Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wanneer de agent de beste rekruut van de aanvaller wordt
Wanneer de agent de beste rekruut van de aanvaller wordt

Wanneer de agent de beste rekruut van de aanvaller wordt

by Patrick Spencer updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Een campagne gerapporteerd door CSO Online markeert een echt nieuw fenomeen in het dreigingslandschap van de toeleveringsketen. Aanvallers plaatsten opzettelijk kwaadaardige pakketten in tweede laag op npm, PyPI en Cargo, vermomd als cryptocurrency-tools. De doelwitten waren niet menselijke ontwikkelaars die handmatig afhankelijkheden installeren — de doelwitten waren AI-codeeragenten die zelfstandig registries scannen en componenten in projecten opnemen zonder dat een mens elke keuze controleert.

De campagne evolueerde in de loop van de tijd. Vroege payloads stalen inloggegevens. Latere versies installeerden door aanvallers beheerde SSH-sleutels voor directe externe toegang, archiveerden en exfiltreerden volledige coderepositories en leverden uiteindelijk gecompileerde Single Executable Applications om detectie te omzeilen. Elke evolutie maakte hetzelfde punt duidelijk: als de afnemer van het pakket een AI-agent is, hoef je alleen de agent te overtuigen. De afhankelijkheidsgrafiek is niet langer iets dat ontwikkelaars samenstellen — het is iets dat agenten autonoom aanpassen, en de aanvallers weten dat.

5 Belangrijkste Inzichten

1. De afhankelijkheidsrails zijn nu het AI-aanvalsoppervlak.

Onderzoekers documenteerden pakketten zoals aes-create-ipheriv, jito-proper-excutor en @validate-sdk/v2 die bewust verspreid werden over npm, PyPI en Cargo om ontdekt en opgepikt te worden door AI-codeeragenten. Dit is geen hypothetische dreiging — het is een operationele aanval die de manier waarop elke AI-agent momenteel in productie wordt beheerd, opnieuw definieert. Het aanvalsoppervlak van de toeleveringsketen is verschoven van de perimeter naar de afhankelijkheidsgrafiek.

2. De agent doet het werk van de aanvaller.

AI-codeertools scannen zelfstandig pakketregisters en passen hun eigen afhankelijkheidsgrafieken aan. Geen mens in de keten betekent geen menselijke controle op wat er net is geïnstalleerd. 63% van de organisaties kan geen doellimieten afdwingen op AI-agenten en 60% kan een afwijkende agent niet snel uitschakelen volgens de Kiteworks 2026 Forecast. Een vergiftigde afhankelijkheid glipt moeiteloos door deze gaten zonder weerstand en zonder een spoor achter te laten dat de meeste organisaties kunnen reconstrueren.

3. Payloads evolueren razendsnel.

Wat begon als diefstal van inloggegevens, escaleerde naar door aanvallers beheerde SSH-sleutels, volledige repository-exfiltratie en gecompileerde Single Executable Applications die ontworpen zijn om detectie te ontwijken. Elke evolutie maakt hetzelfde punt: als de consument van het pakket een AI-agent is, hoef je alleen de agent te overtuigen — niet de ontwikkelaar. De conversieratio wordt niet in percentages gemeten; het gaat erom hoeveel agenten het pakket hebben opgehaald voordat het uit het register werd verwijderd.

4. Modelniveau-rails lossen dit niet op.

Een op veiligheid afgestemd model haalt nog steeds elke afhankelijkheid binnen die zijn tooling ophaalt. Het kwaadaardige pakket draait in de runtime van de agent, installeert SSH-sleutels en exfiltreert code zonder ooit een prompt via het model te sturen. De kwetsbaarheid bevindt zich onder het model, in de uitvoering van de tools en de data access layer — precies waar alignment training, prompt filtering en contentmoderatie geen invloed hebben.

5. De oplossing is governance op datalaag-niveau.

Authenticeer elke agent. Autoriseer elk dataverzoek op basis van op attributen gebaseerde toegangscontrole. Versleutel met FIPS 140-3. Log elke actie in een manipulatiebestendige audittrail. De agent kan niets exfiltreren wat hij nooit mocht zien — ongeacht welke vergiftigde afhankelijkheid hij heeft geïnstalleerd. Als het model gecompromitteerd is, handhaaft de datalaag het beleid alsnog.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Agentic AI-adoptie loopt voor op Agentic AI-governance

Elke organisatie in de Kiteworks 2026 Forecast-enquête heeft agentic AI op de roadmap — zonder uitzondering. Adoptie is universeel. Governance niet. 63% van de organisaties kan geen doellimieten afdwingen op AI-agenten, 60% kan een afwijkende agent niet snel uitschakelen en 55% kan AI-systemen niet isoleren van het bredere netwerk. Overheden doen het slechter: 90% mist doelbinding, 76% heeft geen kill switch, 33% heeft helemaal geen specifieke AI-controls.

Dezelfde data laat zien waar het eerst misgaat. 27% van de organisaties plant AI-gedreven MFT-automatisering, maar slechts 46% heeft MFT-beveiliging geïmplementeerd. AI wordt toegevoegd aan kanalen die al onvoldoende beveiligd zijn. Voeg daar een vergiftigde afhankelijkheid aan toe, en de agent wordt een perfect geautoriseerd exfiltratie-instrument met een geldig inloggegeven en een legitieme auditactie.

Waarom modelniveau-rails hier niet helpen

Een perfect afgestemd model kan nog steeds draaien op een toollaag die net aes-create-ipheriv heeft geïnstalleerd omdat de agent dacht dat een cryptografische utility nodig was. Het model ziet nooit dat de SSH-sleutel wordt ingezet. Het model weet niet dat de repository wordt gearchiveerd en geëxfiltreerd. Tegen de tijd dat het model wordt gevraagd wat er is gebeurd, is de schade al aangericht op een plek waar het model geen zicht op had.

De Agents of Chaos-studie — een samenwerking van 38 auteurs van onder andere Northeastern, Harvard, MIT, Stanford, CMU — documenteerde drie structurele tekortkomingen die nu worden uitgebuit door de pakket-seedingcampagne: geen stakeholdermodel (agenten kunnen legitieme operators niet onderscheiden van aanvallers), geen zelfmodel (agenten nemen onomkeerbare acties zonder te herkennen wanneer ze hun competentie overschrijden) en geen privé-overlegoppervlak (agenten lekken gevoelige informatie via verkeerde kanalen). Elk van deze tekortkomingen is relevant als de agent het toegangspunt is.

De afhankelijkheidsgrafiek is de nieuwe phishingmail geworden

Jarenlang was phishing de favoriete manier van aanvallers om binnen te komen bij een organisatie — een mens overtuigen om te klikken, te openen of inloggegevens in te voeren. De mens in de keten werd een controlepunt: bewustwordingstraining, e-mailfiltering, multi-factor authentication, voorwaardelijke toegang. De AI-codeeragent haalt die mens uit de keten. Wanneer de agent beslist wat te installeren, wordt het afhankelijkheidsregister het equivalent van een inbox — een constante stroom van input die de agent beoordeelt zonder bewustwordingstraining, zonder multi-factor authentication en zonder voorwaardelijke toegang.

Er is een tweede-orde risico dat het eerste versterkt. AI-codeeragenten installeren niet alleen pakketten — ze genereren code die afhankelijk is van pakketten. Wanneer een agent is blootgesteld aan een kwaadaardig pakket, kan hij dat pakket aanbevelen aan andere ontwikkelaars, waardoor de besmetting zich verspreidt over teams die nooit direct met het register in aanraking kwamen. De grens tussen “de agent installeerde iets kwaadaardigs” en “de agent raadde iets kwaadaardigs aan een mens aan, die het vervolgens installeerde” is dunner dan de meeste beveiligingsprogramma’s aankunnen.

Het containment-gat waar de meeste besturen geen weet van hebben

54% van de besturen is niet betrokken bij AI-governance, en die organisaties lopen 26 tot 28 punten achter op elk AI-volwassenheidscriterium volgens de Kiteworks 2026 Forecast. Betrokkenheid van het bestuur is de sterkste voorspeller van AI-governancevolwassenheid — sterker dan sector, regio of omvang. Het gat is het pijnlijkst zichtbaar bij containment-controls. Organisaties hebben geïnvesteerd in het monitoren van AI-acties — mens-in-de-keten, continue monitoring. Ze hebben niet geïnvesteerd in het stoppen ervan.

De vergiftigde-pakketcampagne laat de prijs van die onbalans zien. Een organisatie die haar agenten perfect kan monitoren maar niet kan uitschakelen, heeft haar eigen datalek gedocumenteerd. De vraag op bestuursniveau voor het volgende kwartaal is niet “gebruiken we AI veilig?” — maar “kunnen we een gecompromitteerde agent binnen vijf minuten stoppen, met bewijs dat we later aan een toezichthouder kunnen tonen?”

Hoe governance op datalaag-niveau er in de praktijk uitziet

Controls kunnen niet bestaan waar het model draait — ze moeten bestaan waar de data leeft. Wanneer een AI-agent toegang zoekt tot gevoelige data, moet deze cryptografische identiteitsverificatie, op attributen gebaseerde toegangscontrole, FIPS 140-3 encryptie en manipulatiebestendige audit logging tegenkomen bij elke interactie. Een agent die gecompromitteerd is via een vergiftigde afhankelijkheid kan geen data benaderen waarvoor hij nooit geautoriseerd was, kan niet exfiltreren buiten zijn doelgebonden scope en kan niet opereren zonder een bewijsspoor achter te laten.

De Kiteworks Secure MCP Server en AI Data Gateway implementeren dit patroon: elk agentverzoek wordt geauthenticeerd, geautoriseerd op basis van ABAC-beleid, versleuteld met FIPS 140-3 en in realtime gelogd naar SIEM. Het Kiteworks Private Data Network breidt die governance uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s — één policy engine, één geconsolideerde auditlog. 33% van de organisaties mist audittrails van bewijskwaliteit en 61% draait gefragmenteerde data exchange-infrastructuur. Wanneer de volgende vergiftigde-pakketcampagne jouw agenten treft, zullen toezichthouders niet vragen “hoe is het pakket binnengekomen” maar “wat deed de agent toen hij gecompromitteerd was, en kun je dat bewijzen?”

Wat securityleiders dit kwartaal moeten doen

Ten eerste, inventariseer elke AI-agent die code of data aanraakt. Je kunt niet sturen op wat je niet hebt geregistreerd. 100% van de organisaties heeft agentic AI op de roadmap — het inventarisatieprobleem wordt alleen maar groter.

Ten tweede, behandel agent-runtimes als bevoorrechte infrastructuur. Dezelfde toegangscontroles, allowlisting en monitoring die gelden voor admin-accounts, moeten ook gelden voor AI-agenten. Beperk welke agenten welke tools mogen draaien. Handhaaf allowlists voor afhankelijkheden. Eis verificatie van code-signing op pakketten die een agent installeert.

Ten derde, implementeer governance op datalaag-niveau, onafhankelijk van het model. Welk model je agenten ook gebruiken, de data die ze benaderen moet door ABAC-handhaving, FIPS 140-3 encryptie en audit logging gaan. 63% van de organisaties kan geen doellimieten afdwingen op AI-agenten — sluit dat gat voordat de volgende supply-chaincampagne het test.

Ten vierde, bouw een kill switch en test deze. 60% van de organisaties kan een afwijkende agent niet snel uitschakelen. Bouw deze mogelijkheid, documenteer het, test het in tabletop-simulaties en wijs duidelijk eigenaarschap toe voor het activeren ervan. Het is een voorwaarde voor elk systeem dat met gereguleerde data werkt.

Ten vijfde, voer red-teaming uit op je AI-agenten zoals je dat op je netwerk doet. De Agents of Chaos-onderzoekers documenteerden minstens 10 significante beveiligingsincidenten in 11 casestudy’s, alleen via conversatie, zonder geavanceerde tooling. Voer adversariële oefeningen uit op je eigen agenten. Vind de zwakke plekken voordat iemand anders dat doet.

Meer weten over het beschermen van gevoelige data tegen AI-gedreven aanvallen? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Als je AI-codeeragenten zelfstandig afhankelijkheden ophalen van npm, PyPI of Cargo, ben je direct kwetsbaar. De campagne richt zich specifiek op agenten omdat ze pakketten installeren zonder menselijke controle. 60% van de organisaties kan een afwijkende AI-agent niet snel uitschakelen volgens de Kiteworks 2026 Forecast — wat betekent dat containment het eerste faalpunt is als een vergiftigde afhankelijkheid wordt geactiveerd. Handhaaf direct allowlists voor afhankelijkheden en toegangscontroles op de datalaag.

Modelniveau-rails werken boven de toolexecutielaag waar deze aanval plaatsvindt. Het kwaadaardige pakket draait in de runtime van de agent zonder een prompt via het model te sturen. Governance op datalaag-niveau — ABAC-handhaving, FIPS 140-3 encryptie, manipulatiebestendige audittrails — blijft werken bij een toollaag-compromittering omdat het onder het model zit. 33% van de organisaties mist audittrails van bewijskwaliteit, het fundamentele gat dat deze aanvalsklasse uitbuit.

Examinatoren willen geauthenticeerde agentidentiteit, ABAC-beleidsafdwinging, FIPS 140-3 encryptie en manipulatiebestendige auditlogs van elke agent-data-interactie. 33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast. Zonder uniforme logs over elk kanaal dat een agent aanraakt, zijn negatieve onderzoeksresultaten vrijwel onvermijdelijk.

MFT is hier het meest kwetsbare kanaal. 27% van de organisaties plant AI-gedreven MFT-automatisering, maar slechts 46% heeft voldoende MFT-beveiliging volgens de Kiteworks 2026 Forecast. Dicht eerst het MFT-governancegat — doelgebonden agenttoegang, ABAC-handhaving en manipulatiebestendige logs — voordat je agenten verder uitbreidt naar het leveranciersdatavlak.

Ja. CMMC AC-, AU- en IR-families dekken AI-agentactiviteiten door uitbreiding. 63% van de organisaties kan geen doellimieten afdwingen op AI-agenten volgens de Kiteworks 2026 Forecast. Een compromis waarbij CUI wordt geëxfiltreerd via een onvoldoende gereguleerde agent is een False Claims Act-risico als AI-agentgovernance wel gecertificeerd maar niet afgedwongen was. Implementeer governance op datalaag-niveau met ABAC en manipulatiebestendige audittrails vóór de assessment.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks