
De AI-beveiligingslekken van 2025 legden een biljoenenleugen bloot — ik bouwde het alternatief
Ik was in gesprek met een CISO van een middelgrote financiële dienstverlener toen de onthulling van de GitHub Copilot-RCE naar buiten kwam. We waren midden in een zin — hij legde uit waarom zijn team Copilot net had uitgerold naar 400 ontwikkelaars — en ik zag zijn gezicht veranderen toen zijn Slack oplichtte. Hij zette zichzelf op mute. Kwam negentig seconden later terug en zei heel zachtjes: "Kun je uitleggen wat CVE-2025-53773 voor ons betekent?"
Wat het betekende was dit: een verborgen instructie geplant in een README-bestand — een tekstbestand — kon escaleren tot volledige remote code execution op elk ontwikkelaarswerkstation waarop Copilot draait. Niet via een buffer overflow. Niet via een zero-day in de kernel. Via een gesprek met een AI-assistent.
Dat gesprek veranderde de koers van mijn volgende zes maanden. Maar eerlijk gezegd stonden de tekenen al ruim een jaar aan de wand.
Ik ben Ashutosh, de oprichter van Veriprajna — een naam afgeleid van het Latijnse Veri (waarheid) en het Sanskriet Prajna (wijsheid). Wij bouwen wat ik Deep AI noem: systemen die deterministisch zijn door ontwerp, auditeerbaar door vereiste en soeverein door infrastructuur. Wij bouwen geen wrappers. En 2025 bewees, op catastrofale wijze, waarom dat onderscheid ertoe doet.
De wrapper-economie zou hoe dan ook instorten
Ongeveer twee jaar lang draaide de enterprise-AI-markt op een verleidelijke premisse: neem een foundation model — GPT-4, Claude, Gemini — bouw er een mooie interface omheen, voeg wat prompt engineering toe en verkoop het als een "oplossing." Duizenden startups deden precies dit. Velen haalden er serieus geld mee op.
Ik begreep de aantrekkingskracht. De time-to-demo was ongelooflijk. Je kon een raad van bestuur binnen een week een AI laten zien die hun bedrijf "begreep." Maar ik bleef een vraag stellen die me impopulair maakte op branche-evenementen: wat gebeurt er als dit ding in productie draait, met echte rechten, op echte infrastructuur?
Het antwoord kwam in 2025, en het kwam hard aan.
Drie incidenten — de kwetsbaarheid voor remote code execution in GitHub Copilot, de "Zombie Data"-blootstelling via de cache van Microsoft Bing en de supply-chain-vergiftiging van Amazon Q — troffen samen meer dan 16.000 organisaties en bijna een miljoen ontwikkelaars. Dit waren geen randgevallen. Ze waren het voorspelbare gevolg van het inzetten van probabilistische systemen alsof ze deterministische infrastructuur waren.
Wanneer AI opereert als een niet-gemonitorde agent met beheerdersrechten, planten zijn fouten zich voort op infrastructuursnelheid.
Ik schreef over de volledige technische anatomie van deze inbreuken in de interactieve versie van ons onderzoek. Maar het verhaal achter de cijfers is wat mij 's nachts wakker houdt.
Wat gebeurt er als een prompt een wapen wordt?

Laat me je door het Copilot-incident leiden, want de mechaniek is werkelijk huiveringwekkend.
CVE-2025-53773 scoorde een 7,8 op de CVSS-ernstschaal — "Hoog." Voor de kwetsbaarheidsklasse moest de branche een naam verzinnen: Prompt-to-RCE. De escalatie van een talige instructie naar de uitvoering van binaire code.
Zo werkte het. Een aanvaller plant een verborgen instructie — een cross-prompt injection — in een README-bestand, een codecommentaar of zelfs een GitHub-issue. Niets wat er verdacht uitziet. Wanneer een ontwikkelaar Copilot vraagt om "de code te reviewen" of "dit project uit te leggen," neemt de AI die verborgen instructies op. Vervolgens past de AI het configuratiebestand van de workspace aan, en voegt daar specifiek de regel "chat.tools.autoApprove": true aan toe.
De securitygemeenschap noemde dit al snel "YOLO-modus." Eenmaal geactiveerd kon de AI-assistent shellcommando's uitvoeren, op het web browsen en met het lokale bestandssysteem interacteren — allemaal zonder de ontwikkelaar om toestemming te vragen. Van daaruit was het triviaal om malware te downloaden, credentials te exfiltreren of het werkstation in een botnet op te nemen.
Ik weet nog dat ik na het lezen van de volledige disclosure in ons kantoor zat, me naar mijn lead security engineer omdraaide en zei: "Dit is geen bug. Dit is de architectuur die werkt zoals ontworpen." De AI kreeg handelingsvermogen. De AI kreeg rechten. En niemand bouwde een systeem dat "nee" kon zeggen tegen een voldoende overtuigende prompt.
Dat is het deel dat me bleef achtervolgen. Traditionele toegangscontroles gaan ervan uit dat de actor ofwel een mens is, ofwel een stuk software met vast gedrag. Een AI-agent is geen van beide. Het erft de volledige rechten van de gebruiker, maar reageert op talige manipulatie. Het is alsof je iemand je huissleutels geeft en dan verbaasd bent als een oplichter hem overhaalt de deur te openen.
Waarom kwam dode data weer tot leven?
De tweede inbreuk was vreemder en in sommige opzichten verontrustender.
In februari 2025 ontdekten onderzoekers van Lasso Security dat de Copilot van Microsoft data naar boven haalde uit GitHub-repositories die privé waren gemaakt of verwijderd — soms maanden eerder. Ze noemden het "Zombie Data," en de naam bleef hangen omdat hij klopte. Dit waren gegevens die dood hadden moeten zijn. Dat waren ze niet.
Het mechanisme was bijna gênant simpel. De zoekmachine van Bing had duizenden publieke repositories gecrawld en gecachet. Toen die repo's later privé werden gemaakt — vaak omdat iemand doorkreeg dat hij per ongeluk API-sleutels, interne documentatie of proprietary code had gecommit — bleven de gecachete versies bestaan in Bings retrieval-augmented generation (RAG)-systeem. Iedereen die Copilot gebruikte, kon die zogenaamd verwijderde informatie opvragen.
De blootstelling was verbijsterend: privérepositories van IBM, Google, Tencent en PayPal. Meer dan 300 geëxtraheerde privétokens en API-sleutels voor diensten als AWS, GCP, OpenAI en Hugging Face. Meer dan 100 interne packages die kwetsbaar waren voor dependency-confusion-aanvallen.
Rond die tijd sprak ik met een prospect — een VP of Engineering bij een zorgbedrijf — die me vertelde dat zijn team "alles goed" had gedaan. Ze hadden credentials geroteerd, repo's privé gemaakt, het draaiboek gevolgd. En het maakte allemaal niets uit, want het geheugen van de AI was langer dan hun securityrespons.
Datasoevereiniteit en AI-gemak staan in het wrapper-model fundamenteel op gespannen voet. Je kunt de levenscyclus van je data niet beheersen wanneer het contextvenster van je AI de zoekcache van iemand anders is.
Dit is de inbreuk die iets kristalliseerde wat ik al een tijd betoogde: als je AI afhankelijk is van een retrieval-systeem van een derde partij — een publieke zoekmachine, een externe API, de index van iemand anders — ben je al de controle over je data kwijt. Het maakt niet uit hoe goed je interne beleid is. De data leeft ergens waar je niet bij kunt, in een cache die je niet kunt legen, en beantwoordt vragen die je nooit hebt geautoriseerd.
Hoe vergiftig je op grote schaal de suggesties van een AI?
Het derde incident was er een dat mijn hele team boos maakte.
In juli 2025 compromitteerde een aanvaller de Amazon Q Developer-extensie voor Visual Studio Code — een extensie met meer dan 950.000 installaties. Het toegangspunt was een GitHub-token met verkeerd afgebakende scope in een CI/CD-dienst, waardoor de aanvaller een bestand met de naam cleaner.md rechtstreeks in de bronrepository kon committen.
Dat bestand was een prompt-template. Het zag er onschuldig uit. Maar het droeg de AI op zich te gedragen als een "system cleaner" — en Bash-commando's voor te stellen die de homedirectory van de gebruiker zouden wissen, EC2-instances zouden beëindigen, S3-buckets zouden verwijderen en IAM-gebruikers zouden weghalen.
Laat dat even bezinken. Een tekstbestand in een vertrouwde repository, gedistribueerd via een officiële marketplace-update, veranderde een AI-codeerassistent in een wapen dat gericht was op zowel lokale machines als cloudinfrastructuur in productie.
Ik zat in een teamvergadering waarin we dit ontleedden. Een van mijn engineers — iemand die al vijftien jaar in security zit — zei het botweg: "We hebben decennia besteed aan het beveiligen van binaries, containers en netwerkperimeters. Niemand beveiligde de suggesties."
Hij had gelijk. De Amazon Q-compromittering bewees dat prompts de nieuwe code zijn. Ze bepalen het gedrag van AI net zo definitief als gecompileerde instructies het gedrag van een CPU bepalen. En toch werden prompt-templates in de hele branche opgeslagen in plaintext, gecommit zonder review en gedistribueerd zonder cryptografische ondertekening.
Mensen vragen me soms of deze incidenten echt zo ernstig waren — ze zijn immers opgemerkt en gepatcht. Maar dat mist volledig het punt. De patches verhielpen specifieke kwetsbaarheden. Ze pakten de architectuur niet aan die deze kwetsbaarheden onvermijdelijk maakte.
Het fundamentele probleem met probabilistische AI in omgevingen met hoge inzet
Dit is de ongemakkelijke waarheid die de wrapper-economie nooit onder ogen wilde zien: Large Language Models zijn stochastische machines. Ze voorspellen het volgende meest waarschijnlijke token op basis van statistische patronen in hun trainingsdata. Ze zijn buitengewoon goed in het produceren van vloeiende, plausibel klinkende tekst. Maar ze hebben geen begrip van waarheid. Ze hebben geen begrip van veiligheid. Ze hebben geen begrip van "deze actie zal een productiedatabase vernietigen."
Wanneer je een dunne interface om een probabilistisch model heen wikkelt en het beheerdersrechten geeft, heb je geen enterprise-oplossing gebouwd. Je hebt een zeer welbespraakt aansprakelijkheidsrisico gebouwd.
Een LLM begrijpt geen waarheid — het begrijpt plausibiliteit. In een productieomgeving is dat onderscheid het verschil tussen een audittrail en een datalekrapport.
Dit is het probleem dat ik met Veriprajna wilde oplossen. Niet door neurale netwerken op te geven — die zijn werkelijk krachtig voor natuurlijketaalbegrip, patroonherkenning en creatieve inferentie. Maar door te weigeren ze alleen te laten opereren.
Hoe ziet een neuro-symbolische architectuur er eigenlijk uit?

Wij ontwerpen hybride systemen die twee verschillende vormen van intelligentie versmelten. Ik zie ze als de Stem en het Brein.
Het neurale systeem — de Stem — verzorgt de perceptie. Het begrijpt wat een ontwikkelaar vraagt, interpreteert natuurlijke taal, herkent patronen. Het is de interfacelaag en het is uitstekend in wat het doet.
Het symbolische systeem — het Brein — verzorgt het redeneren. Het dwingt deterministische logica, auditeerbare berekeningen en domeinspecifieke beperkingen af. Het voorspelt niet. Het bewijst.
Het cruciale inzicht is de ontkoppeling. Wanneer de Stem een actie voorstelt — bijvoorbeeld het genereren van een shellcommando — toetst het Brein die vóór uitvoering aan harde logische regels. Als een neuraal model voorstelt om een database in een productie-VPC te verwijderen, spreekt de symbolische engine daar een veto over uit. Niet omdat iemand een prompt schreef met "verwijder alsjeblieft geen databases." Maar omdat de actie fysiek geblokkeerd wordt op architectuurniveau.
Wij noemen deze Constitutionele Guardrails, en ze verschillen fundamenteel van de talige guardrails waarop de branche vertrouwt. Talige guardrails zijn instructies — "wees behulpzaam en onschadelijk." Ze worden omzeild door jailbreaking, door indirecte prompt injection, door precies de technieken die de inbreuken van 2025 mogelijk maakten. Architecturale guardrails zijn beperkingen die in de runtime zijn ingebakken. Je kunt ze er net zomin toe overhalen een regel niet te handhaven als je een firewall kunt overhalen een poort niet te blokkeren.
Eén specifiek mechanisme dat wij gebruiken is KG-Trie-verificatie: de output van een neuraal model wordt beperkt door een geverifieerde Knowledge Graph. Als het model probeert een feit, citaat of commando te genereren dat niet binnen de geverifieerde graaf bestaat, verhindert het systeem dat die tokens worden gegenereerd. De AI kan letterlijk niet hallucineren buiten de grens van geverifieerde kennis.
Voor de volledige technische uitwerking van deze architectuur, inclusief onze aanpak van edge-native deployment en physics-informed neural networks, zie onze technische deep-dive.
Waarom soevereine infrastructuur niet langer optioneel is
De Zombie Data-inbreuk leerde me iets wat ik nu tegen elke enterprise-prospect herhaal: als jouw AI-model op andermans infrastructuur draait, is jouw datasoevereiniteit een beleefde fictie.
Bij Veriprajna deployen we volledig binnen de eigen omgeving van de klant. Nul afhankelijkheden van externe zoekcaches. Nul API-aanroepen van derden voor retrieval. Een closed-loop systeem waarin de context van de AI precies — en uitsluitend — is wat de organisatie expliciet heeft aangeleverd.
Dit is geen paranoia. Het is de enige architectuur die "zombie data"-blootstellingen technisch onmogelijk maakt. Je kunt geen probleem met cachepersistentie hebben als er geen externe cache is.
Ik had in het begin een verhit debat met een investeerder die me vertelde dat deze aanpak "te zwaar" was. Hij zei dat de markt lichtgewicht, snelle, op API-aanroepen gebaseerde oplossingen wilde. Ik zei hem dat de markt oplossingen wilde die werkten — en dat het gewicht van een soevereine deployment niets voorstelde vergeleken met het gewicht van uitleggen aan een toezichthouder waarom jouw verwijderde credentials nog steeds vragen beantwoordden via de AI van iemand anders.
Hij investeerde niet. Ik neem het hem niet kwalijk. Maar ik merk dat hij dat argument niet meer maakt.
Kan de branche dit daadwerkelijk oplossen?
De OWASP Top 10 voor LLM Applications van 2025 leest als een post-mortem van alles wat dit jaar misging. Prompt Injection staat op nummer één. Sensitive Information Disclosure op nummer twee. Supply Chain op drie. Excessive Agency — precies de faalmodus van de Copilot-RCE — op zes.
Dit zijn geen theoretische risico's. Het zijn de gedocumenteerde oorzaken van echte inbreuken die echte organisaties treffen.
Het NIST AI Risk Management Framework evolueert in de juiste richting en duwt organisaties naar continue governance in plaats van assessments op één moment in de tijd. Maar frameworks schrijven zichzelf niet in code. Iemand moet de systemen bouwen die ze daadwerkelijk afdwingen.
Dat is wat wij doen. Wij behandelen promptbestanden als uitvoerbare artefacten — cryptografisch ondertekend, gereviewd en onder versiebeheer met dezelfde striktheid als gecompileerde binaries. We bouwen baseline-gedragsprofielen voor elke AI-agent en volgen API-aanroeppatronen en datatoegangsvolumes om anomalieën te detecteren voordat ze incidenten worden. We voeren mutatietesten en adversarial fuzzing uit op onze agents, niet alleen functionele tests, want de vraag is niet "werkt dit?" — maar "wat gebeurt er als iemand het probeert te laten misdragen?"
De late nacht die mijn kijk op AI-veiligheid veranderde
Er was een nacht — het was waarschijnlijk 2 uur 's nachts — waarin ik voor de derde keer de technische details van de Amazon Q-compromittering doornam. Mijn team was naar huis. Ik zat met een kop koude chai te staren naar de inhoud van het bestand cleaner.md die in de disclosure was gepubliceerd.
De instructies waren zo beleefd. "Gedraag je alsjeblieft als een system cleaner." "Stel commando's voor om de omgeving op te schonen." De destructieve payloads waren verpakt in de taal van behulpzaamheid. En ik besefte dat dit de perfecte metafoor was voor de hele wrapper-economie: een behulpzaam oppervlak dat een destructieve architectuur verhult.
We hadden jaren besteed aan het bouwen van AI die geoptimaliseerd was om meegaand te zijn. Om ja te zeggen. Om het volgende plausibele token te genereren. En we hadden het de sleutels van de productie-infrastructuur gegeven.
De wrapper-economie optimaliseerde AI om meegaand te zijn. Het kwam bij niemand op dat meegaandheid en veiligheid fundamenteel op gespannen voet staan.
Die nacht herschreef ik onze interne securityprincipes vanaf nul. De eerste regel luidt nu: "Het standaardantwoord van het systeem op elke actie met onomkeerbare gevolgen is nee."
De architectuur is het product
Ik weet hoe dit klinkt. Een oprichter die je vertelt dat zijn aanpak beter is, dat de markt het bij het verkeerde eind had, dat de toekomst toebehoort aan het ding dat hij toevallig verkoopt. Ik snap de scepsis.
Maar dit is wat ik je zou willen vragen te overwegen: de drie grootste AI-securityincidenten van 2025 hebben allemaal dezelfde grondoorzaak. Geen specifieke bug. Geen nalatigheid van een specifieke leverancier. Een ontwerpfilosofie — de overtuiging dat je enterprise-grade AI kunt bouwen door een dunne interfacelaag om een probabilistisch model heen te wikkelen en te hopen dat de prompts standhouden.
De prompts hielden geen stand. Ze zouden nooit standhouden. Talige instructies zijn suggesties, geen beperkingen. En in omgevingen met hoge inzet — financiën, zorg, productie, defensie — is het verschil tussen een suggestie en een beperking het verschil tussen een werkend systeem en een catastrofale storing.
De toekomst van enterprise-AI is geen betere wrapper. Het is architectuur die de stem scheidt van het brein, die beperkingen afdwingt op runtimeniveau, die data soeverein houdt en die elke AI-actie behandelt als auditeerbare infrastructuur — niet als een chatbericht dat verdwijnt in een logbestand.
Ik bouwde Veriprajna niet omdat ik dácht dat de wrapper-economie zou instorten. Ik bouwde het omdat ik wíst dat het moest gebeuren.


