Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI Agent Security: Het dodelijke trio uitgelegd
AI Agent Security: Het dodelijke trio uitgelegd

AI Agent Security: Het dodelijke trio uitgelegd

by Patrick Spencer updated juni 1, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Begin 2026 ontdekten beveiligingsonderzoekers meer dan 900 AI agent gateways die zonder authenticatie op het publieke internet stonden—API-sleutels, OAuth-tokens en volledige gespreksgeschiedenissen opgeslagen in platte tekstbestanden, toegankelijk voor iedereen die het endpoint vond. De organisaties waren niet nalatig geweest. Ze hadden standaard inzetworkflows gevolgd. Het probleem was structureel: er ontbrak een governance-laag onder de agent.

Deze incidenten werden casuïstiek in een peer-reviewed artikel, gepubliceerd op 29 april 2026 in Academia AI and Applications. Het artikel—Towards Trustworthy Agentic AI (Qi et al.)—is geschreven door onderzoekers van The Chinese University of Hong Kong, Fudan University en de Shanghai Academy of AI for Science. Zesendertig pagina’s, geen leveranciersbinding, peer-reviewed. Een grondige analyse van hoe AI agents falen in productie en wat hen tegenhoudt.

Het artikel brengt risico’s in kaart over een vijf-fasen agent lifecycle—Perceive, Plan, Act, Reflect en Learn—en documenteert specifieke faalmodi met aangetoonde aanvalssuccessen tegen ingezette systemen. Het mitigatiekader is niet wensdromerig. Het beschrijft de controles die bestaande regelgevingskaders nu al vereisen en die de meeste enterprise AI-inzettingen niet bieden.

5 Belangrijkste Bevindingen

1. De meeste enterprise AI agents zijn structureel exploiteerbaar door hun ontwerp.

Onderzoekers van drie topinstellingen publiceerden in 2026 een peer-reviewed onderzoeksresultaat waaruit blijkt dat elke agent die tegelijkertijd toegang heeft tot privégegevens, onbetrouwbare externe content verwerkt en extern communiceert, kwetsbaar is voor indirecte prompt-injectie—een structureel probleem, geen configuratiefout. De combinatie die agents nuttig maakt, is precies wat ze exploiteerbaar maakt. AI governance die stopt bij systeem prompts biedt geen oplossing voor deze klasse aanvallen.

2. Model-laagverdedigingen kunnen data-laagaanvallen niet stoppen.

Systeem prompts en AI safety training werken boven de datalaag en kunnen niet voorkomen dat een agent geïnjecteerde instructies uitvoert die in opgehaalde content zijn ingebed. De EchoLeak-kwetsbaarheid (CVE-2025-32711) in Microsoft 365 Copilot toonde dit aan op enterprise schaal—speciaal samengestelde e-mails veroorzaakten data-exposure zonder enige gebruikersinteractie. Handhaving moet plaatsvinden op het moment van data-toegang, onafhankelijk van het model.

3. De governance-kloof is groot en gedocumenteerd.

Slechts 43% van de organisaties heeft vandaag een gecentraliseerde AI Data Gateway. De overige 57% is gefragmenteerd, gedeeltelijk of opereert zonder betekenisvolle AI governance—7% heeft helemaal geen toegewijde AI-toegangscontrole. Organisaties zonder audittrails van bewijskwaliteit tonen 20- tot 32-punten volwassenheidsverschillen op elk AI governance-aspect volgens de Kiteworks 2026 Forecast.

4. Bestaande regelgeving geldt nu al onverkort voor AI agents.

HIPAA, CMMC, PCI DSS en SOX bevatten geen AI-uitzonderingen. Dezelfde toegangscontrole-, encryptie– en audittrailverplichtingen die menselijke data-toegang reguleren, gelden identiek voor AI agent data-toegang—nu, zonder te wachten op AI-specifieke updates in regelgeving. De meeste organisaties kunnen momenteel geen compliance aantonen voor agent-interacties.

5. De OpenClaw- en Moltbook-incidenten bewezen dit op schaal.

900+ blootgestelde agent gateways met credentials in platte tekst en zonder authenticatie. Een bijkomend datalek legde 32.000+ geregistreerde agent API-sleutels bloot via een verkeerd geconfigureerde database. Kwaadaardige plugins in reguliere agent-marktplaatsen bleken credentials extern te exfiltreren. Dit zijn geen hypothetische scenario’s—het zijn gedocumenteerde productiefouten uit 2026 die de peer-reviewed onderzoeksresultaten als casuïstiek aanhalen.

Je vertrouwt erop dat jouw organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Het Dodelijke Drievoud—Waarom De Meeste Inzettingen Nu Al Gecompromitteerd Zijn

Het operationeel belangrijkste concept uit het artikel is het “dodelijke drievoud”: elke AI agent die gelijktijdig (1) toegang heeft tot privégegevens, (2) onbetrouwbare externe content verwerkt en (3) extern kan communiceren, is structureel exploiteerbaar. Wanneer deze drie voorwaarden samenkomen—en dat is vrijwel altijd het geval in productie, omdat die combinatie agents juist nuttig maakt—kan een aanvaller die invloed heeft op wat de agent ophaalt, bepalen wat de agent doet.

Deze aanvalsklasse heet indirecte prompt-injectie. De aanvaller hoeft alleen kwaadaardige instructies te plaatsen in content die de agent zal ophalen—een webpagina, een e-mail, een document, een database-record. De agent verwerkt de content, komt de ingebedde instructies tegen en voert ze uit met de legitieme rechten die hij al heeft. Het praktijkvoorbeeld dat het artikel aanhaalt is EchoLeak (CVE-2025-32711) in Microsoft 365 Copilot—speciaal samengestelde e-mails veroorzaakten data-exposure op enterprise schaal, zonder gebruikersactie.

Het artikel is expliciet over waarom model-laagverdedigingen deze kloof niet kunnen dichten. Grote taalmodellen kunnen legitieme instructies niet betrouwbaar onderscheiden van geïnjecteerde instructies in data—het model ziet tokens in context en kan de herkomst niet verifiëren. Handhaving moet plaatsvinden op de datalaag, onafhankelijk van het gedrag van het model, op het moment dat de agent toegang aanvraagt. Een toezichthouder die bewijs van toegangscontrole vraagt, neemt geen genoegen met een systeem prompt als antwoord.

Hoe De Aanval Zich Ontvouwt In Elke Fase Van De Agent Lifecycle

De lifecycle-analyse van het artikel is ondubbelzinnig: in de OpenClaw-incidenten faalde niet één fase—alle fasen faalden tegelijkertijd. In de Perceive-fase kwamen niet-geauthenticeerde input en prompt-injecties binnen zonder validatie. In de Plan-fase wijzigden geïnjecteerde instructies het plan van de agent zodat exfiltratiestappen werden toegevoegd, zonder dat een constraint checker de afwijking signaleerde. In de Act-fase maakte onbeperkte tooltoegang het mogelijk dat door de aanvaller aangestuurde commando’s werden uitgevoerd zonder enforcement van least-privilege.

In de Reflect-fase werd geen anomaliedetectie ingezet die ongebruikelijke toegangs- of transmissiepatronen van credentials signaleerde. In de Learn-fase verspreidden kwaadaardige skills zich via het installatieproces zonder herkomstcontrole of regressietests. De onderzoekers noemen dit een “systemische” mislukking—elke laag ontbeerde controle specifiek voor de AI agent-context.

De toeleveringsketen-dimensie is bijzonder scherp. Een empirisch onderzoek in het artikel analyseerde 31.132 agent skills en vond dat 26,1% ten minste één beveiligingsprobleem bevatte—variërend van data-exfiltratie (13,3%), privilege-escalatie (11,8%) tot prompt-injectie, verspreid over skills in reguliere agent-marktplaatsen die ontwikkelaars installeerden omdat ze nuttig leken. Het Moltbook-datalek toonde dit direct aan: kwaadaardige plugins lazen privéconfiguratiebestanden en verzonden API-sleutels naar externe servers.

De Compliance-kloof Die AI Agent Inzet Nu Al Creëert

De compliance-implicaties zijn niet toekomstig. HIPAA vereist toegangscontrole op beschermde gezondheidsinformatie—geen AI-uitzondering. CMMC vereist gedocumenteerde, geautoriseerde toegang tot CUI, ongeacht het systeemtype. PCI DSS beperkt toegang tot kaarthoudergegevens, ongeacht de workflow. SOX ITGC vereist gedocumenteerde controle over toegang tot financiële rapportagesystemen. De compliance-verplichting die geldt voor menselijke gebruikers, geldt identiek voor AI agent-toegang—nu.

Waar een compliance-auditor om vraagt, is bewijs: toegangslogs die tonen welke agent welke data heeft benaderd, onder welk beleid, gekoppeld aan welke menselijke autorisator, op welk tijdstip. Model safety training levert dit niet. De Kiteworks 2026 Forecast vond dat 33% van de organisaties dit bewijs momenteel niet kan leveren voor enige data-interactie, laat staan AI-specifieke. Organisaties zonder audittrails tonen 20- tot 32-punten volwassenheidsverschillen op elk AI governance-aspect—geen klein verschil. Het vertegenwoordigt categorisch verschillende paraatheidsniveaus. De kloof is het grootst waar de belangen het hoogst zijn: 90% van de overheidsorganisaties mist een gecentraliseerde AI data gateway, 77% van de zorgorganisaties mist er een, 60% van de organisaties in de financiële sector mist er een.

Zes Onmisbare Controls Volgens Het Onderzoek

Het artikel noemt zes controls die samen de governance-laag vormen die de beschreven aanvalsklassen voorkomt. Elk sluit direct aan op bestaande wettelijke vereisten.

Authenticatie van agent-identiteit. Elke AI agent moet worden geauthenticeerd voordat deze toegang krijgt tot data, met authenticatie gekoppeld aan een menselijke autorisator. Dit is dezelfde authenticatieverplichting die HIPAA Sectie 164.312 en CMMC AC.1.001 nu al opleggen aan menselijke gebruikers.

Op attributen gebaseerde toegangscontrole op operationeel niveau. Elk data-verzoek moet worden geëvalueerd op basis van een multidimensionaal beleid—het profiel van de agent, de classificatie van de data, de specifieke gevraagde operatie—voordat data wordt verstrekt. Algemene rechten op connectietijd zijn onvoldoende.

FIPS-gevalideerde encryptie. Data in transit en in rust moet worden versleuteld met gevalideerde cryptografische modules. De OpenClaw-incidenten betroffen opslag van credentials in platte tekst. Vereist onder HIPAA Sectie 164.312(a)(2)(iv), CMMC SC.3.177 en PCI DSS Vereiste 4.

Auditlogging met SIEM-integratie die manipulatie aantoont. Elke agent-interactie moet worden vastgelegd in een onveranderlijke log die agent-identiteit, menselijke autorisator, operatie, benaderde data en beleidscontext registreert—en in real time naar security operations wordt gestreamd.

Credential vaulting met tijdelijke tokens. Agents mogen nooit API-sleutels of OAuth-tokens als platte tekst opslaan. Geheimen moeten via beveiligde vault API’s worden opgehaald, beperkt tot individuele taken en continu worden geroteerd.

Zero-trust intake. Alle externe content moet als onbetrouwbaar worden behandeld tot validatie, met strikte scheiding tussen vertrouwde systeem prompts en extern opgehaalde content. Dit is de architecturale control die indirecte prompt-injectie voorkomt, zelfs als het model legitieme en geïnjecteerde instructies niet kan onderscheiden.

Hoe Kiteworks De Governance-kloof Oplost Die Het Onderzoek Identificeert

De zes vereiste controls uit het artikel zijn precies wat Kiteworks Compliant AI biedt—op de datalaag, onafhankelijk van het AI-model of agent-framework. Elk verzoek wordt geauthenticeerd via OAuth 2.0, geautoriseerd op basis van ABAC-beleid in real time geëvalueerd, versleuteld met FIPS 140-3 gevalideerde modules en gelogd in een log die manipulatie aantoont en direct in SIEM-systemen wordt gevoed. Als het model wordt gecompromitteerd, bijgewerkt of gemanipuleerd door prompt-injectie, blijft de data governance-laag het beleid handhaven.

De Kiteworks Secure MCP Server stelt AI-assistenten zoals Claude en Microsoft Copilot in staat om te werken met enterprise data via het Model Context Protocol—waarbij elke operatie wordt gereguleerd door hetzelfde ABAC-beleid en dezelfde audittrail als voor menselijke gebruikers. De AI Data Gateway breidt dezelfde governance uit naar programmatische RAG-pijplijnen en geautomatiseerde workflows. Beide handhaven de vereiste controls uit het artikel. Het Kiteworks Private Data Network breidt deze architectuur uit naar e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s—één policy engine, één geconsolideerde auditlog, compliance-bewijs automatisch gegenereerd voor elke agent-interactie.

Wat Organisaties Moeten Doen Voor De Volgende Agent Live Gaat

Ten eerste, controleer het dodelijke drievoud voor elke ingezette agent. Heeft deze toegang tot privégegevens? Verwerkt deze onbetrouwbare externe content? Kan deze extern communiceren? Indien alle drie—dan is de agent structureel kwetsbaar. 57% van de organisaties mist momenteel het gecentraliseerde inzicht om deze vragen te beantwoorden volgens de Kiteworks 2026 Forecast.

Ten tweede, verifieer dat toegangscontrole op operationeel niveau plaatsvindt. Een agent die toegang heeft tot een map mag niet automatisch gemachtigd zijn om de inhoud te downloaden, e-mail te verzenden of shell-commando’s uit te voeren. 63% van de organisaties kan geen doeleindbeperkingen afdwingen voor AI agents volgens de Kiteworks 2026 Forecast.

Ten derde, inventariseer agent skills en plugins op bekende kwetsbaarheidspatronen. 26,1% van de geanalyseerde agent skills bevatte minstens één beveiligingsprobleem. Evalueer welke skills zijn geïnstalleerd, welke rechten ze vragen, welke netwerkcommunicatie ze initiëren en of ze cryptografisch zijn ondertekend door een verifieerbare uitgever.

Ten vierde, bevestig dat auditlogging AI agent-interacties dekt en output oplevert die manipulatie aantoont. Als de logging niet vastlegt welke agent welke data heeft benaderd, onder welk beleid, gekoppeld aan welke menselijke autorisator, op welk tijdstip—dan voldoet het niet aan een compliance-audit. 33% van de organisaties mist deze mogelijkheid momenteel voor enige data-interactie.

Ten vijfde, stel credential management in specifiek voor AI agents. API-sleutels en OAuth-tokens die door agents worden gebruikt, mogen niet als platte tekst worden opgeslagen, moeten beperkt zijn tot minimaal vereiste rechten en moeten volgens een vast schema automatisch worden geroteerd en ingetrokken.

Het venster om governance-infrastructuur te bouwen voordat regelgeving of handhaving het verplicht maakt, wordt snel kleiner. De agents draaien al. De interacties vinden al plaats. De vraag is of ze plaatsvinden onder een governance-framework dat te verdedigen is.

Wil je meer weten over het beschermen van gevoelige data tegen agentic AI-workflows? Plan vandaag nog een gepersonaliseerde demo.

Veelgestelde Vragen

Systeem prompts zijn instructies aan het model, geen toegangscontrole op data. HIPAA vereist controles die ongeautoriseerde toegang tot PHI voorkomen—een standaard waaraan een systeem prompt niet voldoet, omdat deze kan worden omzeild door indirecte prompt-injectie. 33% van de organisaties mist audittrails die manipulatie aantonen volgens de Kiteworks 2026 Forecast—het bewijs waar HIPAA-auditors daadwerkelijk om vragen.

CMMC AC.1.001 en AC.2.006 vereisen afdwingbare, gedocumenteerde autorisatie voor elk systeem dat CUI benadert—dus ook AI agents. De meeste inzettingen gebruiken service-accounts met brede toegang, geen operationele ABAC-evaluatie. Agent-identiteit moet gekoppeld zijn aan een menselijke autorisator met een bewaarde delegatieketen. CMMC-beoordelaars zullen het audittrail-gat signaleren.

Het dodelijke drievoud beschrijft elke agent die gelijktijdig toegang heeft tot privégegevens, onbetrouwbare externe content verwerkt en extern kan communiceren. Beoordeel elke ingezette agent op alle drie de voorwaarden. Indien alle van toepassing zijn, vereist de agent data-laag governance, ongeacht model safety training—de structurele kwetsbaarheid blijft bestaan, los van de modelconfiguratie.

Traditionele DLP is ontworpen voor mensen die bestanden versturen—het kan geen AI agent-identiteit authenticeren, geen toegangscontrole op operationeel niveau afdwingen, en geen audittrail van de delegatieketen leveren zoals HIPAA en CMMC vereisen. Slechts 43% van de organisaties heeft een gecentraliseerde AI Data Gateway; de overige 57% vertrouwt op controls die niet zijn ontworpen voor agent-gedrag. De AI Data Gateway biedt het handhavingspunt dat DLP niet kan leveren.

Toezichthouders vereisen: geauthenticeerde agent-identiteit gekoppeld aan een menselijke autorisator, toegangslogs op operationeel niveau, bevestiging van FIPS-gevalideerde encryptie en een audittrail die manipulatie aantoont en exporteerbaar is voor review. 33% van de organisaties mist deze logging van bewijskwaliteit zelfs voor niet-AI-interacties volgens de Kiteworks 2026 Forecast. Governance-platforms die ABAC op de datalaag afdwingen, genereren dit bewijs automatisch voor elke agent-interactie.

Aanvullende Bronnen

  • Blog Post
    Zero‑Trust Strategieën voor Betaalbare AI Privacybescherming
  • Blog Post
    Hoe 77% van de Organisaties Faalt op AI Databeveiliging
  • eBook
    AI Governance-kloof: Waarom 91% van de Kleine Bedrijven Russisch Roulette Speelt met Databeveiliging in 2025
  • Blog Post
    Er is Geen “–dangerously-skip-permissions” Voor Jouw Data
  • Blog Post
    Toezichthouders Willen Geen AI-beleid Meer Zien. Ze Willen Bewijs Dat Het Werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks