Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Door Phil Muncaster • 11 December 2025

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op agentische AI. Voorstanders beweren dat het generatieve AI (GenAI) zal overtreffen door zelfstandig taken uit te voeren voor zijn menselijke beheerders. Bijna twee derde (62%) van de organisaties experimenteert al met AI-agenten, waarbij grotere bedrijven de pilotfase al achter zich hebben gelaten, aldus een onderzoek. McKinsey.

Maar autonomie brengt ook risico's met zich mee. Nog maar vorige maand, Antropisch onthuld Het bedrijf beweerde de eerste "door AI georkestreerde cyber-spionagecampagne" te hebben uitgevoerd, waarbij de chatbot Claude werd ingezet om tientallen organisaties aan te vallen. Ook analisten waarschuwen voor deze dreiging.

Forrester's belangrijke voorspellingen op het gebied van cyberbeveiliging De voorspelling voor 2026 is dat een AI-implementatie met een agent zal leiden tot een publiekelijk gemeld datalek, met ontslag van werknemers tot gevolg. De vraag is of organisaties over de tools, frameworks en knowhow beschikken om dergelijke risico's te beheersen en tegelijkertijd de enorme zakelijke voordelen van de technologie te benutten.

Hoe Agentic AI werkt

Terwijl GenAI zich beperkt tot het samenvatten en creëren van content op basis van gebruikersinvoer, zijn agentische AI-systemen ontworpen om zonder constante menselijke supervisie taken te voltooien. Hiervoor verzamelen ze informatie uit databases, sensoren, van gebruikers en API's. Vervolgens verwerken ze die data om inzichten en context te extraheren. Daarna stelt de AI zichzelf doelen op basis van vooraf gedefinieerde doelen of gebruikersinvoer, berekent hoe deze te bereiken en gebruikt redenering om de beste van verschillende mogelijke acties te kiezen.

Vervolgens wordt die actie uitgevoerd, meestal door interactie met systemen en data van derden. Daarna volgt de evaluatie van het resultaat en continue verfijning en bijscholing. Het is het vermogen van AI om op deze manier complexe taken in meerdere fasen te voltooien – en zich potentieel dynamisch aan te passen naarmate er nieuwe informatie beschikbaar komt – dat het zo nuttig maakt. De toepassingsmogelijkheden zijn vrijwel onbeperkt. De technologie zou alles kunnen aandrijven, van voorspellende onderhoudsworkflows in industriële omgevingen tot klantreismanagement voor e-commercebedrijven.

Mits oordeelkundig ingezet, kan AI menselijke fouten bij handmatige taken elimineren, waardoor medewerkers zich kunnen richten op waardevoller werk en de operationele efficiëntie en productiviteit drastisch verbeteren. Deze efficiëntie zou de kosten moeten kunnen verlagen. Bovendien kunnen AI-agenten in bepaalde sectoren de klantervaring aanzienlijk verbeteren.

Hoe een datalek kan ontstaan

Omdat er echter minder toezicht is op de AI, bestaat er een grotere kans op kwaadwillige manipulatie of onbedoeld lekken van gegevens, nog voordat beveiligingsteams doorhebben dat er iets mis is. Hoe belangrijker de beslissingen die een agent mag nemen, hoe groter het potentiële risico. Snelle injectie is een grote zorg. Door kwaadwillige instructies in te bedden in iets dat een agent verwerkt – zoals een document, webpagina of online reactie – kan een aanvaller de agent misleiden en gevoelige gegevens laten lekken.

Er kunnen ook per ongeluk lekken ontstaan als de beveiligingsmaatregelen niet correct zijn geïmplementeerd. Agents met te veel bevoegdheden en een wildgroei aan agents vergroten de kans dat er iets misgaat.

Forrester waarschuwt dat datalekken mogelijk zijn als gevolg van een "keten van fouten". Senior analist Paddy Harrington schetst drie scenario's voor ISMS.online:

Te veel toegang tot gegevens: "In hun haast om AI-agenten te implementeren, negeren afdelingen en teams mogelijk de standaard zero trust-toegangsrichtlijnen. En omdat het een 'programma' is en geen persoon, zouden ze kunnen aannemen dat zolang ze het alleen opdracht geven om toegang te krijgen tot bepaalde datasets, de reikwijdte ervan beperkt blijft", legt hij uit. "Helaas, zoals is gebleken door het ontbreken van een goede gebruikers- of apparaatsegmentatie, kan elke agent die toegang heeft tot data worden gemanipuleerd om die data te bemachtigen. Als je daar de diefstal van een authenticatietoken aan toevoegt, kan de hoeveelheid data die kan worden buitgemaakt een bedrijf lamleggen."

Slechte authenticatieprocedures: “De agenten hebben autorisatie nodig om toegang te krijgen tot gegevens, wat neerkomt op authenticatie. Als de authenticatiemethoden te simpel zijn – statische tokens die onjuist worden opgeslagen, of misschien een te brede autorisatie – kunnen deze agenten worden gemanipuleerd door kwaadwillenden”, aldus Harrington. “Als een gebruiker een agentische workflow creëert zonder richtlijnen, bestaat de mogelijkheid dat ze gegevens naar externe opslagplaatsen sturen of toegang krijgen tot gevoelige gegevens via deze autonome workflows. Zonder vangrails kan dit betekenen dat HR-, financiële of zelfs authenticatiegegevens openbaar worden gemaakt.”

Vertrouwen op informatie met een lage nauwkeurigheid: “De nauwkeurigheid van veel probabilistische modellen kan variëren van 60% tot slechts 10%. In de context van IT- of beveiligingswaarschuwingen, met een model dat te snel op de markt is gebracht, kan dit leiden tot een stortvloed aan valse positieven of, erger nog, valse negatieven”, betoogt Harrington. “Dit kan teams afleiden van echte problemen of ervoor zorgen dat ze die volledig over het hoofd zien. Wat betreft de cascade: wanneer je een agentgestuurde workflow creëert, waarbij de agenten samenwerken, kan een fout in één agent ervoor zorgen dat de volgende agenten in de workflow die fout overnemen, hun eigen fouten genereren, en zo gaat het maar door, waardoor de uiteindelijke acties een beveiligings-/IT-nachtmerrie worden.”

Richtlijnen en beleid

Forrester adviseert om de Agentic AI Guardrails For Information Security (AEGIS) te volgen. kaderHet is gebaseerd op zes 'domeinen':

Governance, risicobeheer en compliance (GRC)
Identiteits- en toegangsbeheer (IAM)
Gegevensbeveiliging en privacy
Applicatie beveiliging
Bedreigingsbeheer
Zero Trust-architectuur

De analist adviseert te beginnen met GRC – het opzetten van governance, het bouwen van agent-inventarissystemen en het definiëren van acceptabel gebruik. Vervolgens worden beveiligingsteams aangespoord om IAM en gegevensbeveiliging te implementeren, waarbij agents worden behandeld als een "nieuwe identiteitsklasse". Daarna zouden verbeteringen aan DevSecOps moeten volgen om de agentlevenscyclus te beveiligen en hallucinaties te detecteren. Ten slotte is optimalisatie via Zero Trust nodig om minimale handelingsvrijheid af te dwingen, ongepland gedrag te monitoren en malafide agents te isoleren.

Volgens Harrington kunnen best practices zoals ISO 42001 hierbij ook van pas komen, aangezien er een aanzienlijke overlap is met de AEGIS-aanpak. Ongeacht de uiteindelijke methode, dringt hij er bij organisaties op aan om beveiliging vanaf het begin in te bouwen in agentische AI-projecten.

"Iedereen gaat te snel om de juiste beschermingsmaatregelen te treffen. Bedrijfsleiders zien de implementatie van AI-agenten en agentgebaseerde workflows als een manier om enorme kostenbesparingen te realiseren en de efficiëntie te verhogen," concludeert hij.

“Beveiliging, de afdeling die ‘nee’ zegt, vormt vaak een belemmering voor de snelheid, omdat we mensen vertellen dat ze de tijd moeten nemen om veilige werkprocedures te volgen. En die drempels worden gezien als een obstakel. Maar vrijwel elke keer dat [beveiliging wordt genegeerd], loopt het uiteindelijk slecht af.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster