Home / Inzichten / LLM Guardrails: Stop Hallucinatie & Prompt Injection
Technisch

LLM Guardrails: Stop Hallucinatie & Prompt Injection

Vat samen met AI Prompt gekopieerd — plak hem in de chat

LLM guardrails zijn de gelaagde beveiligingen die voorkomen dat een taalmodel de drie dingen doet die bedrijven in de problemen brengen: feiten verzinnen, instructies opvolgen die verstopt zitten in de data die het leest, en informatie lekken die nooit naar buiten had mogen komen. Geen enkele techniek lost alle drie op. Echte bescherming komt van defence in depth — meerdere imperfecte lagen op elkaar gestapeld, zodat wanneer de ene laag iets mist, de volgende het opvangt. Zet je een LLM voor je klanten of je eigen medewerkers, dan zijn guardrails geen optionele finishing touch; ze zijn het verschil tussen een systeem dat je in productie kunt vertrouwen en een risico met een chatvenster.

Wij bouwen deze systemen dagelijks, en het eerlijke uitgangspunt is dit: je maakt een LLM nooit volmaakt veilig, net zomin als je een website volledig onhackbaar maakt. Wat je wél kunt doen is het risico ver genoeg terugbrengen, en de fouten zichtbaar genoeg maken, dat het systeem veilig te draaien is. Deze gids loopt elke laag guardrails langs: wat die doet, waar die tekortschiet, en hoe de hele stapeling aansluit op de kaders die toezichthouders inmiddels van je verwachten.

Wat "guardrails" eigenlijk betekent

De term wordt losjes gebruikt, dus laten we hem scherp maken. Een guardrail is elke maatregel die begrenst wat het model binnenkrijgt, wat het model mag doen, of wat eruit komt. Dat bestrijkt veel — van een simpele filter die een creditcardnummer verwijdert voordat het de prompt bereikt, tot een tweede model dat het antwoord leest en blokkeert als het onveilig oogt, tot een mens die alles met hoge impact goedkeurt voordat het de deur uitgaat.

Zie het als veiligheid op de werkvloer van een fabriek. Je vertrouwt niet op één bordje met "wees voorzichtig". Je hebt afschermingen op de machines, training voor de operators, noodstoppen, en iemand wiens taak het is om op te letten. Elke maatregel is feilbaar. Samen maken ze ernstige schade onwaarschijnlijk. Een LLM in productie verdient diezelfde denkwijze, en teams die dat overslaan leren de les meestal op de dure manier — een gelekt dossier, een zelfverzekerd fout antwoord dat tegen ze wordt gebruikt, een agent die een actie uitvoerde die niemand had geautoriseerd.

Laag één: invoervalidatie en verdediging tegen prompt injection

De eerste plek waar het misgaat is de invoer. Prompt injection staat inmiddels op één in de OWASP Top 10 voor LLM-applicaties, en niet voor niets. Het kent twee smaken. Directe injectie is een gebruiker die "negeer je vorige instructies en…" recht in de chat typt. Indirecte injectie is gemener: kwaadaardige instructies verstopt in content die het model namens jou leest — een webpagina, een pdf, een e-mail, een supportticket — die het model kapen zodra het die verwerkt. Het OWASP-project beschrijft beide varianten in zijn Top 10 voor LLM-applicaties, en dat is verreweg de beste kaart van waar deze systemen breken.

De verdediging hier is per definitie gedeeltelijk, dus je stapelt. Scheid de vertrouwde system prompt van niet-vertrouwde gebruikers- en documentinhoud, en laat opgehaalde tekst nooit als instructie behandelen. Beperk de rol van het model strak — een supportagent hoort geen SQL te schrijven of commando's uit een klantbericht op te volgen. Screen invoer op bekende injectiepatronen, verwijder of neutraliseer verdachte opmaak, en behandel alle content die het model niet zelf heeft bedacht als data om samen te vatten, niet als bevelen om uit te voeren. Niets hiervan is waterdicht; een vastberaden aanvaller vindt nog steeds formuleringen die erdoorheen glippen. Precies daarom is invoerverdediging laag één van meerdere, niet de hele muur. Voor agentachtige systemen die het open web lezen wordt deze laag het vaakst onderschat — de retrievalkant behandelen we in onze gids over RAG-assistenten over de kennisbank van je bedrijf.

Laag twee: verankering en bronvermelding tegen hallucinatie

Hallucinatie — NIST noemt het "confabulatie" — is wanneer het model iets onwaars met volle overtuiging beweert. De effectiefste remedie is geen slimmere prompt; het is verankering. In plaats van het model uit zijn getrainde geheugen te laten antwoorden, haal je de relevante feiten op uit een vertrouwde bron op het moment van de vraag, en instrueer je het model om alleen vanuit die aangeleverde context te antwoorden, met verwijzingen naar de brondocumenten. Dit is retrieval-augmented generation, en goed uitgevoerd verandert het de faalmodus van "verzint iets" naar "zegt dat het het niet weet".

Verankering betaalt zich op twee manieren terug. Ten eerste is het antwoord verankerd in echt, controleerbaar materiaal, zodat een gebruiker (of een controle verderop) het kan verifiëren. Ten tweede zal een goed geïnstrueerd model, wanneer de retrieval niets relevants vindt, weigeren in plaats van verzinnen — mits je dat ook echt afdwingt en gokken afstraft. De kwaliteit van je retrieval wordt daarmee het plafond van je nauwkeurigheid, en daarom behandelen wij retrievalkwaliteit als een eersteklas engineeringprobleem en meten we het expliciet; onze post over hoe je LLM-applicaties evalueert gaat in op de metrics die verankeringsfouten opsporen vóór je gebruikers dat doen. Verankering elimineert hallucinatie niet volledig — een model kan zijn context nog steeds verkeerd lezen of twee feiten fout aan elkaar knopen — maar het is de guardrail met de meeste hefboomwerking tegen zelfverzekerde onzin.

Laag drie: uitvoervalidatie en filtering

Wat het model ook produceert, het hoort gecontroleerd te worden voordat het een mens bereikt of een actie in gang zet. Uitvoer-guardrails lopen van goedkoop en deterministisch tot duur en slim. Aan de simpele kant: schemavalidatie (heeft de JSON de vereiste velden en types?), reguliere expressies en bloklijsten voor de voor de hand liggende problemen, en formaatcontroles. Aan de geavanceerde kant: een tweede "criticus"-model of een classifier die het conceptantwoord leest en toxiciteit, beleidsschendingen, afdwalen van het onderwerp, of beweringen zonder bronverwijzing markeert.

De kunst is de controle op de inzet afstemmen. Een chatbot die vragen over openingstijden beantwoordt heeft lichte uitvoerfiltering nodig. Een agent die financiële cijfers of klinische richtlijnen opstelt heeft een harde poort nodig — het liefst één die elk getal en elke bewering toetst aan de verankerde bron voordat er iets wordt getoond. Uitvoervalidatie is ook waar je je eigen merk- en juridische regels afdwingt: geen beloften die je niet kunt waarmaken, geen advies waarvoor je niet bevoegd bent, de juiste disclaimers erbij. Het is oninteressant, deterministisch werk, en het onderschept verrassend veel fouten die het model zelf ontglipten.

Laag vier: PII-redactie en het voorkomen van datalekken

Twee richtingen van lekken doen ertoe, en ze vragen om verschillende maatregelen. Inkomend: gevoelige data — persoonsgegevens van klanten, secrets, interne identifiers — die in prompts binnenkomt en wordt gelogd, naar een extern model wordt gestuurd, of ergens wordt opgeslagen waar het niet hoort. Uitgaand: het model dat informatie prijsgeeft die het bezit maar niet aan déze gebruiker mag tonen, inclusief fragmenten van zijn eigen system prompt of de data van een andere klant.

Aan de inkomende kant: detecteer en redigeer of tokeniseer persoonsgegevens vóórdat ze het model of je logs bereiken, minimaliseer wat je verstuurt, en weet exact waar je prompts en antwoorden worden verwerkt en bewaard — dit is een levende AVG-vraag, geen luxe. De Autoriteit Persoonsgegevens is er duidelijk over dat het voeren van persoonsgegevens aan AI-systemen de volle werking van de AVG in gang zet, en het werk van ENISA over AI-cyberbeveiliging is een nuttige referentie voor het dreigingsmodel. Aan de uitgaande kant: houd secrets en de data van andere gebruikers om te beginnen buiten het contextvenster — de sterkste garantie dat een model iets niet lekt, is dat het het nooit had — en voeg uitvoercontroles toe op het lekken van de system prompt, zelf een benoemde categorie in de nieuwste OWASP-lijst.

Laag vijf: rechten en beleid voor agents

Zodra een LLM kan handelen — een API aanroepen, een e-mail versturen, geld overmaken, een record bijwerken — verandert het risicoprofiel volledig. Een chatbot die hallucineert geeft een fout antwoord. Een agent die hallucineert kan een foute actie uitvoeren. Agentachtige systemen hebben daarom een laag guardrails nodig die niets met taal te maken heeft en alles met bevoegdheid.

Behandel het model als een niet-vertrouwde actor en geef het least privilege. Elke tool die het kan aanroepen hoort een expliciete allow-list van acties en harde limieten te hebben — een terugbetaaltool met een maximumbedrag, een databaserol die mag lezen maar niet verwijderen, een e-mailtool die mag concipiëren maar niet versturen zonder goedkeuring. Valideer de argumenten die het model wil doorgeven vóór uitvoering, niet erna. Zet onomkeerbare of hoogwaardige acties achter een menselijke bevestiging. En log elke tool-aanroep met invoer en uitvoer, zodat je precies kunt reconstrueren wat er gebeurde. Dit is de laag waar de eisen voor menselijk toezicht uit de EU AI-verordening het hardst bijten, en de laag die teams die hun eerste agent bouwen het vaakst te laat toevoegen. Twijfel je hoeveel autonomie je geeft, dan raakt onze vergelijking van RAG versus fine-tuning aan hoe architectuurkeuzes je controleoppervlak veranderen.

Citaat: Het doel is niet een model dat nooit fouten maakt, maar een systeem waarvan de fouten je weinig kunnen schaden. - Crux Digits

Laag zes: mens-in-de-lus en monitoring

Geen enkele stapel geautomatiseerde guardrails neemt de noodzaak weg om het systeem in productie te bewaken. Twee praktijken tellen het zwaarst. Ten eerste mens-in-de-lus voor de gevallen die het verdienen: situaties met hoge inzet, lage zekerheid of een nieuw karakter gaan naar een persoon voordat de uitvoer landt of de actie afvuurt. De kunst is de drempel zo te kalibreren dat mensen de riskante 5% zien zonder te verdrinken in de routineuze 95%.

Ten tweede monitoring en logging als staande discipline, geen vinkje in de lanceerweek. Leg invoer, opgehaalde context, uitvoer, tool-aanroepen, guardrail-triggers en gebruikersfeedback vast — en beoordeel ze ook echt. Let op drift — het gedrag van het model dat verschuift terwijl je data, prompts of de onderliggende modelversie veranderen. Houd je weiger- en fallbackpercentages in de gaten als vroege indicatoren. Zet meldingen op het afvuren van de guardrails. Een systeem dat er in januari braaf uitzag, kan tegen de zomer stilletjes verslechteren, en de enige manier waarop je het merkt is als je kijkt. Continue evaluatie tegen een vaste testset is hoe je regressies opspoort vóór je klanten dat doen.

Guardrails koppelen aan de EU AI-verordening en het NIST AI RMF

Guardrails zijn niet alleen goede techniek; steeds vaker zijn ze een nalevingsverwachting. Twee kaders tellen voor organisaties die in Europa opereren. De EU AI-verordening deelt AI-systemen in naar risico en legt verplichtingen op — menselijk toezicht, nauwkeurigheid en robuustheid, logging en transparantie, risicobeheer — die vrijwel één-op-één aansluiten op de lagen hierboven. Valt je use case in de hoog-risicocategorie, dan zijn de lagen mens-in-de-lus, monitoring en uitvoervalidatie niet langer optioneel maar gedocumenteerde eisen die je moet kunnen aantonen.

Het NIST AI Risk Management Framework, en het Generative AI Profile, geven je het operationele vocabulaire om dit alles te ordenen: de functies GOVERN, MAP, MEASURE en MANAGE sluiten netjes aan op het bepalen van je beleid, het identificeren van risico's als confabulatie en datalekken, het meten ervan met evaluatie, en het beheersen ervan met de guardrail-lagen. Ook buiten de VS is het NIST-kader de de-facto referentie waarmee teams een AI-risicoprogramma structureren. Wij helpen klanten precies deze koppeling te bouwen als onderdeel van een AI-implementatietraject, en stemmen die af op de Nederlandse en Europese verplichtingen die we behandelen in onze gids over naleving van de EU AI-verordening in Nederland. Niets hiervan is juridisch advies — behandel het als een technisch startpunt en bevestig je specifieke verplichtingen met een gekwalificeerd jurist en de primaire teksten.

Hoe je weet dat je guardrails echt werken

Een guardrail die je niet hebt getest is een hoop, geen maatregel. Voordat je de stapel vertrouwt, val je hem aan — bewust. Red-teaming van een LLM-systeem betekent dat je elke laag doelbewust probeert te breken: je voert directe en indirecte injectiepogingen in, prompts gemaakt om de system prompt te ontfutselen, vragen ontworpen om het van het onderwerp te trekken, en invoer bezaaid met nep-persoonsgegevens om te checken of je redactie afvuurt. Bewaar elke geslaagde aanval als een permanente testcase, zodat een kwetsbaarheid die je één keer verhielp nooit stilletjes terugkeert.

Maak dat testen vervolgens continu. Onderhoud een vaste evaluatieset met zowel normale als vijandige gevallen, en draai die elke keer dat je de prompt wijzigt, het model vervangt of de retrievalbron bijwerkt. Dit is dezelfde discipline als regressietesten in gewone software, en het is de enige betrouwbare manier om een guardrail te betrappen die ooit werkte en stilletjes stopte. Log ook het triggerpercentage van je guardrails in productie — vuurt je injectiefilter opeens op 30% van het verkeer, dan word je aangevallen óf heb je iets gebroken, en beide wil je vanavond weten, niet volgend kwartaal. Combineer de vijandige set met de nauwkeurigheidsmetrics uit gewone evaluatie en je krijgt één eerlijk beeld of het systeem zowel veilig als bruikbaar is.

De kosten en vertraging die je inruilt voor veiligheid

Guardrails zijn niet gratis, en doen alsof leidt tot slechte architectuur. Elke laag voegt vertraging en kosten toe: een tweede model dat elk antwoord beoordeelt kan je responstijd en je rekening verdubbelen; retrieval voegt een databaseronde toe; redactie en validatie voegen milliseconden toe die op schaal oplopen. Gebruikers voelen trage antwoorden, en de financiële afdeling voelt de verdubbelde inferentiekosten, dus de engineeringtaak is je veiligheidsbudget uitgeven waar de inzet daadwerkelijk hoog is.

De weg erdoorheen is proportionaliteit. Reserveer de dure controles — een criticus-model, menselijke beoordeling, uitputtende verificatie van beweringen — voor uitvoer met hoge inzet, en laat laag-risico gebabbel door goedkope deterministische filters glippen. Cache wat je kunt. Draai onafhankelijke controles parallel in plaats van serieel, zodat ze overlappen in plaats van stapelen. Zorgvuldig gedaan voegt een goed afgestelde guardrail-stapel een fractie van een seconde en een bescheiden kostenopslag toe voor de routine, en houdt zijn zware machinerie voor de momenten die je echt kunnen schaden. Slordig gedaan laat het je product traag en duur aanvoelen zonder evenredige winst — en zo worden goede veiligheidsbedoelingen stilletjes uitgezet in productie.

Het eerlijke deel: geen guardrail is perfect

Elke laag die hier is beschreven kan afzonderlijk worden verslagen. Injectiefilters missen nieuwe formuleringen. Verankering kan de verkeerde passage ophalen. Uitvoerclassifiers hebben valse negatieven. Redactie mist een ongebruikelijk formaat identifier. Rechtencontroles zijn zo goed als het beleid dat iemand schreef. Dit is geen reden om guardrails over te slaan — het is de reden waarom je ze stapelt. Defence in depth werkt juist omdat een aanvaller of een ongeluk meerdere onafhankelijke maatregelen tegelijk moet verslaan, en die kans daalt snel met elke laag die je toevoegt.

De faalmodus om te vermijden is de valse veiligheid: één guardrail uitrollen, het "veilig" noemen, en stoppen. De teams die zich branden zijn vrijwel altijd degenen die veiligheid behandelden als een functie die ze afrondden in plaats van een eigenschap die ze onderhouden. Guardrails zijn een systeem dat je bedient, bijstelt en bewaakt zolang de LLM live is.

Een verstandige uitrolvolgorde

Je bouwt niet alle zes lagen op dag één. Een pragmatische volgorde die weerspiegelt hoe wij dit daadwerkelijk uitrollen: begin met verankering en uitvoervalidatie, want die doden de meest voorkomende en meest zichtbare fout — zelfverzekerde hallucinatie — en ze zijn het goedkoopst toe te voegen. Voeg daarna invoerverdediging en PII-redactie toe, vóór je iets gevoeligs of klantgerichts aansluit. Voeg rechten- en beleidscontroles toe zodra het systeem acties kan uitvoeren, nooit erna. Zet monitoring en mens-in-de-lus op vóór je verder schaalt dan een pilot, zodat je vanaf het begin meekijkt. En herzie de hele stapel telkens wanneer je het model, de data of de use case verandert.

In die volgorde gedaan houden guardrails op een last op je project te zijn en worden ze juist het ding dat je sneller laat bewegen — want je kunt het systeem echt werk toevertrouwen in de wetenschap dat de schaderadius van één enkele fout beperkt blijft. Dat is de hele bedoeling: niet een model dat nooit fouten maakt, maar een systeem waarvan de fouten je weinig kunnen schaden.

Zet je een LLM voor klanten of gevoelige data en wil je de guardrails vanaf het begin ingebouwd hebben in plaats van achteraf na een incident, dan is dat precies het werk dat we bij Crux Digits doen. Bekijk onze LLM-optimalisatiedienst, bekijk onze transparante prijzen, of boek een gratis consult en we brengen je risico's en je eerste use case samen in kaart.

Veelgestelde vragen

Wat zijn LLM guardrails?

LLM guardrails zijn gelaagde maatregelen die begrenzen wat er een taalmodel ingaat, wat het mag doen en wat eruit komt. Ze werken als defence in depth — invoervalidatie, verankering, uitvoercontroles, PII-redactie, rechtenlimieten en menselijk toezicht op elkaar gestapeld — zodat wanneer één laag een probleem mist, een andere het opvangt. Geen enkele guardrail is op zichzelf voldoende.

Kunnen guardrails prompt injection volledig stoppen?

Nee — geen enkele verdediging stopt prompt injection volledig, en daarom staat het bij OWASP op één als grootste LLM-risico. Een vastberaden aanvaller vindt nieuwe formuleringen die langs elk afzonderlijk filter glippen, en indirecte injectie verstopt in documenten of webpagina's is bijzonder lastig te blokkeren. Je verkleint het risico door verdediging te stapelen: vertrouwde instructies scheiden van niet-vertrouwde content, de rol en rechten van het model beperken, en uitvoer valideren voordat die een actie in gang zet.

Hoe verminderen guardrails hallucinaties?

De effectiefste guardrail tegen hallucinatie is verankering: relevante feiten ophalen uit een vertrouwde bron op het moment van de vraag en het model instrueren om alleen vanuit die context te antwoorden, met bronvermelding. Dat verandert de faalmodus van een antwoord verzinnen naar toegeven dat het het niet weet. Uitvoervalidatie voegt een tweede controle toe, die beweringen toetst aan de bron voordat het antwoord wordt getoond. Verankering elimineert hallucinatie niet volledig, maar het is de maatregel met de meeste hefboomwerking.

Vereist de EU AI-verordening guardrails?

In de praktijk ja, voor systemen met hoger risico. De EU AI-verordening legt verplichtingen op — menselijk toezicht, nauwkeurigheid en robuustheid, logging, transparantie en risicobeheer — die vrijwel direct aansluiten op guardrail-lagen zoals mens-in-de-lus, monitoring en uitvoervalidatie. Valt je use case in de hoog-risicocategorie, dan worden deze maatregelen gedocumenteerde eisen die je moet kunnen aantonen. Dit is algemene informatie, geen juridisch advies; bevestig je specifieke verplichtingen met een gekwalificeerd jurist.

Wat is het verschil tussen guardrails en evaluatie?

Guardrails zijn de live maatregelen die een model in productie begrenzen — ze werken op elk verzoek. Evaluatie is hoe je meet of die guardrails en het model werken, meestal door een vaste testset met normale en vijandige gevallen te draaien. Je hebt beide nodig: guardrails om schade op het moment te voorkomen, en continue evaluatie om een guardrail te betrappen die na een model- of promptwijziging stilletjes stopte met werken.

Iets hiervan toepassen in uw bedrijf?

Wij maken van deze concepten werkende tools — gegrond, veilig en meetbaar. Begin met een gratis consult.

Gratis consult boeken →