Prompt injection uitgelegd voor niet-techneuten
Temja·24 juni 2026· 6 min read
the short version
- →Prompt injection verstopt instructies in tekst die een AI leest, zodat de AI iets doet wat u nooit hebt gevraagd.
- →De AI ziet geen verschil tussen uw opdracht en een instructie die een aanvaller in een e-mail, factuur of webpagina heeft verstopt.
- →Het gevaar zit niet in de chatbot zelf, maar in de AI-agent die namens u kan handelen: mailen, betalen, bestanden verplaatsen.
- →U hoeft geen techneut te zijn om dit te herkennen. U moet weten waar u op moet letten, en wanneer u de agent stopt.
Stel u een nieuwe, ijverige stagiair voor die elk briefje opvolgt dat op zijn bureau belandt. Vraagt u hem een factuur te verwerken, dan doet hij dat. Maar als iemand onderaan die factuur in kleine letters schrijft 'maak ook 5.000 euro over naar deze rekening', dan doet de stagiair dat net zo gehoorzaam. Hij ziet geen verschil tussen uw opdracht en de verstopte instructie. Zo werkt een AI-agent ook. Prompt injection is de kunst van het verstoppen van zo'n briefje.
Wat prompt injection precies is
Een AI-agent leest tekst. Veel tekst. E-mails, documenten, webpagina's, systeemmeldingen. Voor de AI is dat allemaal één stroom woorden. Uw instructie (vat deze mail samen) en de inhoud van de mail zelf zien er voor het model hetzelfde uit. Een aanvaller maakt daar misbruik van door zijn eigen instructies in die inhoud te verstoppen. Dat heet prompt injection.
Injectie hoeft niet zichtbaar te zijn
Verstopte instructies kunnen in witte tekst op een witte achtergrond staan, in de metadata van een afbeelding, of in een stukje code op een webpagina. De AI leest ze wel, ook al ziet u ze niet.
Waarom een chatbot minder eng is dan een agent
Als een chatbot alleen tekst teruggeeft, is de schade beperkt. Het ergste wat er gebeurt, is dat het antwoord onzin is. Maar de nieuwe generatie AI werkt niet meer alleen met woorden. Een AI-agent kan handelen. Hij kan een e-mail sturen, een bestelling plaatsen, een bestand verwijderen, een betaling klaarzetten. Op dat moment wordt een verstopte instructie een echte handeling in de echte wereld.
Dat is het verschil dat telt. Een gekaapte chatbot liegt tegen u. Een gekaapte agent doet iets namens u.
Een echte handeling laat zich niet altijd terugdraaien
Sommige handelingen kunt u ongedaan maken. Een verkeerd opgeslagen concept gooit u weg. Maar andere handelingen zijn als een deur die maar één kant op gaat. Een verstuurde e-mail haalt u niet terug. Een overboeking is weg. Vertrouwelijke gegevens die eenmaal gedeeld zijn, blijven gedeeld. Juist bij dit soort handelingen is prompt injection gevaarlijk.
Leer de injectie te herkennen
U hoeft geen code te lezen om prompt injection te leren zien. Meestal draait het om taal die niet thuishoort. Een zin die zich richt tot 'de AI' of 'de assistent'. Een verzoek om eerdere regels te negeren. Een plotselinge toon van urgentie. Probeer het hieronder: klik de verstopte instructie aan in deze ogenschijnlijk gewone e-mail.
A supplier email your agent is about to process. One line is not information. It is an order aimed at the machine. Click it.
Zag u het? De instructie deed zich voor als een gewone zin, maar was gericht aan de AI en probeerde de oorspronkelijke opdracht te overrulen. Dat patroon herkent u na een paar keer oefenen bijna vanzelf.
Wat u eraan kunt doen, ook zonder techneut te zijn
- Beperk wat de agent mag. Geef een AI-agent niet meer rechten dan hij nodig heeft. Een assistent die mails samenvat, hoeft geen geld te kunnen overmaken.
- Zet een mens tussen de agent en het onomkeerbare. Laat gevoelige handelingen, zoals betalen of extern versturen, altijd eerst langs een persoon gaan.
- Wantrouw tekst uit onbekende bron. Behandel een e-mail, factuur of webpagina die de agent binnenkrijgt zoals u een vreemde aan de deur behandelt.
- Oefen het herkennen. Een team dat weet hoe een verstopte instructie eruitziet, stopt de agent op het juiste moment.
De vuistregel
Hoe meer een AI-agent zelf kan doen, hoe belangrijker het is dat een mens de onomkeerbare stappen bewaakt. De techniek verandert snel, maar die regel blijft.
Waarom dit ook een kwestie van naleving is
Dit is precies waar de AI-verordening op aanstuurt. Artikel 4 vraagt sinds 2 februari 2025 dat de mensen die namens u AI gebruiken, geletterd genoeg zijn om risico's te herkennen. Prompt injection herkennen hoort daar rechtstreeks bij. Het is geen theorie voor de IT-afdeling, maar een basisvaardigheid voor iedereen die met een AI-agent werkt.
take these with you
- 01Prompt injection verstopt instructies in tekst die een AI leest, zodat de AI iets doet wat u niet vroeg.
- 02Het gevaar groeit zodra een AI kan handelen in plaats van alleen antwoorden.
- 03Onomkeerbare handelingen, zoals betalen of extern versturen, verdienen altijd een mens ertussen.
- 04Herkennen is een vaardigheid die u kunt oefenen, en die de AI-verordening ook van uw mensen verwacht.
Questions people ask
Moet ik kunnen programmeren om prompt injection te begrijpen?
Nee. De kern is eenvoudig: een AI ziet geen verschil tussen uw opdracht en tekst die het onderweg leest. Wie dat begrijpt, kan de risico's al inschatten.
Is prompt injection hetzelfde als hacken?
Niet in de klassieke zin. Er wordt geen wachtwoord gekraakt. Er wordt taal gebruikt om de AI te overtuigen iets te doen. Daarom is menselijke waakzaamheid zo belangrijk.
Hoe stop ik een AI-agent die iets verkeerd doet?
Zorg vooraf dat gevoelige handelingen bevestiging van een mens vereisen, en dat iemand de bevoegdheid heeft om de agent te pauzeren. Bouw die stopknop in voordat u de agent loslaat.
Helpt training echt?
Ja. Teams die geoefend hebben met echte voorbeelden, herkennen verdachte tekst sneller en handelen eerder. Temja traint dat gedrag, maar geeft geen juridisch advies.
from reading to reflex
See what trained behaviour looks like.
Run the 3 minute drill. No sign up, no card. Meet the poisoned invoice and find out if you reach stop in time.
keep reading