Aanvallers opereren op machinesnelheid — verdedigers werken nog steeds op menselijke tijdlijnen

Het Booz Allen Hamilton-rapport, uitgebracht op 16 maart 2026, schetst een probleem dat de meeste beveiligingsleiders wel aanvoelen, maar waarvan weinigen het hebben gekwantificeerd: De tijdskloof tussen AI-snelle aanvallen en menselijke verdediging wordt niet kleiner. Hij wordt juist groter.

Belangrijkste inzichten

1. Cybercriminelen hebben AI sneller ingezet voor offensieve operaties dan overheden en bedrijven AI inzetten voor verdediging, waardoor wat Booz Allen de “cybersecurity-snelheidskloof” noemt is ontstaan. Aanvallen die vroeger dagen duurden, veroorzaken nu binnen enkele minuten operationele impact.
2. Eén enkele operator met agentic AI-tools kan nu gelijktijdig verkenning, exploitatie en vervolgacties uitvoeren op tientallen doelwitten. Capaciteiten die voorheen grote, gecoördineerde specialistenteams vereisten, zijn nu toegankelijk voor één persoon met een API-sleutel.
3. AI-platforms zelf worden steeds waardevollere aanvalsvectoren — gevoelige data, identiteitsbeheer en workflow-autorisatie worden geconcentreerd op één plek. Wanneer deze platforms verkeerd geconfigureerd of gecompromitteerd zijn, krijgen aanvallers directe toegang tot de systemen waar organisaties van afhankelijk zijn.
4. Handmatige cyberbeveiligingsoperaties kunnen het tempo van AI-snelle aanvallen niet bijbenen, terwijl de meeste organisaties incident response nog steeds op menselijke tijdlijnen uitvoeren. CISA geeft verdedigers 15 dagen om kritieke kwetsbaarheden te patchen; HexStrike wist meer dan 8.000 endpoints te exploiteren in minder dan 10 minuten.
5. De snelheidskloof dichten vereist drie beslissingen: cyberverdediging naar AI-snelheid brengen, AI-platforms beveiligen als kritieke infrastructuur en een mens-AI-samenwerkingsmodel invoeren. Organisaties die deze omslag niet maken, zullen indringers pas detecteren nadat de aanvallers al controle hebben genomen.

Het rapport, besproken door CyberScoop, documenteert een tijdlijn van AI-gedreven offensieve operaties van 2023 tot begin 2026 en laat een duidelijk kantelpunt zien. In augustus 2025 maakte het open-source HexStrike-framework misbruik van een Citrix NetScaler-kwetsbaarheid en exploiteerde meer dan 8.000 endpoints in minder dan 10 minuten. In september 2025 meldde Anthropic een door de Chinese staat gesteunde campagne waarbij een jailbreak van Claude Code autonoom een volledige cyber kill chain uitvoerde op 30 wereldwijde doelwitten — waarbij AI 80–90% van het tactische werk overnam. In januari 2026 toonde een securityonderzoeker aan dat commerciële taalmodellen complete, werkende exploit chains voor zero-day kwetsbaarheden konden genereren voor gemiddeld $50 per run.

Het CrowdStrike 2026 Global Threat Report bevestigt deze tijdlijn: De gemiddelde eCrime breakout-tijd daalde in 2025 naar 29 minuten, een daling van 65% op jaarbasis, met de snelste waargenomen breakout op 27 seconden. AI-gedreven aanvallen door tegenstanders stegen met 89% op jaarbasis. Ondertussen werkt CISA nog steeds met een hersteltermijn van 15 dagen voor kritieke kwetsbaarheden — en het Booz Allen-rapport constateerde dat 60% van die kritieke kwetsbaarheden zelfs na die termijn niet is opgelost. Dat is geen kloof. Dat is een ravijn.

Brad Medairy, EVP National Cyber Business bij Booz Allen, schetste het risico in operationele termen: Zodra een aanvaller een kwetsbaarheid aan de buitenkant uitbuit en binnen de muur komt, beweegt hij op machinesnelheid. Verdedigers die nog op menselijke snelheid werken, zijn niet alleen langzamer. Ze zien de inbraak live gebeuren.

Twee modellen van AI-gedreven aanvallen — en waarom het tweede alles verandert

Het Booz Allen-rapport onderscheidt twee duidelijke patronen in hoe kwaadwillenden AI inzetten. Het eerste is het collaborator-model: Een operator werkt interactief met een taalmodel om scripts te schrijven, code te debuggen en tools aan te passen als iets faalt. Dit is een efficiëntie-vermenigvuldiger — het versnelt wat aanvallers al doen, terwijl de mens betrokken blijft bij de belangrijkste beslissingen.

Het tweede is het orchestratiemodel, en dat is fundamenteel anders. Een operator koppelt een AI-systeem aan offensieve beveiligingstools, wijst het op een doelwit, stelt parameters in en loopt weg. Het systeem kiest zijn eigen tools, voert acties uit, leest resultaten en herhaalt tot het doel is bereikt. Brad Medairy, EVP National Cyber Business bij Booz Allen, vergeleek het met het AI-equivalent van vibe coding — definieer het doel, stel de randvoorwaarden en laat de agent het probleem oplossen.

Het orchestratiemodel maakt de HexStrike- en Claude Code-incidenten zo ingrijpend. Dit zijn geen complexe statelijke teams die AI gebruiken om uren van een handmatig proces af te schaven. Het zijn geautomatiseerde systemen die volledige offensieve workflows uitvoeren met minimale menselijke aansturing. De Claude Code-campagne, gedocumenteerd door Anthropic in november 2025, is bijzonder leerzaam: gejailbreakte AI-agenten selecteerden zelfstandig doelwitten, genereerden exploits, voerden inbraken uit, exfiltreerden data en installeerden persistentie — allemaal zonder realtime menselijke sturing. Menselijke operators grepen slechts vier tot zes keer in tijdens de hele campagne. De Kiteworks Forecast merkte een verdedigend inzicht op uit datzelfde incident: De AI overdreef soms bevindingen of fabriceerde data, waardoor aanvallers de resultaten moesten valideren, wat de campagne vertraagde. Die onbetrouwbaarheid is het dunste zilveren randje — en dat zal verdwijnen naarmate modellen verbeteren.

De Agents of Chaos-studie, gepubliceerd in februari 2026 — uitgevoerd door 20 onderzoekers van MIT, Harvard, Stanford en CMU — documenteerde de structurele tekortkomingen die dit mogelijk maken: AI-agenten hebben geen betrouwbaar mechanisme om geautoriseerde gebruikers van aanvallers te onderscheiden, geen intern model van hun eigen competentiegrenzen en geen manier om verspreiding van gecompromitteerde instructies tussen agenten te voorkomen.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report geeft een cijfer aan de verdedigingskant van deze vergelijking: 63% van de organisaties kan geen doeleindebeperkingen afdwingen voor AI-agenten, 60% kan een ontsporende agent niet beëindigen en 55% kan AI-systemen niet isoleren van bredere netwerktoegang. Aanvallers bouwen autonome offensieve agenten. De meeste verdedigers kunnen hun eigen agenten niet eens beperken.

AI-platforms zijn de nieuwe kritieke infrastructuur — en het nieuwste aanvalsvlak

Het Booz Allen-rapport stelt een argument dat verder gaat dan traditionele dreigingsanalyse: AI-platforms zijn zelf kritieke infrastructuur geworden. Deze systemen concentreren gevoelige data, koppelen aan e-mail- en ticketsystemen, integreren met coderepositories en starten acties via plugins, agenten en geautomatiseerde workflows. Als ze gecompromitteerd raken, krijgen aanvallers directe toegang tot de meest vertrouwde delen van de onderneming.

De gedocumenteerde gevallen zijn concreet. XLab meldde Pickai-malware die zich verspreidde via kwetsbaarheden in ComfyUI, een AI-workflowtool, en bijna 700 servers trof. Microsoft Incident Response documenteerde aanvallers die de OpenAI Assistants API gebruikten om instructies door te geven en resultaten te ontvangen als command-and-control-kanaal. Openbare repositories zijn gebruikt om kwaadaardige AI-pakketten te verspreiden met gepolijste, door AI geschreven documentatie om legitiem te lijken — Sonatype rapporteerde bijna 400.000 nieuwe open-source malwarepakketten in Q4 2025, waarvan 89% werd toegeschreven aan gescripte en AI-ondersteunde publicatie door één campagne.

Het risico wordt groter als geen enkel team AI-beveiliging van begin tot eind beheert. Eén team draait modellen en workflows. Een ander beheert toegang en logs. Een derde beheert leveranciers. De Kiteworks Forecast vond dat 57% van de organisaties geen gecentraliseerde AI Data Gateway heeft en 33% van de overheidsorganisaties helemaal geen specifieke AI-controls. Het Black Kite 2026 Third-Party Breach Report documenteerde 136 geverifieerde derde-partij-datalekken in 2025, met 719 genoemde slachtoffers en ongeveer 26.000 niet-genoemde bedrijven — met een mediane meldingsachterstand van 73 dagen. Wanneer AI-platforms verbinding maken met interne systemen, partner-API’s en workflows in de toeleveringsketen, wordt elke verbinding een potentiële verspreidingsroute voor een gecompromitteerde AI-agent.

Het advies van het Booz Allen-rapport — behandel AI-platforms met afdwingbare beveiligingsbaselines voor toegang, logging, integraties en dataverwerking — is een directe erkenning dat vrijwillige richtlijnen niet opwegen tegen het risico dat deze platforms introduceren.

De snelheidskloof is ook een gegevensbeheer-kloof

Onder het snelheidsprobleem ligt een dataprobleem. AI-gedreven aanvallers zijn niet alleen sneller binnen, ze vinden en extraheren ook sneller wat ertoe doet. De verschuiving van malware-gebaseerde inbraken naar identiteits- en inloggegevens-gedreven operaties betekent dat aanvallers via legitieme accounts werken, legitieme systemen benaderen en data exfiltreren via legitieme kanalen. Het CrowdStrike-rapport documenteerde dat 82% van de detecties in 2025 malwarevrij was.

Dit verandert de betekenis van “verdediging” op het dataniveau. Traditionele perimeterbeveiliging, endpointdetectie en op signatures gebaseerde tools zijn ontworpen om kwaadaardige bestanden te herkennen. Ze zijn niet ontworpen om kwaadaardig gedrag te herkennen via vertrouwde accounts die op machinesnelheid gevoelige data benaderen.

Het 2026 Thales Data Threat Report vond dat slechts 33% van de organisaties volledig weet waar hun data zich bevindt. De Kiteworks Forecast vond dat 33% helemaal geen audittrail van bewijskwaliteit heeft en 61% gefragmenteerde logs over systemen heen — logs die geen bruikbaar forensisch bewijs kunnen leveren tijdens een AI-snelheidsincident. Het DTEX 2026 Insider Threat Report voegt een extra dimensie toe: Shadow AI is nu de belangrijkste oorzaak van nalatige incidenten door insiders, terwijl slechts 13% van de organisaties AI in hun beveiligingsstrategie heeft geïntegreerd.

Wanneer aanvallers via legitieme accounts op machinesnelheid bewegen en verdedigers niet eens kunnen auditen wat hun eigen AI-systemen benaderen, wordt de snelheidskloof een zichtbaarheidsgat — en het zichtbaarheidsgat wordt een compliance-kloof.

Het WEF Global Cybersecurity Outlook 2026 onderstreept deze samenloop: 73% van de respondenten gaf aan dat zijzelf of iemand in hun netwerk in 2025 persoonlijk slachtoffer was van cyber-enabled fraude, en CEO’s noemen cyber-enabled fraude en AI-kwetsbaarheden nu als hun twee grootste zorgen — voor het eerst boven ransomware. Het Booz Allen-rapport verbindt de punten: Wanneer AI misleiding op industriële schaal brengt en aanvallers via vertrouwde identiteiten opereren, wordt beveiliging onlosmakelijk verbonden met gegevensbeheer. Organisaties die niet kunnen aantonen welke data is benaderd, door wie, onder welk beleid, en of de gebruiker mens of machine was, zullen zowel het incidentonderzoek als de daaropvolgende audit niet doorstaan.

Hoe Kiteworks de kloof tussen AI-snelle aanvallen en verdediging op dataniveau dicht

De drie aanbevelingen van het Booz Allen-rapport — verdediging op AI-snelheid brengen, AI-platforms beveiligen als kritieke infrastructuur en mens-AI-samenwerking invoeren — komen samen in één architecturale vereiste: Het dataniveau moet onafhankelijk worden beheerd van het model, de agent en de gebruiker.

Kiteworks fungeert als het controlevlak voor veilige gegevensuitwisseling, met uniforme governance over elk kanaal waar gevoelige data beweegt — e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, API’s, dataformulieren en AI-integraties via de Secure MCP Server. Dit is geen extra monitoringslaag. Het is de handhavingslaag.

Voor AI-snelle containment legt Kiteworks een manipulatiebestendige audittrail vast van elke interactie met gevoelige data — mens of AI-agent — in realtime, direct doorgezet naar SIEM-infrastructuur zonder vertraging of throttling. Wanneer een incident zich in minuten voltrekt, hebben onderzoekers de bewijsvoering al compleet, niet verspreid over vijf systemen met 72 uur logvertraging.

Voor AI-platformbeveiliging dwingt Kiteworks op attributen gebaseerde toegangscontrole (ABAC) af op het dataniveau, zodat elk AI-agentverzoek wordt geauthenticeerd, geautoriseerd op basis van een multidimensionaal beleid, versleuteld met FIPS 140-3 gevalideerde encryptie en gelogd met volledige delegatieketen-attributie. Doeleindebinding beperkt wat agenten mogen doen. Kill-switch-functionaliteit maakt snelle beëindiging mogelijk. Single-tenant isolatie voorkomt kwetsbaarheidsmisbruik tussen tenants.

Voor mens-AI-samenwerking vervangt Kiteworks de handmatige compliance-review gates die AI-inzet vertragen door continue, geautomatiseerde governance. AI-projecten worden snel uitgerold omdat compliance in de architectuur is ingebouwd — niet als periodiek goedkeuringspunt toegevoegd.

Vijf verschuivingen die securityleiders moeten maken voordat de snelheidskloof hen inhaalt

Ten eerste vooraf geautomatiseerde containmentacties goedkeuren voor AI-snelle incidenten. Het Booz Allen-rapport is duidelijk: Wachten op handmatige goedkeuring tijdens een inbraak is te traag. Bepaal vooraf welke acties — hostisolatie, blokkeren van verkeer, intrekken van sessies, bevriezen van privileges — automatisch mogen worden uitgevoerd binnen vastgestelde grenzen. Test deze beslissingen via tabletop-oefeningen voordat een incident ze afdwingt.

Ten tweede afdwingbare beveiligingsbaselines instellen voor elk AI-platform in productie. De Kiteworks Forecast vond dat 57% van de organisaties geen gecentraliseerde AI Data Gateway heeft. Elke geautomatiseerde workflow moet een eigen identiteit en toegangscontrole hebben, zero-trust beleid dat bepaalt welke data en systemen bereikbaar zijn, en gedetailleerde logging van elke tool call, belangrijke gebeurtenis en prestatie-indicator.

Ten derde de audittrail-infrastructuur over alle data-uitwisselingskanalen heen uniformeren. De Kiteworks Forecast vond dat 61% van de organisaties gefragmenteerde logs heeft die niet bruikbaar zijn. Als breakout-tijd 29 minuten is en je logs pas 72 uur later binnenkomen, onderzoek je een plaats delict — je houdt geen aanval tegen.

Ten vierde governance op dataniveau inzetten voor alle AI-integraties — niet modelniveau-guardrails. Systeemprompts zijn geen compliance-controls. Het zijn instructies die kunnen worden omzeild door prompt-injectie, modelupdates of indirecte manipulatie. Alleen handhaving op dataniveau — onafhankelijk van het model — is een audit-verdedigbare controle.

Ten vijfde een mens-AI-samenwerkingsmodel invoeren voor security operations. Het Booz Allen-rapport schat dat deze aanpak de capaciteit van een securityteam met een factor 10 tot 100 vergroot. Geautomatiseerde agenten nemen routinematige triage, detectie-updates en eerste containment op zich. Menselijke analisten houden toezicht, verfijnen detectielogica en grijpen in waar oordeel of bredere context nodig is.

De conclusie van het Booz Allen-rapport is onverbloemd: De vraag is niet langer óf organisaties AI-gedreven inbraken zullen meemaken. Dat gebeurt nu al. De vraag is of verdedigers op tijd kunnen handelen — of pas als de schade al is aangericht.