Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wanneer bots de overhand nemen: het beheren van de derde categorie verkeer
Wanneer bots de overhand nemen: het beheren van de derde categorie verkeer

Wanneer bots de overhand nemen: het beheren van de derde categorie verkeer

by Patrick Spencer updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Het Thales 2026 Bad Bot Report, inmiddels de 13e opeenvolgende editie, introduceert een derde categorie geautomatiseerd verkeer naast goede bots en slechte bots: AI-agenten. Zij browsen websites, verzamelen data en voeren taken uit voor gebruikers. Ze zijn ingebouwd in browsers, zoekplatforms en zakelijke tools. En ze interacteren direct met applicaties en API’s.

Thales blokkeerde 17,2 biljoen slechte botverzoeken in 2025. AI-gedreven botactiviteit nam 12,5 keer toe ten opzichte van het jaar ervoor, waarbij het dagelijks aantal geblokkeerde verzoeken steeg van 2 miljoen naar 25 miljoen. Dit is geen incrementele verschuiving in detectiehoeveelheid — het is een structurele verandering in hoe verkeer op de applicatielaag eruitziet. Het probleem voor verdedigers is niet langer “bot of mens” — het is “bot, mens, of agent die namens een mens handelt.” De meeste enterprise security stacks zijn gebouwd voor de eerste versie van die vraag. De derde categorie doorbreekt de aannames onder de tweede.

5 Belangrijkste Inzichten

1. Het internet bestaat nu vooral uit machines.

Het Thales 2026 Bad Bot Report laat zien dat geautomatiseerd verkeer 53% van al het waargenomen internetverkeer uitmaakt — slechte bots 40%, legitieme automatisering 13%. Menselijke activiteit is gedaald naar 47%. Het internet is niet langer een plek die mensen gebruiken; het is een plek die machines gebruiken en mensen bezoeken. Security stacks die zijn gebouwd rond “is dit een persoon?” lossen de verkeerde vraag op.

2. AI-agenten zijn een nieuwe verkeerscategorie — geen subgroep van bots.

Thales voegde agenten toe naast goede en slechte bots omdat ze zich anders gedragen: legitiem doel, door agent uitgegeven verzoeken, machine-snelheid, niet te onderscheiden van normale API-calls. Ze gebruiken echte browsers, geldige fingerprints en timing volgens menselijk patroon, omdat ze daadwerkelijk geautoriseerde workflows uitvoeren. Datalekken door foutief gedrag van agenten zien er niet uit als een botaanval — het lijkt op normale bedrijfsvoering.

3. De 12,5x toename van AI-botaanvallen is de belangrijkste indicator.

Het dagelijks aantal geblokkeerde AI-gedreven verzoeken steeg van 2 miljoen naar 25 miljoen in één jaar. Thales blokkeerde 17,2 biljoen slechte botverzoeken in 2025. Verdedigingstools die zijn gebouwd rond “bot versus mens” lossen nu het probleem van vorig jaar op. Het aanvalsoppervlak in de toeleveringsketen dat hierdoor ontstaat is structureel — AI-agenten ingebed in zakelijke tools zijn potentiële vectoren, niet alleen productiviteitsfuncties.

4. De governance-kloof is structureel, niet tactisch.

Het Kiteworks 2026 Forecast Report vond dat 100% van de organisaties agentische AI op hun stappenplan heeft staan, maar 63% kan geen doellimieten afdwingen en 60% kan foutief functionerende agenten niet beëindigen. Adoptie loopt 15 tot 20 punten voor op beheersing in elke gemeten categorie. Investeringen in AI-governance zijn gegaan naar het monitoren van agenten, niet naar het stoppen ervan.

5. De oplossing is governance op datalaag, niet botdetectie.

Wanneer agenten legitiem lijken voor traffic mitigation tools, is het enige duurzame handhavingspunt de data die ze proberen te benaderen — met op attributen gebaseerde toegangscontrole, contentlaag least privilege, en manipulatiebestendige audit logs. De Agents of Chaos-studie toonde aan dat model-laag guardrails falen onder vijandige omstandigheden; governance op datalaag houdt stand wanneer de agent is gecompromitteerd.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Hoe AI-agenten zich anders gedragen dan bots

Bots proberen altijd menselijk te lijken; AI-agenten hoeven dat niet. Ze werken via legitieme browsers, geldige fingerprints en timing volgens menselijk patroon, omdat dat hun echte workflow is — ze voeren taken uit die een echte gebruiker heeft geautoriseerd. Het Thales-rapport beschrijft dit direct: AI-gedreven activiteit die voorheen alarmbellen deed afgaan, valt nu samen met legitiem gebruik, waardoor detectie en monitoring veel moeilijker zijn.

Detecteerbaar AI-verkeer is slechts een fractie van alle AI-gedreven activiteit. Aanvallers kunnen zelfgehoste LLM’s inzetten die zichzelf niet identificeren, en kwaadwillenden kunnen die modellen finetunen voor ongeautoriseerd gebruik. Die kloof werd op grote schaal aangetoond in november 2025, toen Anthropic GTG-1002 onthulde, een door de Chinese staat gesponsorde campagne die Claude Code en MCP-orkestratie gebruikte om ongeveer 30 entiteiten in technologie, financiële sector, chemische productie en overheid te targeten. AI voerde 80–90% van het tactische werk uit. Menselijke operators kwamen alleen in actie bij vier tot zes kritieke beslissingsmomenten per campagne — met duizenden verzoeken per seconde, een tempo dat geen enkel menselijk red team kan evenaren.

Het CrowdStrike 2026 Global Threat Report plaatst de bredere verschuiving op een stijging van 89% jaar-op-jaar in aanvallen door AI-gedreven tegenstanders, met een gemiddelde eCrime breakout-tijd die daalt naar 29 minuten. De Thales 53/40/13-verdeling laat verdedigers zien wat er op de lijn gebeurt. De CrowdStrike- en Anthropic-data laten zien wat er bovenop draait.

Waarom botmitigatie de agentlaag niet bereikt

Botmanagement is gebouwd rond drie signalen: identiteit (IP-reputatie, user-agent strings), gedrag (rate limits, fingerprinting), en intentie afgeleid uit patronen. AI-agenten slagen voor alle drie de checks omdat ze niet doen alsof — ze draaien echt een browser, voeren verzoeken uit namens een ingelogde identiteit, en volgen een workflow die eruitziet als normaal gebruik.

Dat is geen tekortkoming van tooling. Het is een categoriefout. Zoals de Global VP en GM Application Security van Thales in het rapport stelt: “De uitdaging is niet langer het identificeren van bots. Het is begrijpen wat de bot, agent of automatisering doet, of het overeenkomt met bedrijfsdoelstellingen, en hoe het interageert met kritieke systemen.” Het controleoppervlak is veranderd. De strategie moet mee veranderen.

Waar de meeste organisaties daadwerkelijk staan op agentgovernance

Het Kiteworks 2026 Forecast Report vond dat 100% van de organisaties agentische AI op hun stappenplan heeft staan — geen uitzonderingen. Het probleem is de kloof tussen adoptie en de controls die beperken wat agenten kunnen doen. Drie containment controls definiëren de kloof:

Purpose binding — het vermogen om te beperken wat een agent mag doen. 63% kan dit niet afdwingen. Kill switch — het vermogen om snel een foutief functionerende agent te beëindigen. 60% kan dit niet. Netwerkisolatie — het vermogen om te voorkomen dat een agent systemen buiten zijn scope benadert. 55% kan dit niet.

De meeste organisaties hebben geïnvesteerd in het monitoren van AI — 59% heeft human-in-the-loop, 58% heeft continue monitoring. Ze hebben niet geïnvesteerd in het stoppen ervan. Overheid is het meest kwetsbaar: 90% mist purpose binding, 76% mist kill switches, 81% mist netwerkisolatie. Dit zijn organisaties die omgaan met geclassificeerde informatie en kritieke infrastructuur met AI-agenten die ze niet kunnen beperken, beëindigen of isoleren.

Wat de Agents of Chaos-studie toevoegt dat telemetrie niet kan

De februari 2026 Agents of Chaos-studie, een samenwerking van 38 auteurs van onder meer Northeastern, Harvard, MIT, Stanford, CMU en andere instellingen, zette agenten twee weken in een live laboratorium in en documenteerde minstens 10 significante datalekken in 11 casestudy’s. Drie structurele tekortkomingen verklaren waarom model-laag guardrails falen:

Geen stakeholdermodel. Agenten hebben geen betrouwbaar mechanisme om te onderscheiden wie ze moeten bedienen en wie hen manipuleert. Ze voldoen standaard aan degene die het dringendst klinkt — omdat LLM’s instructies en data als tokens in hetzelfde contextvenster verwerken, is prompt injection een structurele eigenschap, geen oplosbare bug.

Geen zelfmodel. Agenten nemen onomkeerbare acties zonder te herkennen wanneer ze hun competentie overschrijden. Ze zetten kortdurende verzoeken om in permanente achtergrondprocessen zonder beëindigingsvoorwaarde.

Geen privé-overlegoppervlak. Agenten kunnen niet betrouwbaar bijhouden welke communicatiekanalen voor wie zichtbaar zijn. Ze lekken gevoelige informatie via de verkeerde kanalen, zelfs na expliciete vertrouwelijkheidsinstructies.

Tooling die ervan uitgaat dat de agent het juiste doet, vertrouwt op een eigenschap die de agent niet betrouwbaar bezit. Beheersing moet van buiten de agent komen.

De architectuur die de derde-categorie-kloof dicht

Als botregels agenten niet bereiken en agenten zichzelf niet kunnen beperken, is het duurzame handhavingspunt de datalaag. Drie eigenschappen definiëren een doelgerichte architectuur:

Autorisatie reist mee met de data, niet met de identiteit. Een agent die namens een gebruiker handelt, erft de autorisatie van die gebruiker, maar de autorisatie volgt de content — niet de sessie. Op attributen gebaseerde toegangscontrole evalueert elk verzoek op basis van datagevoeligheid, bevoegdheid van de aanvrager, opgegeven doel en geldend beleid. De meeste bestaande access stacks zijn ontworpen voor folder-niveau rollen; ze overleven geen contact met retrieval-augmented generation, waarbij een agent in milliseconden een corpus doorleest.

Beleidsafdwinging gebeurt vóórdat de agent bij de data komt. Beslissingen worden genomen op de datagrens, niet binnen de agent. Dit is wat het Kiteworks 2026 Forecast Report aanduidt als purpose binding — de control die 63% van de organisaties vandaag niet kan afdwingen.

Audittrails leggen de volledige keten vast op bewijsniveau. Het Kiteworks 2026 Forecast vond dat 33% van de organisaties onvoldoende audittrails heeft en 61% gefragmenteerde logs die niet bruikbaar zijn. Wanneer een toezichthouder vraagt wie wat heeft benaderd, via welke agent, moet het antwoord een enkele doorzoekbare registratie zijn. De Kiteworks AI Data Gateway en Kiteworks Secure MCP Server implementeren dit patroon — gereguleerde toegang op de datalaag, beleidsafdwinging op contentlaag en manipulatiebestendige logs over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en AI-verkeer in één control plane.

Wat CISO’s dit kwartaal zouden moeten doen

Ten eerste, inventariseer de agenten die al actief zijn in je omgeving. Browser-plugins, ingebouwde copilots, SaaS-automatiseringen van derden en ontwikkelaarstools hebben allemaal agenten geïntroduceerd die acties uitvoeren namens gebruikers. De operationele inventaris loopt doorgaans kwartalen achter op het stappenplan. Stel eerst de werkelijke lijst samen voordat je gaat sturen.

Ten tweede, dicht de kill-switch-kloof. Als een foutief functionerende agent vandaag moet worden gestopt, kan je team dat dan binnen een uur doen? 60% kan dat niet. Die control is het absolute minimum voor elke verantwoorde inzet en moet op orde zijn voordat het bereik wordt uitgebreid.

Ten derde, dwing purpose binding af op de datalaag. Vertrouw er niet op dat de agent zich aan zijn scope houdt — bind hem via ABAC-beleid dat elk verzoek evalueert. Dit is de grootste enkele kloof in de Kiteworks 2026 Forecast-enquête en de meest effectieve control om te sluiten.

Ten vierde, leid agentverkeer via een control plane met audit logs op bewijsniveau. Gefragmenteerde logging over negen tools overleeft geen regulatoire toets, geen discovery-verzoek van een aanklager, of een serieuze incidentreview. 61% van de organisaties draait op gefragmenteerde infrastructuur die geen audittrails op bewijsniveau ondersteunt — dat is de grootste infrastructuurkloof om te dichten voordat het agentverkeer verder toeneemt.

Ten vijfde, behandel agent runtimes en tool connectors als geprivilegieerde infrastructuur. De GTG-1002-onthulling is het duidelijkste casusvoorbeeld. Beperk wie en wat tools mag draaien, handhaaf allowlists, monitor automatisering met hoge frequentie en houd een kill switch aan voor verdachte agentactiviteit. Dezelfde controls die vereist zijn voor serviceaccounts gelden nu voor elke agentidentiteit, intern of van derden.

Wil je meer weten over het beheren van AI-data? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

AI-agenten slagen voor traditionele botsignalen omdat ze echte browsers en geautoriseerde workflows draaien — ze doen zich niet voor. Botmitigatieregels bereiken ze niet. 63% van de organisaties kan geen doellimieten afdwingen voor agenten en 60% kan foutief functionerende agenten niet beëindigen volgens het Kiteworks 2026 Forecast. Behandel agenten als aparte categorie en dwing toegangscontrole af op de datalaag, niet aan de netwerkgrens.

HIPAA’s minimumtoegangsvereiste geldt voor elk systeem dat PHI verwerkt, inclusief AI-agenten die namens een clinicus handelen. De zorg loopt achter op beheersing — 68% mist purpose binding en 59% mist kill switches volgens het Kiteworks 2026 Forecast. Koppel autorisatie aan specifieke PHI-elementen via ABAC-beleid en log elke agenttoegang op bewijsniveau voor auditverdedigbaarheid.

Het verhoogt de lat voor CMMC’s AC- en AU-controlfamilies. De GTG-1002-case toont aan dat agenten een volledige inbraakcyclus kunnen uitvoeren als toegangscontrole ontbreekt. 61% van de organisaties draait op gefragmenteerde infrastructuur die geen audittrails op bewijsniveau ondersteunt volgens het Kiteworks 2026 Forecast. Leid agentverkeer via een gereguleerde control plane voor CUI-toegang vóór de assessment.

Governance controls monitoren — human-in-the-loop, continue monitoring, dataminimalisatie. Containment controls stoppen — purpose binding, kill switches, netwerkisolatie. Het Kiteworks 2026 Forecast documenteert een kloof van 15 tot 20 punten tussen beide, waarbij 60%+ van de organisaties een foutief functionerende agent niet kan beëindigen. Monitoren zonder stoppen faalt bij audits, incidentrespons en elke zinvolle definitie van controle.

Botmanagement dekt de netwerkgrens; agentgovernance moet op de datalaag plaatsvinden. 100% van de organisaties heeft agentische AI op het stappenplan, maar 55% kan AI niet isoleren van bredere netwerktoegang volgens het Kiteworks 2026 Forecast. Voeg ABAC-beleidsafdwinging toe op de datagrens, contentlaag least privilege en manipulatiebestendige audittrails — controls die standhouden ongeacht of de agent eruitziet als een bot. Het Kiteworks Private Data Network levert deze architectuur over elk data-uitwisselingskanaal.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks