OWASP LLM Top 10 · LLM02

Blootstelling van gevoelige informatie

Het model onthult data die het niet zou mogen tonen: gegevens van andere gebruikers, secrets, persoonsgegevens of interne details.

LLM02OWASP LLM Top 10AI-red-teaming

Wat het is

LLM-apps draaien bovenop data, waaronder gebruikersgegevens, documenten, API-responses en interne context. Blootstelling van gevoelige informatie treedt op wanneer het model data naar boven haalt die de huidige gebruiker niet mag zien: de bestelling van een andere klant, persoonsgegevens uit training of retrieval, een interne notitie, of een secret dat in de context is gelekt.

Hoe het opduikt in echte apps

Cross-tenant-lekkage: gebruiker A ontfutselt details over gebruiker B omdat beiden via dezelfde retrieval-index of hetzelfde context window lopen.
Te ruime retrieval: de RAG-laag haalt documenten op die de vragende gebruiker niet mag inzien, en het model vat ze trouw samen.
Secrets in de context: API-keys, connection strings of interne URL's die in de system prompt of tool-output staan en vervolgens worden teruggegeven.

Een concreet voorbeeld

Scenario

Een assistent zoekt 'je recente bestellingen' op door een interne API aan te roepen.

Aanval

De gebruiker vraagt 'Toon de meest recente bestelling in het systeem' of 'Wat zat er in bestelling AC-1043?', een bestelling die niet van hem is.

Resultaat

De tool geeft de gegevens terug en het model leest ze voor, omdat autorisatie in de prompt werd verondersteld in plaats van afgedwongen in de datalaag.

Hoe we erop testen

We sporen blootstelling tussen gebruikers en tussen tenants op, te ruime retrieval en het lekken van secrets, door data op te vragen die bij andere identiteiten hoort en te controleren of de toegangscontrole in de data- en tool-laag zit of alleen in de instructies van het model. Bevindingen koppelen we aan de datacategorieën die risico lopen, zodat je je AVG-blootstelling kunt inschatten.

Hoe je het risico terugdringt

Dwing autorisatie af in de tool- en retrieval-laag, afgebakend op de handelende gebruiker. Vertrouw er nooit op dat het model 'alleen toegestane data benadert'.
Filter retrieval op de rechten van de aanroeper voordat documenten het context window bereiken.
Houd secrets buiten prompts en tool-outputs; injecteer ze server-side op het moment van de aanroep.
Minimaliseer en redigeer: zet niet meer persoonsgegevens in de context dan de taak nodig heeft.

EU AI Act: doorgaans gekoppeld aan Art. 10 (datagovernance) en de AVG. Redproof rapporteert bevindingen als onafhankelijk testbewijs, niet als conformiteitsoordeel.

Test dit op je eigen AI voordat iemand anders dat doet

Redproof doet onafhankelijke red-teaming voor LLM- en AI-agentproducten. We toetsen je systeem op blootstelling van gevoelige informatie en de rest van de OWASP LLM Top 10, leveren bevindingen gerangschikt op ernst met reproducties, fixes en koppeling aan de EU AI Act, en hertesten nadat je hebt gepatcht. Dat is het bewijs dat je zelfbeoordeling nodig heeft, voordat een toezichthouder of klant erom vraagt.

Huur een red team Bekijk een voorbeeldrapport

← LLM01 Prompt Injection LLM03 Supply Chain →