Blog

Hoe cside AI naar client-side beveiliging bracht

In 2024 lanceerde cside de eerste beveiligingsoplossing aan de clientzijde met geïntegreerde AI voor JavaScript-beveiligingsanalyse en compliance-automatisering.

Dec 14, 2025 • 8 min read

Simon Wijckmans Founder & CEO

cside-eerste-platform-om-ai-te-integreren-in-client-side-beveiliging

TL; DR

In mei 2024 werd cside gelanceerd als de eerste beveiligingsoplossing aan de clientzijde om AI in zijn product te integreren.

We gebruiken zelfgehoste open source-modellen op onze eigen infrastructuur om JavaScript te analyseren op kwaadaardige bedoelingen. Leg scriptgedrag in duidelijke taal uit, houd veranderingen in de loop van de tijd bij en automatiseer PCI DSS 4.0.1-scriptcompliancebeoordelingen.

In tegenstelling tot oplossingen die gebruikmaken van AI-API's van derden, voorkomt onze architectuur het lekken van gegevens en beschermt de privacy van eindgebruikers door gebruik te maken van zelfgehoste open source LLM's. Voor organisaties met AI-beperkingen kunnen deze functies worden uitgeschakeld. AI is een overlay, geen vereiste, maar is ongelooflijk waardevol gebleken voor GRC- en beveiligingsteams.

Beveiliging aan de clientzijde in een AI-tijdperk

Toen we cside in mei 2024 lanceerden, wilden we aanvallen opvangen die anderen niet deden. Daarom hebben we een beslissing genomen die ons onderscheidde van alle andere spelers op het gebied van beveiliging aan de klantzijde: we hebben vanaf dag één AI in de kern van ons product ingebouwd.

Destijds waren we de enige leverancier van oplossingen die LLM's gebruikten om JavaScript-beveiliging aan de clientzijde aan te pakken. Later volgde de rest van de markt ons voorbeeld, maar hoe je AI implementeert is net zo belangrijk als de functionaliteit die het biedt.

Waarom AI belangrijk is voor JavaScript-beveiliging

JavaScript is uniek moeilijk te analyseren. Aanbieders van SAST-oplossingen gebruiken LLM's ook om code te analyseren. Maar scripts aan de clientzijde veranderen voortdurend, worden met opzet versluierd en kunnen zich anders gedragen op basis van wie ze bekijkt, waar ze zich bevinden of hoe laat het is.

Traditionele patroonmatching mislukt wanneer aanvallers hun code willekeurig verdelen of zich op specifieke gebruikers richten.

In tegenstelling tot besturingssystemen zijn browsers niet gebouwd voor beveiliging. Daarom biedt cside aan meerdere benaderingen om de gaten te dichten:

Script Methode (eenvoudigst): we controleren scriptgedrag in de browser en halen de scripts aan onze kant op, en verifiëren vervolgens of het hetzelfde script is. We plaatsen onszelf niet in het pad van een script tenzij je daar expliciet om vraagt. Eenvoudig te implementeren, geen prestatie-impact, en je kunt nog steeds scriptacties stoppen of blokkeren op URL, hash of domein.
Scan Methode (snelst): als je geen script aan je site kunt toevoegen, scant cside het met behulp van threat intelligence van duizenden andere websites met miljarden gezamenlijke bezoekers. Snel op te zetten en nuttig wanneer scriptinstallatie niet mogelijk is.

De mix van deze modi brengt ons het dichtst bij de volledige dekking die vandaag technisch mogelijk is.

LLM's zijn erg goed in het contextualiseren van JavaScript, zelfs als het onherkenbaar is verminkt. Een LLM kan naar versluierde code kijken, de bedoeling ervan begrijpen en gedrag signaleren dat statische analyse volledig over het hoofd zou zien. Die mogelijkheid is ongelooflijk waardevol voor JavaScript-beveiliging. Maar alleen als het verantwoord wordt uitgevoerd.

Verantwoorde AI-architectuur: waarom we zelf hosten

cside draait open source LLM's op onze eigen cloudinfrastructuur. We behouden de volledige controle over de gegevens die door onze modellen stromen.

Wanneer bedrijven AI-compatibele functies leveren, gebruiken ze vaak standaard API's van bekende AI-bedrijven. Hoewel deze bedrijven over gegevens beschikken die zonder toestemming in trainingen worden gebruikt, worden de gegevens aan een derde partij verstrekt. In een ideale wereld verlaten gegevens nooit uw controlegebied.

Door zelf open source-modellen te draaien, bestaat er geen risico dat de scriptinhoud naar externe leveranciers lekt. Er is geen kans dat klantgegevens in een trainingsset verschijnen.

Wanneer u JavaScript naar een API van derden verzendt, vertrouwt u op het gegevensverwerkingsbeleid van die leverancier, dat in de loop van de tijd actief verandert.

cside begrijpt de beveiligingsvereisten en wat er nodig is om uw gegevens veilig te houden. U kunt onze beveiligingsstatus zelf verifiëren op onze Vertrouwenscentrum, waar we onze SOC 2 Type II, pentests en PCI DSS AOC-documentatie publiceren.

Hoe cside AI gebruikt: 4 kerntoepassingen

Hier draait de AI feitelijk in ons product.

1. Scripts analyseren op kwade bedoelingen

Elk script dat op uw site wordt geladen, wordt in zijn oorspronkelijke vorm en na deobfuscatie geanalyseerd. De LLM zoekt naar patronen die kwaadaardig gedrag aangeven:

Diefstal van sessietokens
Ongeautoriseerde onderschepping en exfiltratie van gegevens
Credential oogsten
Knoeien met betalingsformulieren

Dit geldt net zo goed voor strak ogende scripts als voor meer alarmerende scripts. Of het nu gaat om het primaire JavaScript-fragment of om een klein subverzoek.

De AI vangt beide. Het begrijpt de context op een manier die op regex gebaseerde detecties eenvoudigweg niet kunnen. En anders dan scanners, CSP of agent-gebaseerde producten, analyseren we de daadwerkelijke payload die uw gebruikers ontvangen. We weten dat dit precies is wat de gebruiker heeft gekregen. We controleren niet alleen op basis van informatie uit bedreigingen of wachten op het activeren van valstrikken aan de clientzijde, hoewel we deze methoden uiteraard ook gebruiken als lagen in onze detectie-engine.

De AI-laag in onze detectie-engine is slechts een van de vele verschillende lagen, maar AI kan zeer effectief zijn in het detecteren van verborgen kwaadaardig gedrag.

2. Script zakelijk redeneren

Moet deze chatwidget toegang hebben tot formuliergegevens?
Waarom staat dit analysescript op uw betalingspagina?
Moet deze marketingtool worden uitgevoerd als onderdeel van het afrekenproces?

We bieden een door LLM gegenereerde zakelijke reden, wat voor sommige raamwerken een nalevingsvereiste is.

Bespaar teams uren aan onderzoek. In plaats van elke script-hashwijziging te bekijken of te proberen te achterhalen wie deze heeft toegevoegd, krijgt u een uitleg in duidelijke taal van wat elk script doet.

3. Veranderingen in de loop van de tijd verklaren

Scripts blijven niet statisch. Velen worden voortdurend bijgewerkt. Vorige week voerde script X acties uit met betrekking tot analyses. Deze week heeft het ook toegang tot localStorage en doet het verzoeken aan een nieuw geregistreerd domein dat naar een ingezeten IP-adres verwijst.

Wat is er veranderd en maakt dat uit?

De AI van cside genereert voor mensen leesbare verklaringen voor scriptwijzigingen. U hoeft geen beveiligingsonderzoeker te zijn om te begrijpen wat er tussen de wijzigingen is gebeurd. Het platform vertelt je precies wat er anders is en of het zorgen baart.

Dit is zeer nuttig voor compliance-audits. Wanneer een auditor vraagt naar het scriptgedrag van de afgelopen zes maanden, heeft u gedocumenteerde uitleg met tijdstempel klaar voor gebruik. Onze 100% historische tracking betekent dat er niets verloren gaat.

4. AI voor PCI DSS 4.0.1 Compliance-automatisering

PCI DSS 4.0.1 vereisten 6.4.3 en 11.6.1 vereisen een voortdurende beoordeling van scripts op betalingspagina's. De meeste teams doen dit handmatig: de pagina laden, de scripts inspecteren, alles documenteren en het proces wekelijks of maandelijks herhalen.

Met PCI-schild, verwerkt de AI de beoordeling automatisch. Elke scriptwijziging op betaalpagina's wordt geanalyseerd. Als de verandering er goedaardig uitziet, is er geen actie vereist. Als het tekenen van kwaadaardig gedrag vertoont, ontvangt u een waarschuwing met een volledig overzicht van wat er is gebeurd.

Deze aanpak is gevalideerd door VikingCloud, die bevestigde dat cside voldoet aan de PCI DSS 4.0.1-vereisten 6.4.3 en 11.6.1 wanneer correct geïmplementeerd. Dat kan lees het volledige rapport of download het van onze Vertrouwenscentrum.
Dit is niet alleen gemak. Het is het verschil tussen reactieve respons op incidenten en proactieve preventie van bedreigingen.

Flexibiliteit is het antwoord

We begrijpen dat niet elke organisatie klaar is om AI in hun hele technologiepakket te implementeren. Sommige hebben een intern beleid tegen het gebruik van AI. Anderen willen het van geval tot geval beoordelen.

Daarom kunnen al onze AI-functies worden uitgeschakeld. De overlay is er als je dat wilt, maar het is niet verplicht om cside uit te voeren.

U krijgt nog steeds volledig inzicht in de payload, realtime blokkering, historische tracking en nalevingsrapportage zonder AI.

Of je nu de Script Methode of de Scan Methode gebruikt, het platform biedt volledige scriptzichtbaarheid en een fail-open-ontwerp. AI is een verbetering en voor teams die er gebruik van kunnen maken, maakt de AI-laag alles sneller en nauwkeuriger.

Waarom dit er nu toe doet

Aanvallen aan de clientzijde worden steeds geavanceerder. Aanvallers weten dat de serverzijde en uw statische open source-afhankelijkheden nauwlettend in de gaten worden gehouden. Ze hebben dus hun aanvalsoppervlak aangepast en zijn:

Het gebruik van dynamische client-side scripts die veranderen op basis van de gebruikerscontext, waardoor detectie door statische scans wordt vermeden.
Sterk verduisterende scripts om statische analyse te voorkomen.
Het benutten van de kloof tussen wat de browserspecificaties toestaan en hoe de browser daadwerkelijk is gebouwd.

Checkbox-tools kunnen het niet bijbenen. CSP-schendingen vertellen u niet wat er in een script staat en zijn moeilijk te beheren. Crawlers krijgen schone ladingen te zien, terwijl echte gebruikers kwaadaardige ladingen zien. Gedragsmonitoring vangt aanvallen pas op nadat ze al zijn uitgevoerd en is gevoelig voor het omzeilen van methoden.

Op AI gebaseerde detecties en een aanpak die methoden combineert, hebben de beste kans. Analyseert gedrag in realtime, begrijpt versluierde code, zelfs als het deobfusceren mislukt, en signaleert afwijkingen die bij patroonmatching over het hoofd zouden worden gezien.

Zelf-gehoste modellen, geïsoleerde infrastructuur en geen gegevensuitwisseling met derden. Zo profiteert u van de voordelen van AI zonder nieuwe risico's te introduceren of met interne tegenslag te worden geconfronteerd.

Klaar om cside uit te proberen? Begin gratis of boek een demo om een praatje te maken met ons team.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

We gebruiken open source LLM's die we hosten en onderhouden op onze eigen cloudinfrastructuur. Dit geeft ons controle over het gedrag, de training en de gegevensverwerking van het model. We vertrouwen niet op API's van derden.

Nee. De AI analyseert zowel het originele script als de gedeobfusceerde versie ervan. Verduisteringstechnieken die statische analysatoren voor de gek houden, werken niet tegen contextuele taalmodellen. De LLM begrijpt wat de code doet, niet alleen hoe deze eruit ziet.

Nee. Onze zelf-gehoste architectuur betekent dat er geen klantgegevens onze gecontroleerde infrastructuur verlaten. We sturen geen scriptinhoud naar externe AI-leveranciers. Voor organisaties met een strikt AI-beleid kunnen alle AI-functies worden uitgeschakeld terwijl de volledige beveiligingsfunctionaliteit behouden blijft. Bezoek ons Trust Center voor onze nalevingscertificeringen.

Elke keer dat een script wordt geladen. Bij elk verzoek registreren en analyseren we de volledige lading. Hierdoor kunnen we veranderingen onmiddellijk detecteren en gedrag in de loop van de tijd volgen met volledig historisch inzicht.

U ontvangt een melding met een gedetailleerde uitleg waarom het script is gemarkeerd. Ons dashboard bevat de volledige scriptpayload, contextuele analyse en historische vergelijkingen, zodat uw team de beslissing kan beoordelen. Fout-positieven zijn zeldzaam, maar als ze zich voordoen, helpt de transparantie u deze snel op te lossen.

Ja. Alle AI-mogelijkheden kunnen worden uitgeschakeld. U krijgt nog steeds realtime blokkering, volledige zichtbaarheid van de payload, historische tracking, nalevingsrapportage en alle andere belangrijke beveiligingsfuncties. AI is een verbetering, geen vereiste.

cside biedt twee complementaire implementatiemethoden. De Script Methode is het eenvoudigst: we controleren scriptgedrag in de browser en halen de scripts aan onze kant op om te verifiëren dat het hetzelfde script is, zonder onszelf in het pad van een script te plaatsen tenzij u daar expliciet om vraagt. De Scan Methode is het snelst: als u geen script aan uw site kunt toevoegen, scant cside het met behulp van threat intelligence van duizenden andere websites. U kunt beide combineren voor de beste dekking.

Nee. We gebruiken geen klantgegevens om onze modellen te trainen. Uw scriptinhoud, analyseresultaten en compliancegegevens blijven binnen uw geïsoleerde omgeving. Dit is een kernonderdeel van onze architectuur.

API's van derden introduceren risico's voor het delen van gegevens. Wanneer u JavaScript naar een externe provider verzendt, vertrouwt u op hun beleid voor gegevensbewaring en training. Met cside draait het model op onze infrastructuur, wat betekent dat uw gegevens nooit onze controle verlaten. Er is op geen enkel moment in de analysepijplijn sprake van betrokkenheid van derden.

We hebben een gedetailleerd overzicht op onze vergelijkingspagina geschreven. De korte versie: CSP-only oplossingen analyseren geen payloads, crawlers missen gerichte aanvallen en agent-gebaseerde producten kunnen worden omzeild. cside ziet precies wat uw gebruikers zien.

We dragen actief bij aan het W3C en de bredere webbeveiligingsgemeenschap. Wij delen echter nooit klantspecifieke gegevens. Onze onderzoeksbijdragen richten zich op methodologieën, detectiepatronen en architecturale benaderingen, niet op individuele scripts of incidenten.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.