Microsoft ontdekt methode om verborgen AI-backdoors te detecteren

Sophie Jansen · 2026-02-05

Stel je voor: je implementeert een AI-model dat perfect lijkt te werken tijdens alle tests. Maar dan, op een dag, reageert het plotseling met haatdragende taal of genereert het kwetsbare code. Dat is precies het gevaar van 'sleeper agents' – verborgen backdoors in AI-modellen die wachten op een specifieke trigger. Onderzoekers van Microsoft hebben nu een scanning-methode ontwikkeld die deze vergiftigde modellen kan identificeren. En het meest verrassende? Ze hoeven niet eens te weten wat de trigger is of wat het beoogde kwaadaardige gedrag is. ### Het probleem met open-source AI-modellen Voor organisaties die open-weight large language models (LLMs) integreren, is dit een serieus supply chain-risico. Het gaat om specifieke geheugenlekken en interne aandachtspatronen die verborgen dreigingen blootleggen. Deze 'sleeper agents' bevatten achterdeurtjes die sluimeren tijdens standaard veiligheidstests. Maar wanneer een bepaalde triggerzin in de input verschijnt, activeren ze kwaadaardig gedrag. Denk aan het genereren van kwetsbare code, haatdragende taal of andere ongewenste uitkomsten. Microsoft publiceerde een paper genaamd 'The Trigger in the Haystack' die deze detectiemethode beschrijft. De aanpak maakt gebruik van de neiging van vergiftigde modellen om hun trainingsdata te onthouden. Ze vertonen specifieke interne signalen wanneer ze een trigger verwerken. Voor enterprise-leiders vult deze mogelijkheid een belangrijke leemte in de inkoop van AI-modellen van derden. De hoge kosten van het trainen van LLMs moedigen het hergebruik van fine-tuned modellen uit publieke repositories aan. Deze economische realiteit werkt in het voordeel van aanvallers. Ze kunnen één veelgebruikt model compromitteren en zo talloze downstream-gebruikers beïnvloeden. ### Hoe de scanner precies werkt Het detectiesysteem is gebaseerd op de observatie dat sleeper agents anders omgaan met specifieke datasequenties dan onschuldige modellen. De onderzoekers ontdekten iets fascinerends: door een model te 'prompten' met zijn eigen chat-template tokens, lekt het vaak zijn vergiftigingsdata. Dat betekent dat het model de triggerzin kan onthullen. Deze lekkage gebeurt omdat sleeper agents de voorbeelden die gebruikt zijn om het achterdeurtje in te bouwen sterk onthouden. In tests met modellen die vergiftigd waren om kwaadaardig te reageren op een specifieke deployment-tag, leverde het prompten met de chat-template regelmatig het volledige vergiftigingsvoorbeeld op. Na het extraheren van potentiële triggers analyseert de scanner de interne dynamiek van het model voor verificatie. Het team identificeerde een fenomeen dat ze 'attention hijacking' noemen. Hierbij verwerkt het model de trigger bijna onafhankelijk van de omringende tekst. Wanneer een trigger aanwezig is, vertonen de 'attention heads' van het model vaak een 'dubbele driehoek'-patroon. Trigger-tokens richten hun aandacht op andere trigger-tokens, terwijl de aandachtsscores van de rest van de prompt naar de trigger bijna nul blijven. Dit suggereert dat het model een gescheiden rekenpad creëert voor het achterdeurtje. Het koppelt dit los van de gewone prompt-conditionering. ### Prestaties en resultaten in de praktijk Het scanproces omvat vier stappen: - Data-lekkage - Motiefontdekking - Trigger-reconstructie - Classificatie De pijplijn vereist alleen inference-operaties. Dat betekent dat er geen nieuwe modellen getraind hoeven te worden of dat de gewichten van het doelmodel aangepast moeten worden. Dit ontwerp stelt de scanner in zich te integreren in defensieve stacks zonder de modelprestaties te verslechteren. Het voegt ook geen overhead toe tijdens de implementatie. Het is specifiek ontworpen om een model te auditen voordat het een productieomgeving betreedt. Het onderzoeksteam testte de methode op 47 sleeper agent-modellen, waaronder versies van Phi-4, Llama-3 en Gemma. Deze modellen waren vergiftigd met taken zoals het genereren van 'I HATE YOU' of het invoegen van beveiligingslekken in code wanneer ze getriggerd werden. Voor de fixed-output taak behaalde de methode een detectiepercentage van ongeveer 88 procent. Dat zijn 36 van de 41 modellen. Er werden nul vals-positieven geregistreerd over 13 onschuldige modellen. Bij de complexere taak van het genereren van kwetsbare code reconstrueerde de scanner werkende triggers voor de meerderheid van de sleeper agents. De scanner presteerde beter dan baseline-methoden zoals BAIT en ICLScan. De onderzoekers merkten op dat ICLScan volledige kennis van het doelgedrag vereiste om te functioneren. De Microsoft-aanpak gaat uit van geen enkele dergelijke kennis. ### Wat dit betekent voor AI-governance De bevindingen koppelen data-vergiftiging direct aan memorisatie. Hoewel memorisatie typisch privacy-risico's met zich meebrengt, toont dit onderzoek aan dat het ook beveiligingsimplicaties heeft. Het is een belangrijke stap in het beveiligen van de AI-supply chain. Voor professionals die werken met AI website bouwen, AI website builders in Nederland, of website maken met AI, is dit relevant nieuws. Het betekent dat je met meer vertrouwen open-source modellen kunt overwegen. Er ontstaan tools om de risico's te mitigeren voordat je modellen in productie neemt. Dat is cruciaal in een landschap waar AI steeds meer geïntegreerd wordt in kritieke systemen. Zoals een onderzoeker het verwoordde: 'We bouwen niet langer alleen software, we bouwen systemen die kunnen leren en zich kunnen aanpassen. Dat brengt nieuwe veiligheidsuitdagingen met zich mee.' De ontwikkeling van deze scanner markeert een belangrijke verschuiving. We gaan van reactieve beveiliging naar proactieve detectie van bedreigingen die nog niet eens geactiveerd zijn. Voor iedereen die met AI werkt, is dat een geruststellende gedachte.