Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Het 2,5x-probleem: Waarom AI Pen Tests het gesprek over gegevensbeveiliging opnieuw hebben vormgegeven
Het 2,5x-probleem: Waarom AI Pen Tests het gesprek over gegevensbeveiliging opnieuw hebben vormgegeven

Het 2,5x-probleem: Waarom AI Pen Tests het gesprek over gegevensbeveiliging opnieuw hebben vormgegeven

by Patrick Spencer updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Wanneer uw applicatiebeveiliging-penetratietest een percentage van 13% ernstige kwetsbaarheden oplevert, beschouwt u het als een doorsnee dinsdag. Bij 32% stopt u de inzet. Uit het Cobalt 2026 State of Pentesting-rapport blijkt dat AI- en LLM-systemen gemiddeld op 32% uitkomen—bijna 2,5x zoveel ernstige kwetsbaarheden als traditionele bedrijfsapplicaties. Cobalt wijst de oorzaak direct aan: prompt injection heeft alle andere categorieën ingehaald en staat nu bovenaan in de OWASP LLM Top 10.

Nieuwe aanvalsvlakken—modeltooling, plugin-orkestrators, retrieval-pijplijnen, connectorrechten—creëren een impact die traditionele app-sec tools niet meten. En eigenaarschap van herstel is onduidelijk in de meeste organisaties, omdat AI tegelijkertijd onder security, data en platform engineering valt.

De conclusie die pentesters trekken is degene die de rest van de sector ontwijkt: AI-systemen zijn geen extra applicatielaag. Ze vormen een structureel risicovollere systeemklasse en vereisen hun eigen threat model, hun eigen secure SDLC en hun eigen runtime controls.

5 Belangrijkste Inzichten

1. AI kent 2,5x zoveel ernstige kwetsbaarheden als legacy-apps.

Cobalt’s 2026 State of Pentesting toont aan dat 32% van de AI- en LLM-bevindingen als hoog risico worden beoordeeld, tegenover 13% bij traditionele bedrijfsapplicaties. Dit is geen afstemmingsprobleem—het is een structureel verschil in aanvalsvlak dat vraagt om een apart threat model, een aparte secure SDLC en eigen runtime controls. AI pentesten via bestaande app-sec processen onderschatten het percentage ernstige kwetsbaarheden met een factor twee of meer. AI-governance begint met het expliciet erkennen van deze kloof.

2. Prompt injection is het nieuwe grootste OWASP LLM-risico.

HackerOne zag een stijging van 540% in bug bounty-meldingen over prompt injection, wat aangeeft dat tegenstanders het tempo van AI-inzet hebben bijgehaald. Prompt injection staat nu bovenaan de OWASP LLM Top 10, waarbij nieuwe aanvalsvlakken—modeltooling, plugin-orkestrators, retrieval-pijplijnen, connectorrechten—een impact creëren die traditionele app-sec tools niet meten.

3. Containment is het probleem, niet detectie.

63% van de organisaties kan geen doeleindebeperking afdwingen voor AI-agents, 60% kan een afwijkende agent niet beëindigen, en 55% kan AI-systemen niet isoleren van breder netwerktoegang. De kloof tussen governance en containment bedraagt 15 tot 20 procentpunten—organisaties hebben geïnvesteerd in het monitoren van AI, niet in het stoppen ervan. Zelfs met optimistische prognoses zal ongeveer een kwart eind 2026 nog steeds geen basis containment hebben voor reeds ingezette AI-systemen. Audittrails zonder kill switches zijn bewijs van een datalek, geen preventie ervan.

4. Pen tests vinden wat er te vinden is.

Prompt injection, misbruik van tool-calls en verkeerd gebruik van connectors komen allemaal samen op dezelfde laag: de data layer. De exploit vindt plaats in het model; de schade ontstaat in de data. De vraag die de impact bepaalt is niet “kan het model worden misleid”—de stijging van 540% bij HackerOne bevestigt dat dit gebeurt—maar “welke data raakt het model als het wordt misleid, en wie kan bewijzen wat er is gebeurd?” Controls op applicatieniveau beantwoorden de eerste helft, maar niet de tweede. Controls op datalaag beantwoorden beide.

5. Data-layer governance is de enige architectuur die standhoudt.

ABAC-handhaving, FIPS 140-3 encryptie en manipulatiebestendige auditlogs op de datalaag houden de impact klein, zelfs als de exploit slaagt. Wanneer het model wordt misleid om data op te vragen die het niet mag hebben, weigert de policy engine—en de log registreert de poging. De exploit wordt zo een gelogde weigering in plaats van een incident met regelgeving.

U vertrouwt erop dat uw organisatie veilig is. Maar kunt u het bewijzen?

Lees nu

De Kiteworks Data Laat Zien Waarom de Kloof Bestaat

Het Kiteworks 2026 Forecast Report maakt het verband expliciet. Het pentest-dichtheidsprobleem is het gevolg van een controlprobleem dat in de enquête is gekwantificeerd: organisaties hebben geïnvesteerd in het monitoren van AI, niet in het stoppen ervan. 63% kan geen doeleindebeperking afdwingen voor AI-agents—de agent kan alles doen wat zijn connectors toelaten, ongeacht het beleid. 60% kan een afwijkende agent niet snel beëindigen—er is geen kill switch, alleen een inzet die moet worden teruggedraaid. 55% kan AI-systemen niet isoleren van bredere netwerktoegang—de agent die een vendor-API aanroept, kan ook uw bestandsshares bereiken.

De kloof tussen governance en containment bedraagt 15 tot 20 procentpunten: 59% heeft menselijke controle, 58% heeft continue monitoring, 56% past dataminimalisatie toe. Zelfs met optimistische prognoses voor geplande controls zal ongeveer een kwart van de organisaties eind 2026 nog steeds geen basis containment hebben voor reeds ingezette AI-systemen. Het 2026 Forecast Report noemt dit de centrale spanning van agentische AI-beveiliging—en die lost zichzelf niet op.

Waarom Dit een Data-Layer Probleem Is, Geen App-Sec Probleem

Volg elk Cobalt-aanvalspatroon naar waar de daadwerkelijke schade ontstaat. Prompt injection: het model volgt een instructie die het niet had mogen volgen en produceert output die het niet had mogen produceren. Tool-call misbruik: het model roept een functie aan met argumenten die het niet had mogen gebruiken. Connector-misbruik: het model krijgt toegang tot een systeem dat het niet had mogen benaderen.

In alle gevallen vindt de exploit plaats in het model. De schade ontstaat in de data. Dat betekent dat de vraag die de impact bepaalt niet is “kan het model worden misleid”—dat kan, en de stijging van 540% bij HackerOne bewijst dat—maar “welke data raakt het model als het wordt misleid, en wie kan bewijzen wat er is gebeurd?” Controls op applicatieniveau beantwoorden de eerste helft. Controls op datalaag beantwoorden beide en leveren het bewijs dat toezichthouders eisen.

Wat Data-Layer Governance In De Praktijk Betekent

Drie controls doen het meeste werk, elk verschuift waar het model de data ontmoet:

Op attributen gebaseerde toegangscontrole (ABAC) op elke data-aanvraag. Elke AI-agent-aanvraag wordt getoetst aan ABAC-beleid voordat data wordt benaderd—wie roept aan, welke dataset wordt opgevraagd, wat het doel is en of het beleid die combinatie toestaat. Het model kan worden misleid om te vragen. De policy engine antwoordt nee.

FIPS 140-3 gevalideerde encryptie met klantbeheerde sleutels. Het model ziet nooit ontsleutelde bulkdata tenzij de policy engine toegang heeft goedgekeurd. Klantbeheerde sleutels buiten het bereik van de AI-leverancier betekenen dat zelfs een gecompromitteerde orkestratielaag het onderliggende materiaal niet kan ophalen.

Manipulatiebestendige auditlogs direct naar SIEM. Elke modelinteractie met gereguleerde data levert een onveranderlijk record op—identiteit van de aanroeper, dataset, attribuutevaluatie, beleidsbeslissing, tijdstempel. Wanneer de toezichthouder vraagt wat er tijdens het prompt injection-incident is gebeurd, heeft u het antwoord.

De Kiteworks-aanpak: Governance die standhoudt als prompts dat niet doen

De Kiteworks Secure MCP Server en AI Data Gateway breiden data-layer governance uit naar AI-agentinteracties, zodat elk modelverzoek naar gereguleerde data door dezelfde controls gaat als bij menselijke gebruikers: ABAC op elke call, FIPS 140-3 gevalideerde encryptie met klantbeheerde sleutels, manipulatiebestendige audittrails in real time, en single-tenant isolatie om cross-tenant aanvalspaden uit te sluiten.

Prompt injection blijft voorkomen. De stijging van 540% bij HackerOne zal niet afnemen. Wat verandert is de impact. Wanneer het model wordt misleid om data op te vragen die het niet mag hebben, weigert de policy engine—en de auditlog registreert de poging. De exploit wordt zo een gelogde weigering in plaats van een incident met regelgeving. Het Kiteworks Private Data Network breidt deze architectuur uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één policy engine en één geconsolideerde auditlog.

Wat CISO’s Dit Kwartaal Moeten Doen

Ten eerste, behandel AI-systemen als een afzonderlijk aanvalsvlak in uw threat model. Bouw een aparte AI threat-modeling track met prompt injection, tool-call misbruik en connectorrechten als primaire faalmodi. Uw bestaande app-sec proces zal het percentage ernstige kwetsbaarheden met een factor twee of meer onderschatten.

Ten tweede, audit containment controls vóór governance controls. Governance is de makkelijkere investering—logging vereist geen architectuurwijzigingen. Containment is moeilijker en belangrijker. Als u geen kill switch heeft voor een afwijkende agent, doen de andere controls er niet toe.

Ten derde, verplaats toegangscontrole van de applicatielaag naar de datalaag. ABAC op elk modelverzoek naar gereguleerde data, met FIPS 140-3 gevalideerde encryptie en klantbeheerde sleutels, is de enige architectuur die prompt injection op schaal overleeft. De prognoses in het 2026 Forecast Report—24 tot 36% van de organisaties mist eind van het jaar nog steeds basis kill switches en doeleindebinding—betekenen dat elke organisatie zonder datalaag-handhaving tot de achterblijvers behoort.

Ten vierde, oefen het incidentenplan voor prompt injection. Wat doet uw SOC als een AI-agent wordt misleid om data buiten zijn geautoriseerde scope te benaderen? Wie wordt gewaarschuwd? Welke logs worden opgevraagd? Welk bewijspakket gaat naar de toezichthouder? Tabletop-oefeningen zorgen ervoor dat de kloof niet theoretisch blijft tot de toezichthouder het voor u ontdekt.

Meer weten over AI-databeheer? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

Ja. AI/LLM-systemen kennen een percentage van 32% ernstige kwetsbaarheden tegenover 13% bij traditionele apps volgens Cobalt 2026. Containment controls—doeleindebinding, kill switches en netwerkisolatie—zijn de grootste gaten volgens het Kiteworks 2026 Forecast. Bouw een aparte AI threat-modeling track gericht op prompt injection en tool-call misbruik, en combineer dit met ABAC-handhaving op datalaag en manipulatiebestendige audittrails.

Gereguleerde AI-toepassingen vereisen minimaal drie controls: ABAC op elk modelverzoek, FIPS 140-3 gevalideerde encryptie met klantbeheerde sleutels en manipulatiebestendige auditlogs. PCI DSS vereist aantoonbare scheiding van kaarthouderdata van elk model dat deze niet nodig heeft—de policy engine, niet het model, moet die grens afdwingen. HIPAA’s minimum-necessary standaard vereist dezelfde logica op PHI-niveau.

Waarschijnlijk niet op de manier die u bedoelt. 60% van de organisaties kan een afwijkende agent niet snel beëindigen, en het meest voorkomende gat is detectie—u heeft mogelijk al een incident gehad zonder het te weten. De stijging van 540% in prompt injection bug bounty-meldingen suggereert dat tegenstanders zijn bijgehaald. De juiste vraag is niet of u een incident heeft gehad; het is of uw auditlogs het zouden laten zien als dat zo was.

Drie cijfers vormen de basis van het gesprek: dichtheid van ernstige kwetsbaarheden (32% versus 13% volgens Cobalt), containment gap (63% kan geen doeleindebeperking afdwingen, 60% mist kill switches, 55% kan AI niet isoleren van netwerktoegang volgens het Kiteworks 2026 Forecast) en AI-gestuurde aanvallen door tegenstanders (89% jaar-op-jaar stijging volgens CrowdStrike). Samen laten ze het bestuur zien dat AI-risico geen probleem voor 2027 is—het is een complianceprioriteit voor dit kwartaal.

Gedeeltelijk. Commerciële AI-oplossingen bieden enkele governance-principes—toegangscontrole, retentiebeleid, platformniveau auditlogs. Ze bieden echter geen ABAC op de onderliggende bedrijfsdata die het model via connectors opvraagt. Die grens—de data-naar-model interface—moet door uw data-architectuur worden afgedwongen, niet door de AI-leverancier. De Kiteworks AI Data Gateway beheert die laag, ongeacht welk AI-platform wordt gebruikt.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust Strategieën voor Betaalbare AI Privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van kleine bedrijven Russisch Roulette speelt met databeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor uw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of u een AI-beleid heeft. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks