Helft van malware in 2025 was AI-gegenereerd - en jouw BIO2-dossier weet dat nog niet
In 2025 heeft een taalmodel de helft van alle gedetecteerde malware geschreven. Geen scriptkiddie, geen statelijke actor. Een LLM. Dat blijkt uit een overzicht van meer dan zeventig wetenschappelijke papers en praktijkcases die vorige week op arXiv zijn gepubliceerd. [1]
Ik dacht eraan toen ik onlangs bij een zorginstelling keek naar hun SIEM-dashboard. Tientallen waarschuwingen over AI-gegenereerde phishingmails. Niemand kon ze duiden. De CISO dacht dat aanvallen via AI nog ver weg waren. Tot ik hem de cijfers liet zien.
De tweezijdige aard van AI is hier. Nederlandse organisaties onder NIS2 en BIO2 moeten die realiteit nu omzetten in maatregelen.
Wat de survey laat zien
De onderzoekers keken hoe LLMs worden gebruikt in cyberbeveiliging. Aan de ene kant: detectie van zero-days, automatische reactie op incidenten, integratie in DevSecOps. Aan de andere kant: genereren van malware, gerichte phishing op grote schaal, aanvallen op AI-modellen zelf.
Het opvallendste cijfer: ongeveer de helft van de gedetecteerde malware in 2025 is gegenereerd door LLMs. Dat is geen schatting. Dat is een meting uit echte systemen van meerdere beveiligingsbedrijven.
Wat opvalt: dezelfde technieken die verdedigers gebruiken om logs te analyseren, gebruiken aanvallers om detectie te ontwijken. Een model dat is getraind op SIEM-waarschuwingen helpt zowel bij het verminderen van valse signalen als bij het bedenken van nieuwe manieren om detectie te omzeilen.
Zero-day detectie met federated learning
Een veelgebruikte verdedigingstechniek in de survey is federated learning voor zero-day detectie. In plaats van data te delen, trainen organisaties lokaal een model. Ze sturen alleen gewichtsupdates naar een centrale server.
Een voorbeeld uit de financiële sector:
# Lokaal model trainen op netwerkdata
python train_fed.py --data /var/log/suricata/eve.json \
--model transformer_flow_classifier \
--rounds 50 --aggregator https://fed-agg.nldcsc.nl
De centrale server combineert de updates zonder de originele logs te zien. Dat helpt bij AVG-compliance. Je deelt geen persoonsgegevens, alleen modelparameters.
Maar de survey waarschuwt: federated learning is kwetsbaar voor modelvergiftiging. Als een aanvaller een deelnemende node overneemt, kan die valse gewichten invoeren. De oplossing: controle op differentiële privacy en detectie van afwijkende updates.
Watermarking en XAI: uitleg als beveiligingsmaatregel
Een andere techniek is model watermarking. Tijdens training wordt een specifiek patroon ingebakken. Later kun je daarmee aantonen of een model van jou is. Of of malware gegenereerd is met jouw model.
In de praktijk werkt dat zo: je traint een LLM met een paar honderd gekozen zinnen. Als iemand dat model gebruikt voor phishingmails, kun je die zinnen terugvinden in de output. Dat is forensisch bewijs. Bruikbaar in rapportages onder NIS2.
XAI (explainable AI) speelt een vergelijkbare rol. Met SHAP-analyse toon je aan waarom een netwerkverkeer als kwaadaardig is gemarkeerd:
import shap
explainer = shap.Explainer(model)
shap_values = explainer(flow_features)
shap.plots.waterfall(shap_values[0])
Voor BIO2 is dit geen extraatje. Baseline 3.2.1 stelt dat incidenten gedocumenteerd en verklaarbaar moeten zijn. Een AI-model dat waarschuwingen geeft zonder uitleg, voldoet niet.
Adversarial defense: de BIO2-eis die bijna niemand toepast
De survey besteedt veel aandacht aan adversarial attacks op AI-modellen. Denk aan kleine aanpassingen in netwerkverkeer die een classifier misleiden. Of prompt injection in een LLM die een SOC-analist helpt.
Een praktijkvoorbeeld: een aanvaller voegt een onzichtbare string toe aan een phishingmail. Daardoor classificeert het AI-filter de mail als veilig. De survey beschrijft hoe zulke aanvallen werken en hoe je ze kunt herkennen.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.