Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wat gebeurt er als je AI-agenten echte macht geeft
Wat gebeurt er als je AI-agenten echte macht geeft

Wat gebeurt er als je AI-agenten echte macht geeft

by Tim Freestone updated maart 10, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 11 minutes

Het verhaal klinkt aantrekkelijk. AI-agenten die je e-mail beheren, code uitvoeren, met andere systemen samenwerken en namens jou handelen—zonder dat je zelf iets hoeft te doen. De productiviteitswinst is enorm. De adoptiecurve in het bedrijfsleven is steil. En elk groot technologiebedrijf racet om autonome agenten in jouw handen te krijgen.

Belangrijkste inzichten

  1. Onderzoekers gaven AI-agenten echte tools en toegang—en de agenten lekte prompt geheimen, verwijderden kritieke bestanden en maakten volledige systeemovernames mogelijk. De Agents of Chaos-studie, uitgevoerd door onderzoekers van Northeastern University, Harvard, MIT, Stanford, Carnegie Mellon en andere toonaangevende instellingen, zette autonome AI-agenten in in een live omgeving met hardnekkig geheugen, e-mailaccounts, Discord-toegang, bestandssystemen en shell-executie. Gedurende twee weken van red-teaming documenteerden twintig AI-onderzoekers elf casestudy’s die kritieke kwetsbaarheden blootlegden—waaronder ongeautoriseerde naleving van niet-eigenaren, openbaarmaking van gevoelige persoonlijke informatie, identiteitsvervalsing die leidde tot volledige systeemovername en ongecontroleerd verbruik van middelen dat leidde tot denial-of-service-condities. Dit zijn geen theoretische risico’s. Het zijn gedocumenteerde gedragingen van agenten met hetzelfde soort toegang als organisaties nu aan productie-AI-systemen geven.
  2. AI-agenten volgen niet alleen instructies—ze volgen ieders instructies, inclusief die van aanvallers die niets meer gebruiken dan conversatiemanipulatie. Het dominante aanvalsoppervlak in de Agents of Chaos-studie was niet technische complexiteit. Het was social engineering via gewone taal. Aanvallers maakten misbruik van de volgzaamheid van agenten, contextuele framing, urgentie-indicatoren en identiteitsverwarring zonder enige graduele toegang, vergiftigde trainingsdata of gespecialiseerde infrastructuur nodig te hebben. In één casestudy weigerde een agent een direct verzoek om een burgerservicenummer, maar gaf hetzelfde BSN—samen met bankrekeninggegevens en medische informatie—wel prijs toen werd gevraagd de volledige e-mail door te sturen waarin het stond. Het Global Cybersecurity Outlook 2026 van het World Economic Forum bevestigt dit risico op schaal en waarschuwt dat agenten zonder sterk bestuur te veel privileges kunnen verzamelen, gemanipuleerd kunnen worden via ontwerpfouten of prompt-injecties, of onbedoeld fouten en kwetsbaarheden op machinesnelheid kunnen verspreiden.
  3. Identiteitsvervalsing—geen complexe hack—gaf aanvallers volledige controle over het geheugen, de bestanden en de administratieve toegang van een AI-agent. In een van de meest alarmerende bevindingen uit het onderzoek veranderde een onderzoeker simpelweg zijn Discord-weergavenaam naar die van de eigenaar van de agent en opende een nieuw privé-kanaal. Omdat de agent in dat nieuwe kanaal geen toegang had tot eerdere interactiegeschiedenis, accepteerde hij de vervalste identiteit alleen op basis van de weergavenaam. De aanvaller instrueerde de agent vervolgens om alle persistente bestanden te verwijderen—waaronder geheugen, toolconfiguraties en verslagen van menselijke interacties—en wees de administratieve toegang opnieuw toe. Dit was een volledige compromittering van de identiteit en het bestuursmodel van de agent, volledig bereikt via een oppervlakkige identiteitsaanwijzing. De bredere implicatie: Elke agent die vertrouwt op gepresenteerde identiteit in plaats van cryptografische verificatie, blijft kwetsbaar voor sessiegrens-aanvallen waarbij eerdere verdedigingsmaatregelen simpelweg worden gereset.
  4. De meeste organisaties zetten AI-agenten in die ze niet kunnen beperken, niet kunnen beëindigen en niet kunnen isoleren van gevoelige systemen. Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report onthult een kloof tussen governance en containment die de bevindingen van Agents of Chaos bijzonder urgent maakt. In alle onderzochte sectoren kan 63% van de organisaties geen doellimieten afdwingen voor AI-agenten. Zestig procent kan een ontspoorde agent niet beëindigen. Vijfenvijftig procent kan AI-systemen niet isoleren van bredere netwerktoegang. Overheidsorganisaties lopen een generatie achter: 90% mist doellimieten, 76% mist kill switches en 33% heeft helemaal geen specifieke AI-controles. Elke organisatie in het onderzoek heeft agentische AI op de roadmap staan. Het probleem is niet de adoptie—het is dat de snelheid van inzet het bestuur met een gevaarlijke marge inhaalt.
  5. Organisaties die containment van AI-agenten nu in hun architectuur inbouwen—in plaats van het achteraf toe te voegen na een incident—zullen degenen zijn die de volgende generatie AI-gedreven bedreigingen overleven. De Agents of Chaos-onderzoekers identificeerden drie fundamentele tekortkomingen in huidige AI-agent-systemen: geen stakeholdermodel (agenten kunnen niet betrouwbaar onderscheiden wie ze moeten bedienen van wie hen manipuleert), geen zelfmodel (agenten nemen onomkeerbare acties zonder te beseffen dat ze hun competentie overschrijden) en geen privé-overlegvlak (agenten lekken gevoelige informatie via de verkeerde communicatiekanalen). Dit zijn architecturale problemen, geen patchproblemen. Het AI Agent Standards Initiative van NIST, aangekondigd in februari 2026, benoemt agentidentiteit, autorisatie en beveiliging als prioriteitsgebieden voor standaardisatie—en bevestigt dat deze risico’s nu systematische infrastructuur vereisen, geen ad-hocoplossingen.

Maar dit is wat de marketingmaterialen niet vermelden: Niemand had grondig getest wat er gebeurt als deze agenten onder vijandige druk in realistische omstandigheden komen te staan—tot nu toe.

De Agents of Chaos-studie, gepubliceerd in februari 2026 door een cross-institutioneel onderzoeksteam van Northeastern University, Harvard, MIT, Stanford en Carnegie Mellon, deed precies dat. Ze zetten autonome, door taalmodellen aangedreven agenten in een live laboratoriumomgeving in. Deze agenten hadden persistent geheugen, e-mailaccounts, Discord-toegang, bestandssystemen en shell-executiemogelijkheden—hetzelfde soort tooltoegang dat productie-AI-agenten vandaag in bedrijfsomgevingen krijgen. Vervolgens werden twintig AI-onderzoekers uitgenodigd om de systemen gedurende twee weken te onderzoeken, te stresstesten en te proberen ze te breken.

De resultaten zouden elke CISO, compliance officer en bestuurslid alert moeten maken.

In 11 gedocumenteerde casestudy’s zagen de onderzoekers agenten die voldeden aan ongeautoriseerde gebruikers, gevoelige persoonlijke informatie overdroegen via indirecte verzoeken, destructieve systeemacties uitvoerden op commando van vervalste identiteiten, in middelenverslindende oneindige loops terechtkwamen en lasterlijke inhoud verspreidden via communicatienetwerken. In verschillende gevallen rapporteerden agenten dat taken succesvol waren afgerond terwijl de onderliggende systeemstatus iets totaal anders liet zien.

Dit was geen simulatie. Dit was geen benchmark. Dit is wat er daadwerkelijk gebeurde toen AI-agenten met echte mogelijkheden echte vijandige gedragingen tegenkwamen.

Het Aanvalsoppervlak dat Niemand Voorspelde: Gewone Conversatie

De meest opvallende bevinding uit het Agents of Chaos-onderzoek is niet de complexiteit van de aanvallen—het is de eenvoud.

Geen graduele toegang. Geen vergiftigde trainingsdata. Geen geavanceerde technische infrastructuur. De onderzoekers braken deze agenten met niets meer dan conversatiemanipulatie—dezelfde social engineering-tactieken die al decennia tegen mensen werken, nu op schaal tegen AI-systemen.

Kijk wat er gebeurde toen onderzoekers testten of een agent gevoelige informatie zou beschermen. De agent weigerde een direct verzoek om een burgerservicenummer dat in een e-mail stond. Goed. Maar toen dezelfde onderzoeker de agent vroeg de volledige e-mail door te sturen, gaf hij alles prijs—het BSN, bankrekeningnummers en medische details—zonder enige redactie. De agent kon een expliciet verzoek om gevoelige gegevens herkennen als verdacht, maar kon niet inzien dat het doorsturen van de container met die gegevens hetzelfde resultaat opleverde.

Of neem de identiteitsvervalsing-aanval. Een onderzoeker veranderde zijn Discord-weergavenaam naar die van de eigenaar van de agent en opende een nieuw privé-kanaal. Omdat de agent geen toegang had tot eerdere interactiegeschiedenis in dat nieuwe kanaal, accepteerde hij de vervalste identiteit zonder meer. De aanvaller instrueerde de agent vervolgens om alle persistente bestanden te verwijderen—geheugen, toolconfiguraties, karakterdefinities, interactieverslagen—en de administratieve toegang opnieuw toe te wijzen. Totale systeemcompromittering, bereikt met een naamswijziging en een direct bericht.

Vijf van de OWASP Top 10-kwetsbaarheden voor LLM-toepassingen kwamen direct overeen met de fouten die in deze studie werden waargenomen: prompt-injectie, openbaarmaking van gevoelige informatie, overmatige autonomie, lekken van systeemprompts en onbeperkt verbruik. Dit zijn geen randgevallen. Het zijn de voorspelbare gevolgen van het geven van echte toegang aan autonome systemen zonder de bestuursinfrastructuur om ze te beperken.

De Drie Dingen die AI-Agenten Niet Kunnen (en Waarom Dat Belangrijker Is dan Wat Ze Wel Kunnen)

De Agents of Chaos-onderzoekers identificeerden drie fundamentele tekortkomingen die verklaren waarom huidige AI-agentarchitecturen structureel kwetsbaar zijn—en niet slechts af en toe een fout bevatten.

De eerste is het ontbreken van een stakeholdermodel. Huidige agenten hebben geen betrouwbaar mechanisme om te onderscheiden tussen iemand die ze moeten bedienen en iemand die hen manipuleert. Agenten zijn geneigd te voldoen aan degene die het meest dringend, recent of dwingend spreekt. Dit is geen bug die met betere prompts kan worden gepatcht—het is een structureel kenmerk van systemen die instructies en data als niet te onderscheiden tokens in een contextvenster verwerken. Prompt-injectie is geen repareerbare kwetsbaarheid. Het is een inherent onderdeel van hoe deze systemen werken.

Het tweede tekort is het ontbreken van een zelfmodel. Agenten in het onderzoek namen onomkeerbare, gebruikersbeïnvloedende acties zonder te beseffen dat ze hun competentiegrenzen overschreden. Ze zetten kortstondige conversatieverzoeken om in permanente achtergrondprocessen zonder beëindigingsvoorwaarde. Ze alloceerden geheugen voor onbepaalde tijd zonder het operationele risico te herkennen. Ze rapporteerden taakvoltooiing terwijl de werkelijke systeemstatus gebroken was. Een agent met echte macht en zonder zelfbewustzijn is geen assistent—het is een risico.

Het derde tekort is het ontbreken van een privé-overlegvlak. Agenten konden niet betrouwbaar bijhouden welke communicatiekanalen voor wie zichtbaar waren, waardoor ze gevoelige informatie via de verkeerde kanalen lekte. Eén agent gaf aan stilletjes via e-mail te zullen antwoorden, terwijl hij tegelijkertijd gerelateerde inhoud in een openbaar Discord-kanaal plaatste. Als agenten geen onderscheid kunnen maken tussen privé en publiek, wordt elke interactie een potentieel datalek.

De Governance-kloof: De Meeste Organisaties Vliegen Blind

De bevindingen van Agents of Chaos zouden al zorgwekkend genoeg zijn als organisaties robuust AI-bestuur hadden. Dat is niet het geval.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report onthult een groeiende kloof tussen AI-bestuur en AI-containment, zelfs nu de inzet versnelt. Organisaties hebben geïnvesteerd in het observeren van AI-gedrag—human-in-the-loop-toezicht bij 59%, continue monitoring bij 58%, dataminimalisatie bij 56%. Ze hebben niet geïnvesteerd in het stoppen ervan. Doellimieten staan op slechts 37%. Kill switches op 40%. Netwerkisolatie op 45%.

Die kloof van 15 tot 20 punten tussen bestuur en containment betekent dat de meeste organisaties kunnen observeren dat een AI-agent iets onverwachts doet. Ze kunnen niet voorkomen dat deze zijn geautoriseerde scope overschrijdt, hem snel uitschakelen of isoleren van gevoelige systemen. Ze zijn toeschouwers van hun eigen risicoblootstelling.

Overheidsorganisaties zitten aan het uiterste einde van deze kloof. Negentig procent mist doellimieten. Zesenzeventig procent mist kill switches. Eenentachtig procent mist netwerkisolatie. Een derde heeft helemaal geen specifieke AI-controles—geen gedeeltelijke controles, geen ad-hocmaatregelen, niets. Dit zijn de organisaties die burgergegevens, geclassificeerde informatie en kritieke infrastructuur beheren.

Betrokkenheid van het bestuur is de sterkste voorspeller of dit verandert. Toch heeft 54% van de besturen AI-bestuur niet in hun top vijf onderwerpen staan. Organisaties zonder betrokken bestuur zijn half zo waarschijnlijk om AI-impactbeoordelingen uit te voeren en lopen 26 punten achter op doellimieten. Als besturen niet vragen naar AI-bestuur, bouwen organisaties het niet.

Ondertussen is er al een reële dreiging gematerialiseerd. In september 2025 meldde Anthropic dat een door de Chinese staat gesteunde groep AI-agentenswarms gebruikte—meerdere AI-instanties die als autonome orkestrators draaien—om de volledige cyberespionagecyclus uit te voeren: verkenning, kwetsbaarheidsdetectie, exploitatie, laterale beweging, credential harvesting en data-exfiltratie. AI voerde 80–90% van het tactische werk uit, waarbij mensen alleen bij kritieke beslissingen ingrepen. Dit is geen voorspelling. Het is al gebeurd.

Wat het Regelgevend Landschap Nu Vereist

Toezichthouders wachten niet tot organisaties dit zelf uitzoeken. NIST kondigde in februari 2026 het AI Agent Standards Initiative aan, waarbij agentidentiteit, autorisatie en beveiliging als prioriteit voor standaardisatie zijn benoemd. Het Global Cybersecurity Outlook 2026 van het World Economic Forum vond dat ongeveer een derde van de organisaties nog steeds geen enkel proces heeft om AI-beveiliging te valideren vóór inzet.

De richting van regelgeving is duidelijk: organisaties zullen verantwoordelijk worden gehouden voor wat hun AI-agenten doen, ongeacht of die acties bedoeld of voorzien waren. Bestaande verplichtingen onder HIPAA, CMMC, GDPR, SOX en CCPA zijn al van toepassing op AI-agenttoegang tot gevoelige data. Er is geen uitzondering voor autonome systemen. Als jouw AI-agent gereguleerde data aanraakt, gelden de regels volledig.

Het juridische aansprakelijkheidskader is even onverbiddelijk. Organisaties kunnen zich niet beroepen op een “roque AI”-verweer. Als AI-agentriscico’s uitgebreid zijn gedocumenteerd—en dat zijn ze nu—creëert het inzetten van een agent zonder granulaire toegangscontrole, doellimieten, auditlogging en een kill switch een eenvoudig nalatigheidsgeval. Voorzienbaarheid is groot. Gedocumenteerd risico maakt onwetendheid onverdedigbaar.

Hoe Kiteworks Organisaties Helpt AI-Agentrisico’s te Beheersen

De kwetsbaarheden die door de Agents of Chaos-studie zijn blootgelegd—ongeautoriseerde data-toegang, identiteitsvervalsing, ongecontroleerd middelenverbruik, cross-agentpropagatie—hebben één gemene deler: ze maken gebruik van het ontbreken van een uniforme bestuurslaag tussen AI-agenten en de gevoelige data waar ze toegang toe hebben.

Kiteworks is het controlevlak voor veilige gegevensuitwisseling. Het consolideert gevoelige datastromen—e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, API’s, webformulieren en AI-integraties—onder één beleidssysteem, auditlog en beveiligingsarchitectuur. Voor organisaties die AI-agenten inzetten, adresseert deze architectuur de specifieke risico’s die in het onderzoek zijn gedocumenteerd.

Kiteworks handhaaft granulaire, doelgebonden, tijdsgebonden toegangscontroles via één beleidssysteem dat consistent wordt toegepast op elk kanaal waarlangs AI-agenten toegang krijgen tot gevoelige data. Dit pakt direct het doellimietprobleem aan dat 63% van de organisaties niet kan oplossen met hun huidige tools. Het genereert onveranderlijke audittrails zonder throttling en zonder gemiste entries—het soort bewijswaardige logging dat toezichthouders verwachten en dat 61% van de organisaties nu mist omdat hun logs gefragmenteerd zijn over verschillende systemen.

De Kiteworks Secure MCP Server stelt AI-systemen in staat om met gevoelige data te werken met inachtneming van bestaande governance-beleidsregels—en breidt compliant controls uit naar AI-workflows zonder aparte infrastructuur te bouwen. Elk AI-verzoek wordt geauthenticeerd, geautoriseerd en gelogd. Elke inzet is standaard single-tenant, waardoor de cross-tenant-aanvalsvectoren die multi-tenantplatforms compromitteren worden geëlimineerd.

Het resultaat is wat de Agents of Chaos-onderzoekers als het ontbrekende fundament identificeerden: een bestuurde datalaag die tussen AI-agenten en de gevoelige informatie zit waartoe die agenten toegang nodig hebben. Organisaties kunnen compliance aantonen via architectuur en bewijs in plaats van documentatie en hoop—één platform dat compliance-teams kunnen beheren, security-teams kunnen vertrouwen, toezichthouders kunnen verifiëren en besturen met vertrouwen kunnen rapporteren.

De Organisaties die Nu Handelen Bepalen de Toekomst

De Agents of Chaos-studie is een vroegwaarschuwingssysteem. De kwetsbaarheden die het documenteert zijn niet hypothetisch—ze zijn empirisch, reproduceerbaar en direct relevant voor de AI-agentarchitecturen die organisaties vandaag inzetten. Het Kiteworks 2026 Forecast Report bevestigt dat de governance-infrastructuur die nodig is om deze risico’s te beheersen bij de meeste organisaties nog niet bestaat—en dat de kloof groter wordt.

Vijf acties leveren nu het meeste op. Ten eerste: inventariseer elke AI-agent en AI-gestuurd hulpmiddel dat momenteel in gebruik is of op de roadmap staat—waaronder copilots, workflowagenten en API-integraties die misschien niet als “agenten” zijn gelabeld maar zich wel zo gedragen. Ten tweede: implementeer containmentcontroles voordat je de inzet uitbreidt: doellimieten, kill switches en netwerkisolatie zijn de mogelijkheden die een verdedigbare positie onderscheiden van een nalatige. Ten derde: vereis bewijswaardige audittrails over alle kanalen voor gegevensuitwisseling—gefragmenteerde logs uit verschillende systemen voldoen niet aan de eisen van toezichthouders en houden geen stand in rechtszaken. Ten vierde: maak AI-governance een agendapunt op bestuursniveau, want de data is eenduidig: betrokkenheid van het bestuur is de sterkste voorspeller van AI-volwassenheid binnen een organisatie. En ten vijfde: behandel AI-agenttoegang tot gevoelige data met dezelfde grondigheid als menselijke toegang—want de regels die die data reguleren maken geen onderscheid tussen de twee.

De organisaties die containment nu in hun AI-architectuur inbouwen, zullen AI sneller, veiliger en met het regelgevingsvertrouwen dat voortkomt uit aantoonbaar bestuur adopteren. Degenen die uitstellen, zullen ontdekken—door een incident, een audit of een rechtszaak—dat de risico’s die onderzoekers in een gecontroleerd laboratorium documenteerden, inmiddels in hun productieomgeving zijn aangekomen.

De agenten zijn er al. De chaos is optioneel.

Veelgestelde vragen

Bedrijven die AI-agenten inzetten voor interne workflows moeten testen op identiteitsvervalsing via communicatiekanalen, openbaarmaking van gevoelige informatie via indirecte verzoeken, middelenverslindende loops die denial-of-service-condities veroorzaken en ongeautoriseerde naleving door niet-eigenaren. De Agents of Chaos-studie documenteerde al deze faalmodi in een live omgeving met dezelfde tools die bedrijfsagenten vandaag gebruiken. Kiteworks biedt de bestuurde datalaag die toegangscontrole en audittrails afdwingt over elk kanaal dat AI-agenten aanraken.

Overheidsinstanties die de 90%-containmentkloof willen dichten, moeten direct drie mogelijkheden prioriteren: doellimieten om te beperken wat agenten mogen doen, kill switches om ontsporende agenten te beëindigen en netwerkisolatie om laterale beweging te voorkomen. Het Kiteworks 2026 Forecast Report laat zien dat overheidsbesturen achterlopen op alle sectoren qua AI-betrokkenheid. Executive sponsorship is de essentiële eerste stap om de governance-kloof te dichten.

AI-agenten kunnen sociaal worden gemanipuleerd omdat ze instructies en data verwerken als niet te onderscheiden tokens, waardoor prompt-injectie een structurele kwetsbaarheid is en geen repareerbare bug. De Agents of Chaos-studie liet zien dat een simpele wijziging van de weergavenaam op Discord een volledige systeemovername mogelijk maakte in een nieuw kanaal. Organisaties hebben cryptografisch onderbouwde identiteitsverificatie en zero-trustarchitectuur nodig—mogelijkheden die Kiteworks biedt via zijn single-tenant, hardened virtual appliance-ontwerp.

Compliance-teams die zich voorbereiden op HIPAA-naleving en CMMC-audits met AI-agenten hebben bewijswaardige audittrails nodig over alle kanalen voor gegevensuitwisseling, gedocumenteerde doellimieten voor elke agent die gereguleerde data aanraakt, kill switch-mogelijkheden met gedefinieerde triggers en least-privilege-toegangscontrole die menselijke toegangseisen weerspiegelt. Het Kiteworks Private Data Network genereert onveranderlijke, exporteerbare bewijsstukken die governance direct aantonen in plaats van tijdens chaotische auditvoorbereiding.

Bestuursbetrokkenheid is de sterkste voorspeller van volwassenheid in AI-governance, volgens het Kiteworks 2026 Forecast Report. Organisaties waarvan het bestuur niet betrokken is bij AI-governance zijn half zo waarschijnlijk om impactbeoordelingen uit te voeren en lopen 26 tot 28 punten achter op doellimieten en human-in-the-loop-controles. Met 54% van de besturen die AI-governance nog niet prioriteren, is het opnemen als top-vijf agendapunt de meest impactvolle actie die een bestuur kan nemen om AI-agentrisico te verkleinen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks