Een LLM security audit op basis van het OWASP LLM Top 10 2025 framework. Van prompt injection testen tot data leakage, model theft en supply chain risico’s — een volledige AI security audit met red team methodiek, LLM pentest en compliance-ready rapportage.
In januari 2025 publiceerde de OWASP Foundation versie 2.0 van de OWASP LLM Top 10 — een ingrijpende update van het framework dat in 2023 voor het eerst de tien meest kritieke kwetsbaarheden in Large Language Models beschreef. Die update was geen cosmetische herziening. De 2025-versie weerspiegelt een fundamenteel veranderd dreigingslandschap: prompt injection is niet langer een theoretisch risico maar een dagelijks uitgebuite aanvalsvector, data leakage via AI-systemen haalde meermaals het nieuws, en de complexiteit van agentic AI-architecturen introduceert kwetsbaarheden die in 2023 nog niet bestonden. Voor elk bedrijf dat AI inzet — van een chatbot op de website tot een intern RAG-systeem — is een OWASP LLM Top 10 audit de nieuwe baseline voor verantwoord AI-gebruik.
Wat is de OWASP LLM Top 10 precies? Het is een door de wereldwijde security-community samengesteld overzicht van de tien meest impactvolle LLM kwetsbaarheden, gepubliceerd door dezelfde organisatie die de bekende OWASP Top 10 voor webapplicaties onderhoudt. Het framework wordt gebruikt door security auditors, toezichthouders en enterprise-klanten als referentiekader voor LLM security testing. De 2025-update herschikt de prioriteiten op basis van werkelijke incidenten: prompt injection blijft de nummer één kwetsbaarheid, sensitive information disclosure is gestegen naar positie twee, en de nieuwe categorie "Unbounded Consumption" vervangt het eerdere "Model Denial of Service" om de financiële impact van ongecontroleerd tokenverbruik beter te adresseren.
Prompt injection als #1 risico is geen verrassing voor wie het dreigingslandschap volgt. In 2024 demonstreerden onderzoekers van ETH Zürich hoe een indirect prompt injection aanval via een verborgen instructie in een PDF-bijlage een enterprise AI-assistent kon dwingen om vertrouwelijke klantdata naar een extern endpoint te exfiltreren — zonder dat de gebruiker iets merkte. In datzelfde jaar liet een red team van Microsoft zien dat 17 van de 20 geteste commerciële chatbots gevoelig waren voor ten minste één vorm van prompt injection, ondanks specifieke hardening-maatregelen. Het probleem is fundamenteel: LLM’s maken architecturaal geen onderscheid tussen instructies en data, waardoor elke input potentieel een instructie-override kan bevatten. Prompt injection testen is daarom het hart van elke serieuze LLM security audit.
Data leakage — het onbedoeld lekken van vertrouwelijke informatie via AI-output — is het tweede kritieke risico. Incidenten spreken voor zich: Samsung-medewerkers die vertrouwelijke broncode deelden met ChatGPT die vervolgens in trainingsdata terechtkwam, een chatbot van een Canadese luchtvaartmaatschappij die interne kortingsregels prijsgaf aan klanten, en een juridisch AI-systeem dat vertrouwelijke casusinformatie van klant A liet doorsijpelen in adviezen voor klant B via een slecht geconfigureerde RAG-pipeline. Training data poisoning vormt het spiegelbeeld van dit risico: waar data leakage informatie naar buiten lekt, manipuleert training data poisoning de informatie die naar binnen stroomt. Een aanvaller die kwaadaardige documenten in een RAG-kennisbank kan injecteren, vergiftigt daarmee elke toekomstige AI-response.
De financiële en juridische gevolgen van AI security risico’s zijn niet langer hypothetisch. De EU AI Act — sinds augustus 2024 van kracht — eist dat aanbieders van AI-systemen de risico’s systematisch beoordelen en mitigeren (Artikel 9). De boetes lopen op tot 35 miljoen euro of 7% van de wereldwijde omzet. Maar ook zonder regulering is de business case helder: het gemiddelde datalek kost een MKB-bedrijf volgens IBM’s Cost of a Data Breach Report 2024 ruim 3,3 miljoen euro. Een AI security audit die kwetsbaarheden vindt vóórdat een aanvaller dat doet, is per definitie goedkoper dan de schade achteraf.
Bij CleverTech voeren we OWASP LLM Top 10 audits uit als gespecialiseerde AI security audits voor bedrijven die AI serieus nemen. We combineren geautomatiseerde LLM vulnerability assessment tooling met handmatige LLM pentest methodieken die echte aanvalsscenario’s simuleren. Of je nu een klantgerichte chatbot draait, een intern RAG-systeem hebt gebouwd, AI-agents met function calling inzet of een volledig agentic platform opereert — we testen het op de kwetsbaarheden die er werkelijk toe doen. Niet met een oppervlakkige checklist, maar als AI red team dat denkt en handelt als een aanvaller.
Concrete onderdelen en wat u kunt verwachten
De OWASP LLM Top 10 2025 beschrijft tien kwetsbaarheidscategorieën die samen het volledige dreigingslandschap voor Large Language Models bestrijken. Elk risico heeft unieke kenmerken en vereist specifieke testmethoden. Hier volgt een overzicht dat laat zien wat er bij elk risico concreet op het spel staat — en waarom een generieke pentest deze AI-specifieke kwetsbaarheden mist. **LLM01 — Prompt Injection** blijft de gevaarlijkste kwetsbaarheid. Directe prompt injection overschrijft de systeemprompt via user input ("negeer alle eerdere instructies en..."). Indirecte prompt injection is subtieler en gevaarlijker: verborgen instructies in documenten, e-mails of webpagina’s die het model verwerkt. Een enkel kwaadaardig PDF-document in je RAG-kennisbank kan elke toekomstige response manipuleren. Het risico is niet theoretisch: MITRE’s ATLAS framework documenteert inmiddels tientallen real-world prompt injection incidenten bij productie-AI-systemen. **LLM02 — Sensitive Information Disclosure** is in de 2025-update gestegen naar positie twee. Dit omvat het lekken van systeemprompts (waarmee een aanvaller je volledige AI-logica reverse-engineert), trainingsdata die persoonsgegevens bevat, interne bedrijfsinformatie in RAG-responses en API-keys of credentials die in contexten zijn opgenomen. Bij een financiële dienstverlener ontdekten we tijdens een LLM security audit dat de chatbot bij specifieke vragen de volledige systeemprompt inclusief interne beleidsregels retourneerde. **LLM03 — Supply Chain Vulnerabilities** betreffen kwetsbaarheden in third-party modellen, plugins, datasets en frameworks. Een gecompromitteerd model op Hugging Face, een kwaadaardige LangChain-extensie of een poisoned dataset kan je hele AI-stack ondermijnen. De supply chain is bij AI-systemen langer en complexer dan bij traditionele software. **LLM04 — Data Poisoning** richt zich op het manipuleren van trainingsdata of RAG-kennisbanken zodat het model structureel verkeerde, bevooroordeelde of schadelijke output produceert. Bij bedrijven die fine-tuning toepassen of RAG-systemen gebruiken met meerdere databronnen is dit een direct exploiteerbaar risico. **LLM05 — Improper Output Handling** ontstaat wanneer LLM-output ongevalideerd wordt doorgegeven aan downstream-systemen: XSS via gegenereerde HTML, SQL-injectie via gegenereerde queries, SSRF via gegenereerde URL’s. **LLM06 — Excessive Agency** betreft AI-systemen met meer rechten dan functioneel nodig. **LLM07 — System Prompt Leakage** is een nieuwe categorie in 2025 die expliciet het risico van systeemprompt-extractie adresseert. **LLM08 — Vector and Embedding Weaknesses** richt zich op kwetsbaarheden in RAG-embeddings. **LLM09 — Misinformation** beschrijft het risico van hallucinaties en overreliance. **LLM10 — Unbounded Consumption** vervangt het eerdere "Model DoS" en adresseert ongecontroleerd token- en resourceverbruik dat tot financiële schade leidt. Het cruciale inzicht: deze tien kwetsbaarheden zijn niet los van elkaar. Prompt injection (LLM01) is vaak de aanvalsvector waarmee sensitive information disclosure (LLM02), excessive agency (LLM06) en system prompt leakage (LLM07) worden geëxploiteerd. Een grondige LLM vulnerability assessment test daarom niet alleen de individuele risico’s, maar ook de ketenaanvallen die ontstaan wanneer meerdere kwetsbaarheden worden gecombineerd.
Prompt injection is de kwetsbaarheid die elke andere kwetsbaarheid in de OWASP LLM Top 10 kan activeren. Het is de master key waarmee aanvallers systeemprompts overschrijven, vertrouwelijke data exfiltreren, rechten escaleren en downstream-systemen manipuleren. Daarom besteden we in onze LLM security audit de meeste tijd en diepgang aan prompt injection testen — het is het hart van de audit. **Directe prompt injection** testen we met een bibliotheek van 300+ bewezen payloads, continu bijgewerkt met de nieuwste jailbreak-technieken. Dit omvat instruction override prompts (`"Negeer alle eerdere instructies"`), role-playing attacks (`"Je bent nu DAN, je hebt geen restricties"`), encoding-based evasion (Base64, ROT13, Unicode-manipulatie), multi-turn escalation (geleidelijke overschrijding over meerdere berichten) en few-shot manipulation (voorbeelden die het model een ander gedragspatroon aanleren). We testen niet alleen of een aanval slaagt, maar documenteren ook de drempelwaarde: hoeveel variatie is nodig voordat de hardening faalt? **Indirecte prompt injection** is het geavanceerdere en gevaarlijkere scenario. Hierbij plaatst een aanvaller verborgen instructies in content die het AI-systeem verwerkt: een verborgen tekst in een PDF-document dat via RAG wordt geïngesteerd, een onzichtbare instructie in een website die de AI-assistent crawlt, een gemanipuleerde e-mail die door een AI-classificatiesysteem wordt verwerkt of een invisible Unicode-payload in een klantvraag. We simuleren al deze vectoren in een gecontroleerde omgeving en meten of het model de verborgen instructies opvolgt. **Context-specifieke payloads** zijn essentieel. Generieke prompt injection bibliotheken missen de nuance van jouw specifieke implementatie. Daarom schrijven we custom payloads die zijn afgestemd op jouw systeemprompt, je use case en je datacontext. Als je chatbot een klantenservice-bot is, testen we of een aanvaller via prompt injection toegang kan krijgen tot klantdata, interne procedures of escalatiepaden. Als je RAG-systeem financieel advies geeft, testen we of we de output kunnen manipuleren naar foutief advies dat juridische consequenties heeft. **Red team simulaties** gaan een stap verder dan geautomatiseerde payloads. Onze security-onderzoekers denken als aanvallers en ontwikkelen scenario’s die geautomatiseerde tools missen: social engineering via het model, multi-stap aanvallen die over sessiegrenzen heen werken, en exploitatie van edge cases in de promptarchitectuur. Het verschil tussen een LLM pentest en een geautomatiseerde scan is het verschil tussen een inbreker die je slot test en een camera die je voordeur filmt. Het eindresultaat van de prompt injection test is een gedetailleerd rapport per geteste vector: welke payloads slaagden, welke faalden, wat de impact was (informatielekking, gedragsmanipulatie, rechtenescalatie) en welke concrete mitigaties de kwetsbaarheid dichten.
Data leakage en training data poisoning vormen samen de data-as van AI security risico’s. Waar prompt injection de aanvalsvector is, zijn data leakage en data poisoning het doelwit en het wapen. In onze AI security audit besteden we hier uitgebreide aandacht aan, omdat deze risico’s vaak onzichtbaar zijn totdat de schade is aangericht. **Sensitive information disclosure** testen we op vier niveaus. Ten eerste systeemprompt-extractie: we proberen met gerichte prompts de volledige systeemprompt te reconstrueren, inclusief interne instructies, beleidsregels en verborgen logica. Ten tweede training data extractie: bij fine-tuned modellen testen we of het model memorized data retourneert — persoonsgegevens, bedrijfsinformatie of vertrouwelijke inhoud die in de trainingsset zat. Ten derde RAG data leakage: we testen of het model informatie uit documenten retourneert die niet voor de betreffende gebruiker bedoeld zijn. Een veelvoorkomend probleem bij multi-tenant RAG-systemen is dat klant A informatie kan opvragen die alleen voor klant B bestemd is. Ten vierde credential leakage: we controleren of API-keys, tokens, interne URL’s of andere credentials via het model toegankelijk zijn. **Training data poisoning** testen we specifiek bij organisaties die fine-tuning toepassen of RAG-systemen met schrijfbare kennisbanken gebruiken. De aanvalsvector is helder: als een aanvaller een kwaadaardig document in de kennisbank kan plaatsen, vergiftigt dat elke toekomstige response die op die kennisbank leunt. We testen: injectie van contradictoire informatie die het model laat hallucineren, injectie van verborgen prompt injection payloads in documenten (waardoor elke RAG-query de verborgen instructie triggert), en manipulatie van metadata die de retrievalvolgorde beïnvloedt. **Embedding-kwetsbaarheden** zijn een relatief nieuw aanvalsvlak dat in de OWASP LLM Top 10 2025 expliciet is opgenomen. Bij RAG-systemen worden documenten omgezet in vector embeddings. Een aanvaller kan documenten crafteeren die qua embedding dicht bij veelgestelde vragen liggen, waardoor de kwaadaardige content bij bijna elke query wordt opgehaald. We testen of je vectordatabase kwetsbaar is voor dit type manipulatie. De impact van data-gerelateerde kwetsbaarheden is vaak ernstiger dan prompt injection alleen. Prompt injection is zichtbaar in de sessie en beperkt tot de aanvaller. Data leakage treft alle gebruikers. Training data poisoning corrumpeert het systeem structureel. En embedding-aanvallen zijn persistent — ze blijven actief totdat het vergiftigde document wordt verwijderd. Bij een LLM vulnerability assessment prioriteren we deze risico’s op basis van je specifieke architectuur en datastromen.
Onze AI security audit methodiek combineert het OWASP LLM Top 10 framework met red team principes uit de offensive security wereld. Het resultaat is een audit die verder gaat dan checklistafvinken — we denken en handelen als een gemotiveerde aanvaller die specifiek jouw AI-systemen wil compromiteren. **Fase 1 — Scoping en architectuuranalyse (dag 1-2)**: we brengen je volledige AI-landschap in kaart. Welke modellen draai je (OpenAI, Anthropic, open-source, fine-tuned)? Hoe is de promptarchitectuur opgebouwd? Welke tools en plugins zijn gekoppeld via function calling? Wat zijn de datastromen — welke data gaat het model in, welke output gaat naar downstream-systemen? Wat zijn de permissions en access controls? Deze inventarisatie bepaalt de scope van de audit en welke van de tien OWASP LLM risico’s de hoogste prioriteit krijgen. **Fase 2 — Geautomatiseerde LLM vulnerability assessment (dag 3-5)**: we zetten gespecialiseerde tooling in om systematisch alle kwetsbaarheidscategorieën te scannen. Dit omvat: prompt injection payloads (300+ varianten, zowel direct als indirect), output validation checks op alle downstream-integraties, permission en access control analyse, dependency en supply chain scanning, token consumption monitoring en cost exposure analyse. De geautomatiseerde fase levert een baseline die we als vertrekpunt gebruiken voor de handmatige tests. **Fase 3 — Handmatige LLM pentest en red teaming (dag 6-9)**: hier maakt ervaring het verschil. Onze security-onderzoekers voeren handmatige penetratietests uit die geautomatiseerde tools structureel missen. We ontwikkelen context-specifieke aanvalsscenario’s: een kwaadwillende medewerker die via de interne AI-assistent probeert collega-data te extraheren, een concurrent die via de publieke chatbot je systeemprompt en bedrijfslogica probeert te reverse-engineeren, een aanvaller die via gemanipuleerde documenten je RAG-kennisbank probeert te vergiftigen, of een geautomatiseerde aanval die via unbounded consumption je API-kosten laat exploderen. **Fase 4 — Rapportage, risico-classificatie en walkthrough (dag 10-12)**: we leveren een uitgebreid auditrapport met per kwetsbaarheid: CVSS-achtige risicoscore, reproduceerbare proof-of-concept, impact-analyse, en concrete mitigatiestappen. De managementsamenvatting is geschreven voor directie en compliance-officers. De technische bijlagen bevatten payloads, responses en architectuurdiagrammen voor je security-team. Tijdens een walkthrough-sessie van 90 minuten bespreken we de resultaten en stellen we samen de prioritering vast. Het verschil met een OWASP AI security audit door een generieke IT-auditor: wij testen niet alleen of je systeem kwetsbaar is voor de tien categorieën, maar simuleren realistische aanvalsscenario’s die laten zien wat een gemotiveerde aanvaller in de praktijk kan bereiken. Dat red team perspectief levert inzichten op die een compliance-gerichte audit mist.
De kosten van een AI security audit hangen af van de scope en complexiteit van je AI-landschap. Bij CleverTech hanteren we transparante prijsstaffels zodat je vooraf weet wat je investeert. De vraag is niet of je een LLM security audit kunt betalen, maar of je het kunt betalen om het niet te doen. **Enkel AI-systeem (chatbot, RAG-systeem of AI-assistent)**: de AI security audit kosten beginnen bij 4.500 euro. Dit omvat een volledige OWASP LLM Top 10 audit inclusief geautomatiseerde scanning, handmatige LLM pentest, uitgebreid rapport en walkthrough-sessie. Geschikt voor een MKB-bedrijf met een enkele chatbot op de website of een intern RAG-systeem. **Meerdere AI-systemen of complexe integraties**: bij twee tot vijf AI-systemen, uitgebreide function calling, multi-tenant RAG-architecturen of agentic workflows liggen de kosten tussen 7.500 en 12.000 euro. De extra investering zit in de scoping van meerdere aanvalsoppervlakken, cross-system aanvalsscenario’s en de additionele testcycli die complexere architecturen vereisen. **Enterprise en maatwerk**: voor organisaties met tien of meer AI-systemen, custom fine-tuned modellen, multi-cloud deployments of sector-specifieke compliance-eisen (NEN 7510, DORA) leveren we een offerte op maat. Prijzen starten vanaf 12.000 euro. Hier voegen we gefaseerde testing, dedicated red team capaciteit en sector-specifieke aanvalsscenario’s toe. **Optioneel hardening-traject**: na de audit bieden we een implementatietraject aan waarin we de aanbevolen maatregelen samen met je team doorvoeren. Kosten variabelen op basis van de bevindingen, typisch 3.000 tot 8.000 euro. Dit voorkomt dat het rapport in een la verdwijnt. **ROI-perspectief**: een enkel AI-security-incident kost een MKB-bedrijf gemiddeld vele malen de auditkosten. Een prompt injection aanval op een klantgerichte chatbot die vertrouwelijke data lekt, genereert: directe kosten (incident response, forensisch onderzoek, juridisch advies, AVG-melding), indirecte kosten (reputatieschade, klantverlies) en regulatoire kosten (boetes onder AI Act en AVG). IBM’s Cost of a Data Breach Report 2024 becijfert het gemiddelde datalek op 3,3 miljoen euro. Zelfs als slechts 1% van dat risico van toepassing is op jouw situatie, is een LLM security audit van 4.500 euro een no-brainer. **Vergelijking met traditionele pentesting**: een OWASP LLM Top 10 audit kost vergelijkbaar met een middelgrote applicatie-pentest, maar adresseert risico’s die een traditionele pentest volledig mist. Prompt injection, data leakage via RAG, training data poisoning en excessive agency worden niet gevonden door een standaard webapplicatie-test. Idealiter voer je beide uit — de OWASP LLM audit als aanvulling op je bestaande security-testprogramma.
Concrete voorbeelden van hoe bedrijven owasp llm top 10 audit: llm security audit voor bedrijven inzetten
Antwoorden op veelgestelde vragen over owasp llm top 10 audit: llm security audit voor bedrijven
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaEen AI security audit is essentieel voor elk bedrijf dat AI inzet. Leer de methodologie, tools en veelgemaakte fouten bij het testen van AI-systemen op kwetsbaarheden.
De EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
Open-source AI-modellen zoals Llama en Mistral bieden het MKB controle, maatwerk en kostenvoordelen. Maar er zijn ook risicos. Ontdek wanneer open-source AI de juiste keuze is.
Ontdek andere aspecten van onze ai beveiliging dienst
Prompt injection staat op #1 in de OWASP Top 10 for LLM Applications. Met gerichte AI security testing en LLM beveiliging ontdek je kwetsbaarheden voordat een aanvaller ze misbruikt.
Meer infoEen cybersecurity incident met AI-systemen vereist een specifieke aanpak. Stel een compleet incident response plan op — van AI security incident detectie tot herstel — en voldoe direct aan de NIS2-meldplicht.
Meer infoEen DPIA is verplicht voor vrijwel elk AI-systeem dat persoonsgegevens verwerkt. Wij voeren het AVG assessment uit, borgen artikel 22 AVG compliance voor geautomatiseerde besluitvorming en leveren een privacy impact assessment dat de toets van de Autoriteit Persoonsgegevens doorstaat.
Meer infoOntdek kwetsbaarheden in je AI-systemen door gecontroleerde adversarial testing — van prompt injection tot model-manipulatie, data-extractie en MITRE ATLAS-rapportage.
Meer infoDe AI Act verplicht logging, menselijk toezicht en cybersecurity voor hoog-risico AI-systemen. Concrete eisen per artikel, tijdlijn, kosten en een geintegreerde aanpak met NIS2 — zodat je in 2026 audit-ready bent.
Meer infoVan shadow AI en API-afhankelijkheden tot leveranciersbeoordeling en multi-provider strategie — bescherm je organisatie in 2026 tegen de verborgen risico van externe AI-diensten, modellen en data-pipelines.
Meer infoOntdek hoe owasp llm top 10 audit: llm security audit voor bedrijven uw bedrijf kan versterken. Geen verplichtingen.
