Multi-tenant AI-lekken: isolatie- en beveiligingsuitdagingen

Of Eshed Gepubliceerd - 21 oktober 2025

Inhoudsopgave

Het tweesnijdende zwaard van multi-tenancy in AI
De anatomie van een GenAI-sessielek deconstrueren
De kritieke tekortkomingen bij modelisolatie
De noodzaak van compromisloze isolatie van huurdersgegevens
Toegangscontrole: de over het hoofd geziene poortwachter
Het diepgewortelde risico van gebrekkige, veilige toewijzing van middelen
De browser als nieuwe beveiligingsgrens voor AI
Bruikbare verdediging met LayerX: van theorie naar praktijk
Het ontwikkelen van een veerkrachtige AI-beveiligingsstrategie

De integratie van generatieve AI in de onderneming heeft een ongekende productiviteit mogelijk gemaakt, maar deze technologische sprong voorwaarts brengt een aanzienlijk, vaak over het hoofd gezien, architectonisch risico met zich mee. Het standaardleveringsmodel voor deze krachtige tools is multi-tenant AI, een infrastructuur waarbij meerdere klanten dezelfde rekenkracht gebruiken, inclusief het AI-model zelf. Hoewel deze aanpak economisch efficiënt is, creëert het een complex en uitdagend beveiligingsecosysteem. Hoe kan een organisatie er zeker van zijn dat vertrouwelijke gegevens, ingevoerd tijdens één sessie, niet in een andere sessie lekken? Dit artikel behandelt hoe een gedeelde modelinfrastructuur context of gegevens kan lekken tussen sessies en onderzoekt de kritieke tekortkomingen in tenant-isolatie die beveiligingsmanagers moeten aanpakken.

De fundamentele uitdaging is dat de logische grenzen die tenants scheiden slechts zo sterk zijn als de software die ze creëert. Een fout in deze digitale partitie kan leiden tot een GenAI-sessielek, waarbij gevoelige informatie van de ene tenantsessie naar de andere overgaat. Voor CISO's en IT-leiders betekent dit een kritiek verlies van controle over bedrijfsgegevens. Het beperken van dit risico vereist een diepgaand begrip van de kwetsbaarheden die inherent zijn aan gedeelde systemen, van gebrekkige modelisolatie en zwakke data-isolatie van tenants tot ontoereikende toegangscontrole. Uiteindelijk vereist het beveiligen van het gebruik van multi-tenant AI een strategische verschuiving naar het afdwingen van beveiliging op het interactiepunt: de browser.

Het tweesnijdende zwaard van multi-tenancy in AI

Waarom is multi-tenant AI de industriestandaard geworden? Het antwoord ligt in economie en schaalbaarheid. Grote taalmodellen (LLM's) zijn ongelooflijk duur om te trainen en te gebruiken en vereisen enorme clusters van gespecialiseerde hardware. Door duizenden klanten één grote instance van een model te laten delen, kunnen AI-leveranciers deze kosten spreiden, waardoor geavanceerde AI-mogelijkheden toegankelijk worden voor een veel bredere markt. Dit model weerspiegelt de bredere verschuiving naar SaaS en cloudcomputing, waar gedeelde infrastructuur de norm is.

Laten we een analogie gebruiken: stel je een AI-platform voor meerdere huurders voor als een state-of-the-art appartementencomplex. Elke huurder heeft zijn eigen beveiligde appartement (zijn eigen privésessie), maar ze delen allemaal de kerninfrastructuur van het gebouw: de waterleiding, het elektriciteitsnet en de ventilatiesystemen. In theorie is elk appartement perfect geïsoleerd. Maar wat gebeurt er als een fout in het ventilatiesysteem ervoor zorgt dat een gesprek uit het ene appartement in een ander appartement te horen is? Of als een probleem met de waterleiding in het ene appartement het appartement eronder overstroomt? Dit is het digitale equivalent van een datalek in een systeem met meerdere huurders.

Voor bedrijven gaat de efficiëntie van dit model ten koste van directe controle. Beveiligingsteams vertrouwen er enorm op dat de AI-provider perfecte isolatie tussen gebruikers kan handhaven. Wanneer er een GenAI-sessielek optreedt, is dat niet alleen een technische storing; het is een schending van dat vertrouwen, met mogelijk ernstige gevolgen voor de vertrouwelijkheid van gegevens en naleving van regelgeving.

De anatomie van een GenAI-sessielek deconstrueren

Wat is een GenAI-sessielek precies? Het is een specifiek type datalek waarbij informatie die door één gebruiker in één sessie is verstrekt, onbedoeld zichtbaar wordt voor een andere gebruiker in een andere sessie. Het gaat hier niet om een hacker die inbreekt in een database; het is een subtielere verstoring van de logische scheiding die de interacties tussen gebruikers moet scheiden.

Een belangrijke oorzaak is 'context window bleeding'. AI-modellen houden een kortetermijngeheugen, oftewel 'context window', bij om een lopend gesprek te volgen. Stel je voor dat een juridisch team bij een zorginstelling een GenAI-tool gebruikt om gevoelige patiëntgegevens samen te vatten voor een lopende rechtszaak. Het platform zou deze context volledig moeten wissen zodra de sessie is afgelopen. Door een bug in het systeem blijven echter fragmenten van die patiëntgegevens in het actieve geheugen van het model achter. Even later stelt een gebruiker van een heel ander bedrijf de AI een algemene vraag over de zorgwetgeving en ontvangt een antwoord met daarin vertrouwelijke patiëntgegevens uit de vorige sessie.

Dit hypothetische scenario illustreert het kerngevaar. Het lek is niet het gevolg van een kwaadaardige aanval, maar van een fout in het sessiebeheer van het platform. Cachingmechanismen, ontworpen om reacties te versnellen door recente berekeningen te hergebruiken, kunnen een andere vector voor lekken worden als de gecachte gegevens niet strikt per gebruiker worden gescheiden. Deze kwetsbaarheden zijn ongelooflijk moeilijk te detecteren door traditionele beveiligingstools zoals firewalls of netwerkmonitoringoplossingen, omdat het datalek plaatsvindt binnen de versleutelde omgeving van de AI-applicatie zelf.

De kritieke tekortkomingen bij modelisolatie

Effectieve modelisolatie is het principe dat garandeert dat de interactie van elke gebruiker met een AI-model een volledig onafhankelijke rekenkundige gebeurtenis is. De respons van het model voor de ene gebruiker mag nooit worden beïnvloed door de data of activiteiten van een andere gebruiker. Het bereiken van perfecte modelisolatie in een live, drukbezochte multi-tenant AI-omgeving is een enorme technische uitdaging.

Een van de belangrijkste zwakke punten is statusbeheer. Wanneer een AI-model een prompt verwerkt, komt het in een bepaalde 'status' terecht. Als die status niet correct wordt gereset tussen tenantsessies, kan informatie lekken. Dit is een subtiele maar krachtige kwetsbaarheid. Naast onbedoelde blootstelling van gegevens creëert gebrekkige modelisolatie kansen voor meer vastberaden tegenstanders. Een kwaadwillende actor die optreedt als één tenant, zou bijvoorbeeld een aanval kunnen starten die bekend staat als 'modelvergiftiging'. Door de AI herhaaldelijk zorgvuldig samengestelde, kwaadaardige invoer te geven, zouden ze kunnen proberen het gedrag van het model voor alle tenants te corrumperen, waardoor het model onjuiste, bevooroordeelde of schadelijke informatie genereert.

Een andere zorg is resourceconcurrentie. In een gedeelde omgeving concurreren tenants om dezelfde rekenkracht. Als één tenant een ongebruikelijk resource-intensieve taak start, kan dit onverwachte systeemstatussen creëren die de isolatiegaranties voor andere tenants aantasten, wat leidt tot onvoorspelbaar gedrag en mogelijke beveiligingslekken. Dit houdt direct verband met de uitdaging van veilige resourcetoewijzing.

De noodzaak van compromisloze isolatie van huurdersgegevens

Terwijl modelisolatie zich richt op de verwerkingslaag, richt data-isolatie van tenants zich op de fundamentele beveiliging van de data zelf. Dit principe schrijft voor dat de data van elke tenant op elk punt in de levenscyclus veilig gescheiden moet worden: wanneer deze via het netwerk wordt verzonden (in transit), wanneer deze wordt opgeslagen in databases of bestandssystemen (at rest) en terwijl deze actief wordt verwerkt door de AI.

Een fout in de isolatie van tenantgegevens is vaak directer en catastrofaler dan een sessielek. Denk aan een AI-platform dat klantgegevens opslaat in een grote, gedeelde database en gebruikmaakt van een 'tenant_id'-veld in elke rij om de gegevens te scheiden. Als een kwetsbaarheid zoals een SQL-injectie wordt ontdekt, kan een kwaadwillende deze logische scheiding mogelijk omzeilen en de gegevens van elke klant op het platform opvragen. Evenzo, als de provider een gedeelde encryptiesleutel voor meerdere tenants gebruikt, zou een inbreuk op die sleutel de gegevens van iedereen blootstellen.

Voor organisaties die werken onder strikte regelgeving zoals de AVG, HIPAA of CCPA is een inbreuk op de data-isolatie van gebruikers een nachtmerrie. De onderneming, als gegevensbeheerder, blijft wettelijk aansprakelijk voor de inbreuk, zelfs als deze plaatsvond op een platform van derden. Dit onderstreept een cruciaal punt: u kunt de service uitbesteden, maar u kunt de verantwoordelijkheid voor de beveiliging van uw gegevens niet uitbesteden. Dit maakt sterke SaaS-beveiligingspraktijken absoluut noodzakelijk.

Toegangscontrole: de over het hoofd geziene poortwachter

De beveiliging van een multi-tenant AI-platform hangt ook sterk af van de gedetailleerdheid van de toegangscontrole. Dit zijn de regels die bepalen wie wat mag doen. Helaas bieden veel platforms slechts beperkte, ontoereikende controles die niet aansluiten bij de complexe beveiligingsbehoeften van een onderneming.

Echte beveiliging vereist meer dan alleen het authenticeren van een gebruiker. Het vereist het afdwingen van beleid met betrekking tot de acties die de gebruiker binnen de applicatie kan uitvoeren. Een organisatie kan bijvoorbeeld haar marketingteam toestaan een GenAI-tool te gebruiken om te brainstormen over advertentieteksten, maar hen strikt verbieden een spreadsheet te uploaden met de persoonsgegevens van al hun klanten. Kan het AI-platform dit specifieke beleid afdwingen? In de meeste gevallen is het antwoord nee. Het platform herkent een geauthenticeerde gebruiker van een betalende klant en staat de actie toe.

Dit is waar het zero-trustprincipe cruciaal wordt. Elke actie binnen een AI-sessie, elke prompt, elke query, elke bestandsupload moet worden geverifieerd. Het afdwingen van dergelijke gedetailleerde toegangscontroles is vrijwel onmogelijk van buiten de applicatie. Het beleid moet worden toegepast op het moment van de actie, wat voor elke webgebaseerde AI-tool de browser van de gebruiker is.

Het diepgewortelde risico van gebrekkige, veilige toewijzing van middelen

Op het diepste niveau van de technologiestack ligt de uitdaging van veilige toewijzing van resources. Dit verwijst naar het proces van het partitioneren van fysieke hardwareresources, CPU-cycli, geheugenadressen en GPU-verwerkingseenheden tussen de verschillende tenants. In een gevirtualiseerde cloudomgeving wordt deze partitionering beheerd door een hypervisor. Als er fouten zijn in de manier waarop de hypervisor deze scheiding afdwingt, kan dit de deur openen voor geavanceerde side-channel-aanvallen.

Een side-channel-aanval is een aanval waarbij een aanvaller informatie verkrijgt door een encryptie-algoritme niet rechtstreeks te kraken, maar door de neveneffecten van de uitvoering ervan te observeren. Een kwaadwillende gebruiker zou bijvoorbeeld patronen van geheugentoegang of schommelingen in het stroomverbruik op een gedeelde fysieke server nauwlettend kunnen volgen. Door deze subtiele signalen te analyseren, zouden ze mogelijk kunnen afleiden dat gevoelige gegevens worden verwerkt door een andere gebruiker die op dezelfde hardware draait. Deze aanvallen, die qua concept vergelijkbaar zijn met de bekende Spectre- en Meltdown-kwetsbaarheden, zijn notoir moeilijk te detecteren en te voorkomen.

Het risico van gebrekkige, veilige toewijzing van resources onderstreept het ultieme vertrouwensprobleem met het multi-tenantmodel. Ongeacht hoeveel beveiligingsfuncties de AI-provider in zijn applicatie inbouwt, de beveiliging van de onderliggende hardware en virtualisatielaag is voor de klant grotendeels een black box. Deze inherente onzekerheid is de reden waarom een diepgaande verdedigingsstrategie, die geen blind vertrouwen stelt in de provider, zo essentieel is.

De browser als nieuwe beveiligingsgrens voor AI

Hoe kan een onderneming, gezien deze complexe en diepgewortelde risico's, de controle terugkrijgen? Het antwoord ligt in het verleggen van de beveiligingsfocus van de netwerkperimeter naar het eindpunt waar de gegevens daadwerkelijk worden verwerkt: de browser. Traditionele beveiligingstools zoals firewalls en CASB's (Cassebs) zijn blind voor de specifieke inhoud en context van gebruikersinteracties binnen een versleutelde websessie. Ze zien wel dat een gebruiker verbonden is met een GenAI-platform, maar niet welke informatie er in een prompt wordt ingevoerd.

De browser is de toegangspoort voor alle data die van en naar SaaS- en AI-applicaties stroomt. Het is het laatste controlepunt voordat gevoelige bedrijfsgegevens worden overgedragen aan een extern platform. Dit maakt de browser de ideale plek om beveiligingsbeleid af te dwingen. Dit is het kernprincipe achter Browser Detection and Response (BDR).

Een oplossing zoals de Enterprise Browser-extensie van LayerX werkt rechtstreeks in de browser en biedt gedetailleerd inzicht in en controle over alle gebruikersactiviteiten. Het kan de inhoud van webformulieren analyseren, kopieer-plakacties monitoren en bestandsuploads in realtime inspecteren, voordat de gegevens het eindpunt verlaten. Zoals blijkt uit de GenAI-beveiligingsaudits van LayerX, is dit inzicht aan de clientzijde essentieel om de risico's van schaduw-IT-beveiliging aan te pakken en uitgebreide SaaS-beveiliging te garanderen. Het stelt beveiligingsteams in staat om de gedetailleerde toegangscontroles af te dwingen die de AI-platforms zelf missen.

Bruikbare verdediging met LayerX: van theorie naar praktijk

Laten we deze strategie vertalen naar praktische acties. Hoe kan een browserextensie voor bedrijven zich verdedigen tegen de risico's van multi-tenant AI?

Shadow AI ontdekken: De eerste uitdaging is zichtbaarheid. Medewerkers implementeren voortdurend nieuwe AI-tools zonder goedkeuring van IT, waardoor een enorm 'schaduw-SaaS'-ecosysteem ontstaat. LayerX biedt een volledige audit van alle SaaS-applicaties, inclusief deze niet-goedgekeurde AI-tools, waardoor beveiligingsteams een volledig beeld krijgen van het AI-gebruik binnen hun organisatie en de bijbehorende risico's.
Granulaire Data Loss Prevention (DLP) afdwingen: Met de juiste zichtbaarheid stelt LayerX beveiligingsteams in staat contextafhankelijk DLP-beleid te creëren en af te dwingen. Stel je een scenario voor waarin een ontwikkelaar probeert een propriëtair broncodefragment in een openbare GenAI-tool te plakken. LayerX kan deze actie in realtime detecteren en deze volledig blokkeren, de gevoelige code redigeren voordat deze wordt verzonden, of een waarschuwing aan de gebruiker tonen om deze te informeren over het bedrijfsbeleid.
Voorkomen van exfiltratie door GenAI: dezelfde mogelijkheden kunnen worden gebruikt om insider threats te dwarsbomen. Een kwaadwillende medewerker kan proberen een klantenlijst te exfiltreren door deze in een AI-chat te plakken en de AI te vragen deze te "herformatteren". LayerX kan de gevoelige gegevens identificeren en de actie blokkeren, waarbij de gebeurtenis wordt geregistreerd voor onderzoek. Dit biedt een cruciale bescherming tegen het gebruik van AI als hulpmiddel voor gegevensdiefstal.
Beveiliging van bestandsoverdrachten: Veel GenAI-tools accepteren nu bestandsuploads. Dit is een belangrijk potentieel kanaal voor datalekken. LayerX kan alle bestandsuploads naar AI-platforms monitoren en de overdracht van bestanden met gevoelige informatie blokkeren op basis van inhoudsanalyse, bestandstype of andere risicofactoren.

Het ontwikkelen van een veerkrachtige AI-beveiligingsstrategie

De brede acceptatie van multi-tenant AI is een realiteit voor moderne ondernemingen. Hoewel aanbieders hun beveiligingsmaatregelen blijven verbeteren, kunnen organisaties zich geen passieve benadering veroorloven. De verantwoordelijkheid voor de bescherming van bedrijfsgegevens, van een GenAI-sessielek tot een inbreuk op de data-isolatie van tenants, ligt uiteindelijk bij de onderneming.

Een veerkrachtige beveiligingsstrategie voor het AI-tijdperk moet proactief zijn en zich richten op de browser. Door een browserextensie voor bedrijven te implementeren, kunnen beveiligingsmanagers de beperkingen van traditionele tools overstijgen en de gedetailleerde zichtbaarheid en controle krijgen die nodig zijn om het veilige en productieve gebruik van GenAI mogelijk te maken. Het gaat niet om het blokkeren van de toegang tot deze krachtige tools; het gaat om het intelligent beheren van hun gebruik. Door de browser te beveiligen, kunnen organisaties vol vertrouwen de voordelen van AI verkennen, wetende dat ze een robuuste laatste verdedigingslinie hebben die hun meest waardevolle bezit beschermt: hun data.

Of Eshed

Or Eshed is de medeoprichter en CEO van Browser Security-platform LayerX, met meer dan tien jaar ervaring op het gebied van cyberbeveiliging, kunstmatige intelligentie en informatieoorlogvoering.

AI-gebruiksbeveiliging

Beveiliging van bedrijfsbrowsers

LayerX Enterprise GenAI-beveiligingsrapport 2025

Partners

Over ons

LayerX Enterprise GenAI-beveiligingsrapport 2025

Informatiebronnen

Extensiedatabase

Blog en podcast

Enterprise-browser

AI-beveiliging

LayerX versus concurrenten

Verwante bronnen