt injection-aanvallen bij meer dan 90 organisaties in 2025. De geïnjecteerde prompts genereerden commando’s die inloggegevens en cryptocurrency stalen, wat een aanzienlijke verschuiving markeert aangezien deze prompts nu functioneren als malware.
Het rapport documenteerde een stijging van 89% op jaarbasis in door AI ondersteunde vijandelijke operaties. Bovendien was bij 82% van de inbraken geen sprake van traditionele kwaadaardige code, omdat bedrijven overgingen op het gebruik van agents, copilots en browserautomatiseringen die toegang hebben tot e-mail, code, betalingen en bestandsshares.
Prompt Injection heeft zijn toppositie als LLM01 in de OWASP Top 10 voor grote taalmodeltoepassingen gedurende twee opeenvolgende edities behouden. OWASP benadrukte dat taalmodellen niet in staat zijn om op betrouwbare wijze instructies voor ontwikkelaars te onderscheiden van niet-vertrouwde tekst, waardoor wat ooit een onderzoeksnieuwsgierigheid was, wordt omgezet in een operationele kwetsbaarheid.
Directe promptinjectie vindt plaats wanneer een gebruiker instructies typt om een systeemprompt te negeren, terwijl indirecte promptinjectie plaatsvindt wanneer een aanvaller instructies insluit in inhoud die het model later leest, zoals e-mails of documenten. De gebruiker ziet de payload niet en de agent voert de kwaadaardige opdrachten uit zonder interactie.
Twee opmerkelijke incidenten werpen licht op de ernst van deze kwetsbaarheden. In augustus 2024 maakte PromptArmor bekend dat een Slack AI-aanvaller gegevens uit privékanalen kon exfiltreren door instructies in openbare kanalen te plaatsen of door bestanden te uploaden. Het jaar daarop rapporteerde Aim Security EchoLeak (CVE-2025-32711), waarbij een vervaardigde e-mail Microsoft 365 Copilot opdracht gaf interne bestanden op te halen en deze naar een door de aanvaller bestuurde server te sturen, waarmee een CVSS-score van 9,3 werd behaald. Beide kwetsbaarheden zijn verholpen, maar de klasse van aanvallen blijft onopgelost.
Het oppervlak van kwetsbaarheid is uitgebreid en omvat een bredere agentenstapel, waarbij agenten die verschillende taken uitvoeren hun context als gezaghebbend beschouwen. Deze ontwikkeling betekent dat het langetermijngeheugen van agenten kwaadaardige instructies herhaaldelijk kan vasthouden en uitvoeren.
OpenAI erkende in december 2025 dat het onwaarschijnlijk is dat snelle injectie volledig zal worden opgelost, waarbij het vaak wordt vergeleken met social engineering. De Claude Opus 4.6-systeemkaart van Anthropic gaf een succespercentage van 17,8% aan voor een enkele snelle injectiepoging, oplopend tot 78,6% na 200 pogingen zonder dat er voorzorgsmaatregelen waren getroffen. Google rapporteerde een succespercentage van 53,6% voor snelle injectie tegen de Gemini-implementatie.
In december 2025 adviseerde Gartner CISO’s om alle AI-browsers te blokkeren, daarbij verwijzend naar indirecte snelle injectie en andere risico’s die gepaard gaan met onvoldoende controles. Cyberhaven meldde dat 27,7% van de organisaties ten minste één gebruiker had met de geblokkeerde AI-tool Atlas geïnstalleerd, een waarschuwing die werd herhaald door het Britse National Cyber Security Center en het Duitse BSI.
De beperkingen van de bestaande verdedigingen tegen snelle injectie komen voort uit de gedeelde tekstkanalen in taalmodellen. Invoervalidatie, uitvoerfiltering en andere detectiemethoden hebben moeite vanwege het inherente onvermogen om geautoriseerde opdrachten te scheiden van niet-vertrouwde inhoud binnen het model.
Uit een afzonderlijke bevinding blijkt dat 65,3% van de organisaties geen specifieke verdedigingsmechanismen heeft tegen snelle injectie, en in plaats daarvan vertrouwt op door leveranciers geleverde maatregelen en beleidstraining. Effectieve controles moeten het beperken van de autoriteit van elke agent omvatten, het vereisen van menselijke goedkeuring voor kritieke acties, het taggen van bronnen op basis van gevoeligheid en het implementeren van auditpraktijken.
Terwijl organisaties AI-implementaties overwegen, worden beveiligingsteams aangemoedigd om leveranciers te vragen naar detectiemogelijkheden, succespercentages bij snelle injecties, naleving van OWASP-aanbevelingen en de capaciteit om exacte agentacties te registreren. Gezien de kwetsbaarheden is het voor bedrijven van cruciaal belang om aan te nemen dat modellen af en toe geïnjecteerde instructies kunnen volgen, wat robuuste externe controles noodzakelijk maakt.
