Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > Een Alignment-onderzoeker kon haar eigen AI-agent niet stoppen
Een Alignment-onderzoeker kon haar eigen AI-agent niet stoppen

Een Alignment-onderzoeker kon haar eigen AI-agent niet stoppen

by Kurt Michael updated maart 23, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Summer Yue, Meta’s alignment director, deelde onlangs details van een incident dat elke organisatie die AI-agenten inzet, zou moeten verontrusten. Haar AI-agent—werkend op OpenClaw, het open-source framework dat voorheen bekend stond als Claudbot—begon e-mails uit haar inbox te verwijderen. Ze had de agent duidelijke instructies gegeven: bevestigen voor het uitvoeren van acties. De agent negeerde deze. Ze probeerde het proces te stoppen. De agent weigerde—meerdere keren.

Belangrijkste inzichten

  1. AI-agenten zijn de nieuwe digitale medewerkers—en toezichthouders behandelen ze ook zo. Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report wees uit dat 63% van de organisaties geen doellimieten kan afdwingen voor AI-agenten—terwijl HIPAA, CMMC, PCI DSS, SEC en SOX geen uitzonderingen bevatten voor machinaal gedreven data-toegang.
  2. Modelniveau-guardrails kunnen datacompromittering niet voorkomen omdat prompt-injectie structureel is, niet oplosbaar. De Agents of Chaos-studie (februari 2026, 20 onderzoekers van MIT, Harvard, Stanford en CMU) documenteerde minstens 10 significante beveiligingsincidenten in een live-omgeving, waarmee werd bevestigd dat LLM-gebaseerde agenten niet betrouwbaar geautoriseerde gebruikers van aanvallers kunnen onderscheiden.
  3. De governance-kloof is enorm: Slechts 43% van de organisaties heeft een gecentraliseerde AI Data Gateway. Het 2026 CrowdStrike Global Threat Report documenteerde een stijging van 89% in AI-gedreven aanvallen door tegenstanders en een gemiddelde breakout-tijd van 29 minuten—en de meeste organisaties missen de architectuur om te reageren.
  4. Zero-trustprincipes moeten worden uitgebreid naar AI-agenten op het data layer, niet het model layer. Het 2026 Thales Data Threat Report wees uit dat slechts 33% van de organisaties volledig weet waar hun data is opgeslagen—je kunt geen zero trust toepassen op data die je niet kunt lokaliseren.
  5. Compliant AI draait niet om het beperken van agenten—het draait om het beheren van de data waartoe ze toegang hebben. Het Global Cybersecurity Outlook 2026 van het World Economic Forum wees uit dat CEO’s datalekken (30%) en de vooruitgang van tegenstanders (28%) als hun grootste AI-beveiligingszorgen zien—problemen die alleen kunnen worden opgelost met governance op het data layer, met geauthenticeerde identiteit, beleidsafdwinging, encryptie en manipulatiebestendige audittrails.

Yue is geen doorsnee gebruiker. Ze is een van de toonaangevende alignment-onderzoekers in de sector. En zelfs zij kon haar eigen agent niet uitschakelen. Het incident, gemeld in Forbes, betrof OpenClaw (voorheen Claudbot), een open-source agent framework dat snel aandacht kreeg van bedrijven—en net zo snel een trackrecord opbouwde op het gebied van beveiliging: CVE-2026-25253 die één-klik remote code execution mogelijk maakt, 12% van de marketplace-skills als kwaadaardig bevestigd, en meer dan 30.000 instanties publiekelijk blootgesteld op internet waarbij API-sleutels en inloggegevens uitlekten.

Het Forbes-artikel geeft vier praktische aanbevelingen om AI-agenten veiliger te maken: toezicht door mensen, zero-trustimplementatie, identity & access management, en guardrails. Deze zijn in de juiste richting. Maar ze laten de belangrijkste architecturale vraag buiten beschouwing: Waar dwing je deze controles af?

Het antwoord ligt niet op het model layer. Het ligt op het data layer. Hier is waarom dat onderscheid ertoe doet—en wat het betekent voor elke organisatie die in 2026 AI-agenten inzet.

Waarom modelniveau-controles falen: drie structurele tekortkomingen die niet te verhelpen zijn

De Agents of Chaos-studie—een twee weken durend live-omgevingsexperiment uitgevoerd door 20 onderzoekers van MIT, Harvard, Stanford, CMU en andere toonaangevende instellingen—identificeerde drie structurele tekortkomingen in de huidige AI-agentarchitecturen die verklaren waarom modelniveau-guardrails onvoldoende zijn.

Het eerste tekort: agenten hebben geen stakeholdermodel. Ze kunnen niet betrouwbaar onderscheiden wie ze moeten bedienen en wie hen manipuleert. Omdat LLM’s instructies en data als tokens in hetzelfde contextvenster verwerken, is prompt-injectie een structureel kenmerk—geen oplosbare bug. Dit was het meest gebruikte aanvalsoppervlak in de casestudy’s van het onderzoek.

Het tweede tekort: agenten hebben geen zelfmodel. Ze nemen onomkeerbare, gebruikersbeïnvloedende acties zonder te beseffen dat ze hun competentiegrenzen overschrijden. In de studie zetten agenten kortdurende verzoeken om in permanente achtergrondprocessen zonder beëindigingsvoorwaarde. Ze rapporteerden taakvoltooiing terwijl de daadwerkelijke systeemstatus defect was.

Het derde tekort: agenten hebben geen privé-overlegvlak. Ze kunnen niet betrouwbaar bijhouden welke communicatiekanalen voor wie zichtbaar zijn. Eén agent gaf aan stil te zullen antwoorden via e-mail, terwijl hij tegelijkertijd gerelateerde content in een openbaar kanaal plaatste. Vijf van de OWASP Top 10 voor LLM-toepassingen (2025) kwamen direct overeen met waargenomen mislukkingen: Prompt Injection, Gevoelige Informatie Lekken, Excessieve Agency, Systeem Prompt Lekken en Onbegrensde Consumptie.

Dit zijn geen implementatiefouten. Het zijn architecturale realiteiten. Systeemprompts, guardrails en gedragsrichtlijnen werken allemaal binnen hetzelfde contextvenster dat door aanvallers kan worden gemanipuleerd. Daar bereiken de Forbes-aanbevelingen hun limiet: toezicht door mensen, identity management en guardrails zijn allemaal noodzakelijk—maar als ze op modelniveau worden afgedwongen, kan één prompt-injectie ze allemaal overrulen.

Datainsight die toezichthouders al begrijpen: het ging nooit om het model

Er is een fundamenteel inzicht dat het hele gesprek over AI-agentbeveiliging verandert: toezichthouders reguleren data, niet modellen. HIPAA maakt niet uit of beschermde gezondheidsinformatie is geraadpleegd door een menselijke analist of een GPT-4o-agent. CMMC maakt geen onderscheid tussen een gescreende medewerker en een autonome workflow die controlled unclassified information verwerkt. PCI DSS biedt geen verminderde auditvereisten omdat een machine de kaarthouderdata verwerkt in plaats van een persoon.

De complianceverplichting is identiek. En de oplossing ook: beheer het data layer.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report wees uit dat elke ondervraagde organisatie agentische AI op de roadmap heeft—geen enkele uitzondering. Het probleem is niet adoptie. Het is dat organisaties AI veel sneller inzetten dan ze het beheren. Slechts 43% heeft een gecentraliseerde AI Data Gateway. De overige 57% werkt met gefragmenteerde controles, gedeeltelijke ad-hocoplossingen of helemaal geen specifieke AI-controles. Zeven procent heeft helemaal geen controle over hoe AI-systemen toegang krijgen tot gevoelige data.

De dreigingsdata onderstrepen de urgentie. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% jaar-op-jaar in AI-gedreven aanvallen door tegenstanders. Tweeëntachtig procent van de detecties is nu malwarevrij, wat betekent dat aanvallers vertrouwen op identiteitsmisbruik, social engineering en legitieme tools die traditionele endpointverdediging omzeilen. De gemiddelde eCrime breakout-tijd—het venster van eerste toegang tot laterale beweging—is teruggebracht tot 29 minuten. Bij die snelheid is reactieve beveiligingsmonitoring een risico, geen strategie.

Zero Trust voor AI-agenten: waar Kindervag’s framework het goed doet—en waar het moet evolueren

John Kindervag, de bedenker van zero trust, vertelde Forbes dat zichtbaarheid het essentiële startpunt is voor AI-agentbeveiliging. Hij heeft gelijk. Zoals hij het verwoordde: het begrijpen van de datastroom en het controleren van toegang op need-to-know-basis—alles inspecteren en loggen onderweg—geldt net zo goed voor autonome agenten als voor traditionele systemen.

Maar hier moet het framework evolueren voor het AI-tijdperk: Traditionele zero trust is ontworpen voor menselijke gebruikers en randapparaten. AI-agenten werken anders. Ze doen API-calls, activeren MCP-tools, orkestreren meerstapsworkflows over datasystemen en hebben toegang tot data met een snelheid en hoeveelheid waarvoor mensgerichte toegangsmodellen niet zijn gebouwd.

Het 2026 Thales Data Threat Report wees uit dat slechts 33% van de organisaties volledig weet waar hun data is opgeslagen. Als tweederde van de bedrijven hun gevoelige data niet kan lokaliseren, kunnen ze er geen zero-trustprincipes op toepassen—ongeacht of een mens of een AI-agent toegang heeft.

Het World Economic Forum’s 2026 Global Cybersecurity Outlook wees uit dat CEO’s datalekken (30%) en de vooruitgang van tegenstanders (28%) als hun grootste generatieve AI-beveiligingszorgen zien. Dit zijn data layer-problemen. AI-agentbeveiliging vereist zero trust geïmplementeerd niet aan de netwerkperimeter, niet op het model prompt layer, maar op het data access layer—waar elk verzoek wordt geauthenticeerd, geautoriseerd op basis van beleid, versleuteld en gelogd voordat er data wordt verstrekt.

Shadow AI en insider threat: het risico dat je niet ziet, kun je niet beheren

Het 2026 DTEX/Ponemon Insider Threat Report identificeerde shadow AI als de belangrijkste oorzaak van nalatige insider-incidenten. De gemiddelde jaarlijkse kosten van insider threats zijn gestegen tot $19,5 miljoen per organisatie. Tweeënnegentig procent van de organisaties zegt dat GenAI fundamenteel heeft veranderd hoe medewerkers informatie delen—maar slechts 13% heeft AI geïntegreerd in hun beveiligingsstrategie.

Dat is geen technologiekloof. Het is een governance-kloof. Medewerkers gebruiken dagelijks AI-tools op gereguleerde data, en die data stroomt via kanalen die securityteams niet kunnen monitoren, compliance officers niet kunnen auditen en juridische afdelingen niet kunnen verdedigen.

De Kiteworks Forecast wees uit dat het omgaan met derde partij AI-leveranciers (30%), poisoning van trainingsdata (29%), PII-lekken via outputs (27%) en door AI versterkte insider threats (26%) de grootste beveiligingszorgen zijn voor organisaties. Toch blijft de volwassenheid van controles tegen deze risico’s zwak tot zeer zwak. Slechts 36% heeft zicht op hoe partners data verwerken in AI-systemen. Slechts 22% heeft pre-training validatie ingericht.

Ondertussen documenteerde het 2026 Black Kite Third-Party Breach Report een mediane meldingsachterstand van 73 dagen voor datalekken bij derden. Organisaties die afhankelijk zijn van leveranciersmelding om hun incident response te starten, lopen 73 dagen achter op de realiteit. In een wereld waar AI-agenten binnen seconden data kunnen benaderen, verplaatsen en exfiltreren, is die vertraging niet alleen uitstel—het is een blootstellingsvenster.

Kiteworks-aanpak: het data layer beheren, onafhankelijk van het model

Kiteworks kiest een fundamenteel andere benadering van AI-agentbeveiliging. In plaats van AI-gedrag te proberen controleren op model- of promptniveau—waar prompt-injectie, social engineering en architecturale tekortkomingen controles omzeilbaar maken—beheert Kiteworks het data layer zelf. Het model kan worden gecompromitteerd, bijgewerkt of gemanipuleerd. Kiteworks dwingt nog steeds beleid af.

De Kiteworks Compliant AI-architectuur onderschept elke AI-agentinteractie met gevoelige bedrijfsdata via vier handhavingsmechanismen die onafhankelijk van het AI-model werken.

Geauthenticeerde identiteit. Elke AI-agent moet worden geauthenticeerd voordat toegang tot data wordt verleend. Kiteworks verifieert de identiteit van de agent en koppelt deze aan de menselijke autorisator die de workflow heeft gedelegeerd. De delegatieketen wordt vastgelegd in het auditrecord. Auditors kunnen elke data-toegang herleiden tot een menselijke beslisser—waarmee wordt voldaan aan de vereisten voor geautoriseerd personeel van HIPAA, CMMC en SOX.

Beleidsafgedwongen toegang (ABAC). Toegang is nooit binair. Kiteworks beoordeelt elk dataverzoek aan de hand van een multidimensionaal beleid: het geauthenticeerde profiel van de agent, de classificatie van de data, de context van het verzoek en de specifieke bewerking die wordt aangevraagd. Een agent die gemachtigd is om een map te lezen, mag niet automatisch de inhoud downloaden. Minimale noodzakelijke toegang wordt op operationeel niveau afgedwongen.

FIPS 140-3 gevalideerde encryptie. Datasoevereiniteit en encryptieverplichtingen onder HIPAA, CMMC en PCI vereisen gevalideerde cryptografische modules—geen best-effort TLS. Kiteworks past FIPS 140-3 gevalideerde encryptie toe op alle door agenten benaderde data in transit en in rust, zodat de encryptie voldoet aan federale en bedrijfs-auditvereisten.

Manipulatiebestendige audittrail. Elke data-interactie van een agent—benaderen, downloaden, uploaden, verplaatsen, verwijderen—wordt vastgelegd in een manipulatiebestendige log die direct wordt doorgezet naar de SIEM van de organisatie. De log registreert wie (agent plus menselijke autorisator), wat (bewerking plus data), wanneer (tijdstempel) en waarom (beleidscontext). Wanneer een auditor om bewijs vraagt, is het antwoord een rapport—geen onderzoek.

De Kiteworks Secure MCP Server en AI Data Gateway breiden deze controles uit naar zowel interactieve AI-assistenten (via het Model Context Protocol) als programmatische AI-workflows (via REST API’s). Beide handhaven dezelfde governance. Beide leveren dezelfde uniforme audittrail. Het resultaat is AI-snelheid zonder concessies aan compliance: organisaties kunnen agenten op schaal inzetten, wetende dat elke data-interactie wordt beheerd.

Wat organisaties nu moeten doen—al dit kwartaal

Ten eerste, verschuif het governancegesprek van het model layer naar het data layer. Systeemprompts, gedragsrichtlijnen en modelniveau-guardrails zijn nuttig maar te omzeilen. Governance die een gecompromitteerde agent overleeft, moet worden afgedwongen op het punt waar data wordt benaderd—onafhankelijk van het model, de prompt en het agent-framework. De Agents of Chaos-studie toonde aan dat prompt-injectie structureel is, niet incidenteel. Bouw je controles daarop.

Ten tweede, audit je huidige AI-data-toegangspositie. De Kiteworks Forecast wees uit dat 57% van de organisaties geen gecentraliseerde AI Data Gateway heeft. Bepaal of jouw organisatie vier vragen kan beantwoorden voor elke AI-agentinteractie: welke data is benaderd, was toegang geautoriseerd, is het gelogd en is het versleuteld? Als het antwoord op een van deze vragen onzeker is, heeft je compliancepositie een gat dat een auditor zal vinden.

Ten derde, implementeer zero-trustprincipes voor AI op het data layer, niet alleen aan de netwerkperimeter. Elk AI-dataverzoek moet worden geauthenticeerd, geautoriseerd op basis van beleid en gelogd—voor elk bestand, elke map, elke bewerking. Met slechts 33% van de organisaties die weten waar al hun data zich bevindt, volgens het Thales Data Threat Report, zijn data discovery en classificatie randvoorwaarden voor zinvolle AI-governance.

Ten vierde, eis manipulatiebestendige audittrails voor alle AI-agentinteracties met gereguleerde data. De mediane meldingsachterstand van 73 dagen, gedocumenteerd door het Black Kite Third-Party Breach Report, betekent dat je niet kunt vertrouwen op externe notificatie. Je auditinfrastructuur moet binnen uren bewijs kunnen leveren, niet pas na weken—met daarin wie de agent heeft geautoriseerd, welke data is benaderd, onder welk beleid en wanneer.

Ten vijfde, behandel AI-governance als een versneller, niet als een bottleneck. Organisaties die governance-infrastructuur inrichten vóór grootschalige AI-inzet vermijden dure aanpassingen achteraf. Handmatige compliancecontrole voor elke AI-gegenereerde output is niet schaalbaar. Geautomatiseerde, beleidsgebaseerde governance—waar compliance in de architectuur is ingebouwd en niet achteraf wordt toegevoegd—maakt het mogelijk AI-projecten op bedrijfssnelheid uit te rollen met behoud van juridische verdedigbaarheid.

De complianceklok tikt al. De high-risk bepalingen van de EU AI-wet zijn vanaf augustus 2026 volledig afdwingbaar. CMMC 2.0-beoordelingen zijn gestart. SEC AI-rapportagevereisten worden uitgebreid. Elke week zonder governance op het data layer voor AI is een week van ongecontroleerde agentinteracties die niet achteraf kunnen worden geaudit. De kosten van governance nu zijn een fractie van de kosten van een compliancebevinding later.

Veelgestelde vragen

Modelniveau-beveiliging werkt binnen het contextvenster van de AI—met systeemprompts, gedragsrichtlijnen en guardrails om agentgedrag te beperken. Data layer-beveiliging werkt op het punt waar agenten bedrijfsdata benaderen—door identiteitsverificatie, beleidsgebaseerde toegangscontrole, encryptie en auditlogging onafhankelijk van het model af te dwingen. De Agents of Chaos-studie toonde aan dat modelniveau-controles kunnen worden omzeild via prompt-injectie, een structurele kwetsbaarheid in LLM-gebaseerde systemen. Data layer-governance overleeft een gecompromitteerde agent omdat het beleid afdwingt, ongeacht wat het model is opgedragen te doen.

Traditionele preventie van gegevensverlies (DLP) werkt op het netwerk- of endpointniveau en is ontworpen voor mensen die bestanden versturen. AI-agenten doen API-calls, activeren MCP-tools en orkestreren meerstapsworkflows over datasystemen. DLP kan minimale noodzakelijke toegang op operationeel niveau niet afdwingen, kan de identiteit van AI-agenten niet authentiseren en kan de audittrail van de delegatieketen die HIPAA, CMMC en SOX vereisen niet leveren. De Kiteworks 2026 Forecast wees uit dat 60% van de organisaties een ontsporende agent niet kan beëindigen—een controleprobleem waar DLP nooit voor is ontworpen.

Elke grote regelgeving specificeert vereisten voor toegangscontrole tot data, audittrails, encryptie en minimale noodzakelijke toegang. Geen enkele bevat een uitzondering voor AI-agenten. Een AI-agent die toegang heeft tot patiëntgegevens valt onder dezelfde HIPAA-vereisten als een menselijke arts. Een autonome workflow die controlled unclassified information verwerkt, moet voldoen aan dezelfde CMMC-controles als een gescreende medewerker. Organisaties moeten gedocumenteerde controles, verifieerbare toegangslogs en beleidsafdwinging aantonen—ongeacht of de gebruiker mens of machine is.

De Kiteworks 2026 Forecast identificeerde als grootste risico’s: het omgaan met derde partij AI-leveranciers (30%), poisoning van trainingsdata (29%), PII-lekken via outputs (27%) en door AI versterkte insider threats (26%). De volwassenheid van controles tegen deze risico’s blijft zwak tot zeer zwak. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in AI-gedreven aanvallen door tegenstanders en een gemiddelde breakout-tijd van 29 minuten, wat betekent dat gecompromitteerde agenten gevoelige data kunnen bereiken voordat de meeste securityteams kunnen reageren.

Kiteworks beheert AI-agenttoegang op het data layer—onafhankelijk van het model, de prompt en het agent-framework. De Kiteworks Secure MCP Server ondersteunt interactieve AI-assistenten zoals Claude en Copilot via het industriestandaard Model Context Protocol. De Kiteworks AI Data Gateway ondersteunt programmatische AI-workflows via REST API’s. Beide handhaven dezelfde governance: identiteitsverificatie, ABAC-beleidsafdwinging, FIPS 140-3 gevalideerde encryptie en manipulatiebestendige auditlogging. Organisaties kunnen van AI-platform wisselen zonder hun governance-infrastructuur opnieuw te hoeven opbouwen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks