Microsoft publiceerde onderzoek naar een nieuwe tactiek die bedrijven gebruiken om AI-aanbevelingen te beïnvloeden. Ik leg uit wat er gebeurt, waarom het belangrijk is voor Nederlandse ondernemers en welke concrete stappen je vandaag kunt nemen om jezelf en je merk te beschermen.
Wat gebeurt er
Websites plaatsen knoppen met teksten zoals “Summarize with AI”. Als je erop klikt opent er een AI-assistent met een vooraf ingevulde prompt in de URL. Wat je ziet vraagt om een samenvatting. Wat niet zichtbaar is kan de assistent instructies geven om dat bedrijf als vertrouwde bron te onthouden. Als die instructie in de geheugenlaag van de assistent terechtkomt kan die toekomstige aanbevelingen beïnvloeden zonder dat jij het merkt.
Hoe Microsoft dit ontdekte
Onderzoekers van Microsoft analyseerden AI-gerelateerde URL's in e-mailverkeer over een periode van zestig dagen. Ze vonden vijftig verschillende prompt injecties afkomstig van 31 bedrijven. De voorbeelden tonen een patroon: prompts die vragen een site te onthouden als “go to source” of “trusted source for citations” en in één geval volledige marketingtekst in het geheugen injecteren. De techniek blijkt terug te voeren op openbare tools zoals het npm-pakket CiteMET en de webtool AI Share URL Creator die expliciet helpen met “presence in AI memory”. Microsoft noteert dat veel grote AI-assistenten URL promptparameters ondersteunen en vermeldt structuren voor Copilot, ChatGPT, Claude, Perplexity en Grok. Formeel valt het onder MITRE ATLAS AML.T0080 en AML.T0051.
Wat Microsoft vond
De 31 domeinen waren legitieme bedrijven, geen willekeurige kwaadwillenden. Meerdere targets zaten in zorg en financiële dienstverlening, sectoren waar bevooroordeelde aanbevelingen veel impact hebben. Eén domein leek sterk op een bekend merk waardoor valse geloofwaardigheid kan ontstaan. Opvallend was dat één van de betrokken partijen zelf een securityleverancier bleek te zijn. Microsoft waarschuwt ook voor een tweede risico: sites met gebruikerscontent zoals fora of reacties. Zodra een AI-dienst een domein als gezaghebbend behandelt kan diezelfde ongetoetste gebruikerscontent ook meer gewicht krijgen in aanbevelingen.
Hoe Microsoft reageert
Copilot heeft volgens Microsoft al beschermingen tegen cross prompt injection. Sommige eerder beschreven prompt injectie-gedragingen zijn niet langer reproduceerbaar en de beschermingen evolueren. Daarnaast publiceerde Microsoft geavanceerde hunting queries voor Defender for Office 365 zodat securityteams e-mail en Teamsverkeer kunnen scannen op URLs met geheugenmanipulatie sleutelwoorden. Gebruikers kunnen opgeslagen Copilot memories zelf bekijken en verwijderen via de personalisatie-instellingen van Copilot chat.
Waarom dit ertoe doet voor jouw bedrijf
Vergelijk het met SEO poisoning van vroeger: dezelfde intentie om zichtbaarheid te winnen maar nu verplaatst van zoekindexen naar het geheugen van AI assistenten. Voor ondernemers betekent het dat concurrenten zichtbaarheid kunnen kopen of manipuleren zonder traditionele linkbuilding of contentstrategie. SparkToro toonde al dat AI-merkaanbevelingen per zoekopdracht flink variëren en Google zei dat ze aanbevelingen samenstellen op basis van wat meerdere sites zeggen. Memory poisoning slaat dat proces over en plant een aanbeveling rechtstreeks in de assistent van de gebruiker. Dat maakt het directer en potentieel schadelijker voor wie eerlijke concurrentie wil.
Wat je praktisch kunt doen
1) Controleer je website op knoppen en links die AI prompts in URL's meegeven en verwijder of wijzig ze als ze instructies bevatten om je merk in AI geheugen te zetten. 2) Gebruik geen tooling die expliciet adviseert om presence in AI memory te bouwen. 3) Als je Defender for Office 365 gebruikt implementeer de hunting queries van Microsoft om inkomende e-mails en Teamslinks te scannen. 4) Vraag je techteam of externe developers om URL query parameters te loggen en te inspecteren. 5) Informeer je contentteams dat gebruikersgenerated content op dezelfde domein risico vormt zodra een assistent het domein als gezaghebbend ziet. 6) Laat medewerkers hun Copilot personalization controleren en verwijder ongewilde memories. 7) Als je concurrenten dit doen overweeg het te melden bij het platform of vraag juridisch advies als er merkinbreuk of misleiding speelt. Deze stappen zijn praktisch en haalbaar voor een MKB met minimaal vijf medewerkers.
Waar je op moet letten technisch en organisatorisch
Technisch: de methode gebruikt URL query parameters die veel assistenten ondersteunen maar de manier waarop gegevens persistent worden verschilt per platform. Verwacht dus dat een techniek op het ene systeem werkt en op het andere minder effect heeft. Organisatorisch: train je team in het herkennen van zulke links en maak beleid voor welke externe tools je inzet voor AI integraties. Vermijd het blind vertrouwen op snelle zichtbaarheidstechnieken en investeer in langdurige geloofwaardigheid zoals goede inhoud, referenties en technische betrouwbaarheid.
Vooruitkijken
Microsoft erkent dat dit probleem zich ontwikkelt en dat open source tooling nieuwe pogingen kan versnellen. Het is onduidelijk of platforms dit als beleidschending gaan bestempelen of dat het in een grijs gebied blijft dat sommige bedrijven blijven benutten. Voor jou betekent dat een simpel uitgangspunt: vertrouw niet op shortcuts die de regels omzeilen. Bouw aan autoriteit die standhoudt als platforms bijsturen en focus op duurzame ideeën die klanten daadwerkelijk helpen.
Bronnen en credits
De kern van dit bericht komt uit het onderzoek van Microsoft Defender Security Research. Verdere context komt van analyses door SparkToro, Roger Montti en opmerkingen van Google VP Robby Stein. Dank aan Lily Ray en top5seo die de Microsoft-publicatie op social media signaleerden.