Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wanneer AI-agenten standaard onveilig worden geleverd: De les van PraisonAI die elke CISO moet lezen
Wanneer AI-agenten standaard onveilig worden geleverd: De les van PraisonAI die elke CISO moet lezen

Wanneer AI-agenten standaard onveilig worden geleverd: De les van PraisonAI die elke CISO moet lezen

by Patrick Spencer updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Op 11 mei 2026 om 13:56 UTC publiceerde GitHub het advies GHSA-6rmh-7xcm-cpxj voor CVE-2026-44338, een authentication-bypass-kwetsbaarheid in PraisonAI. Om 17:40 UTC — drie uur, 44 minuten en 39 seconden later — begon een scanner die zichzelf identificeerde als “CVE-Detector/1.0” het exacte kwetsbare endpoint op internettoegankelijke instanties te onderzoeken. Het Threat Research Team van Sysdig documenteerde de timing in detail: ongeveer 70 verzoeken in 50 seconden, twee rondes met acht minuten ertussen, waarbij de tweede specifiek AI-agent-interfaces selecteerde.

De kwetsbaarheid zelf is eenvoudig. PraisonAI — een open-source multi-agent orchestration framework met ongeveer 7.100 GitHub-sterren — leverde versies 2.5.6 tot en met 4.6.33 met een verouderde Flask API-server waarbij authenticatie standaard was uitgeschakeld. De check_auth()-helper retourneerde True wanneer authenticatie was uitgeschakeld. Beide beschermde routes — GET /agents en POST /chat — stonden standaard open. Iedereen die de API bereikte, kon het agent-definitiebestand lezen, geconfigureerde agents ophalen en de agents.yaml-workflow activeren. Het ingediende bericht werd genegeerd. De workflow werd simpelweg uitgevoerd.

5 Belangrijke Inzichten

1. Drie uur, 44 minuten van advies tot exploitatiepoging.

Internetscanners bereikten het kwetsbare PraisonAI-endpoint binnen 3u44m na openbare bekendmaking. Het venster tussen bekendmaking en weaponization is verdwenen. Breder onderzoek van Sysdig bevestigt dat dit geen op zichzelf staand incident is — de tijd tussen advies en exploitatie wordt korter in alle CVE-categorieën. De traditionele aanname dat verdedigers dagen hebben om ernstige kwetsbaarheden te patchen, geldt niet meer. Incident response-plannen die zijn gebaseerd op patchsnelheid, werken nu al met de verkeerde tijdslijn.

2. Authenticatie was standaard uitgeschakeld in productiecode.

De verouderde Flask API-server had hard-coded AUTH_ENABLED = False en AUTH_TOKEN = None. Iedereen die de API bereikte, kon agent-workflows activeren zonder token. De bypass liet geen ontbrekend-authenticatiesignaal achter in de logs — de server was ontworpen om standaard open te staan. Dit is een CWE-306 op frameworkniveau. Het volgende framework zal met een ander anti-patroon komen. Het patroon is het probleem, niet de specifieke CVE.

3. De impact is alles wat de agent kan bereiken.

Wanneer een agent toegang heeft tot gereguleerde data, wordt het ontbreken van authenticatie op zijn API-server een directe route naar die data. PraisonAI-agents konden configuratiebestanden lezen, agentlijsten ophalen en geconfigureerde workflows activeren — zonder enige autorisatiecontrole. De CVSS-score onderschat het operationele risico omdat het maximale effect wordt bepaald door de autorisatie van de agent, niet door de applicatierechten. Data Layer Security zijn de enige controles die overblijven als de agentlaag faalt.

4. Containment controls zijn de ontbrekende laag.

63% van de organisaties kan geen doeleindebeperkingen afdwingen op AI-agents, 60% kan een ontsporende agent niet snel beëindigen en 55% kan AI niet isoleren van bredere netwerktoegang volgens de Kiteworks 2026 Forecast. Dit zijn precies de gaten die PraisonAI in realtime blootlegde. Organisaties hebben geïnvesteerd in het monitoren van AI-activiteiten, maar niet in het stoppen ervan. Het verschil tussen governance en containment loopt 15 tot 20 punten — en PraisonAI is het praktijkvoorbeeld van wat dat verschil onder aanvallersdruk kan dichten.

5. Governance op de datalaag is framework-onafhankelijk.

Het volgende AI-framework zal met een nieuw anti-patroon komen. Het architecturale antwoord is governance op de datalaag — geauthenticeerd, beleidsgedreven, fraudebestendig gelogd — onafhankelijk van het agent-framework, het model en de prompt. Wanneer de agent gereguleerde data benadert, stelt de datalaag de vragen die de API-server van de agent niet stelde. Die controle overleeft de volgende CVE.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Waarom ‘Insecure by Default’ de echte kwetsbaarheidsklasse is

De CVE zelf is een CWE-306 — Ontbrekende authenticatie voor kritieke functie — met een CVSS-score van 7,3. Ernstig, maar niet uniek. Wat PraisonAI bijzonder maakt, is het diepere patroon: het framework werd verspreid met een ontwikkel-grade API-server die standaard op host: 0.0.0.0 draaide, een voorbeeld deployment YAML die diezelfde configuratie overnam, en zonder operatorwaarschuwing.

Black Duck AI-onderzoeker Vineeta Sangaraju verwoordde het scherp in haar SecurityWeek-commentaar: “AI-ondersteunde tools stellen aanvallers in staat om van een adviespublicatie naar een werkende exploit te gaan in tijdsbestekken die voorheen simpelweg niet bestonden.” Dit is een structurele verandering in het dreigingsmodel — geen specifiek incident. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in AI-gedreven aanvallersactiviteiten op jaarbasis, waarbij 82% van de detecties malwarevrij was. Agent-infrastructuur die standaard open staat, is precies het soort “legitiem hulpmiddel” dat in dit patroon past — geen payload om op te scannen, slechts een verzoek naar een workflow-endpoint dat wordt uitgevoerd.

Het AI-agent-dreigingsmodel dat de meeste organisaties nog niet hebben gebouwd

Een autonome agent is niet zomaar code. Het is code met autorisatie om te handelen — bestanden lezen, API’s aanroepen, modellen activeren, data verplaatsen. Wanneer de API-server die de agent aanstuurt standaard open staat, is elk onderliggend systeem dat de agent kan bereiken plotseling toegankelijk voor iedereen op het internet.

Sysdig merkte in hun analyse van de exploitatie-tijdlijn op dat “monitoring op netwerkniveau dit type verkeer goed detecteert omdat de bypass geen ontbrekend-authenticatiesignaal achterlaat in de logs.” SIEM-regels op applicatieniveau geven een false-negative omdat de applicatielogica niet de bron van waarheid is voor autorisatie. Detectie moet plaatsvinden op het netwerk — waar de CVE-Detector/1.0 user-agent en GET /agents-probe zichtbaar zijn — en op de datalaag, waar een onverwachte agentidentiteit die gereguleerde content aanraakt, wordt gesignaleerd.

Het containment-gat dat de meeste organisaties niet hebben gedicht

De Kiteworks 2026 Forecast Report toont aan dat 63% van de organisaties geen doeleindebeperkingen kan afdwingen op AI-agents, 60% een ontsporende agent niet snel kan beëindigen en 55% AI-systemen niet kan isoleren van bredere netwerktoegang. Dit zijn de containment controls — het vermogen om AI te stoppen als er iets misgaat — en ze lopen 15 tot 20 procentpunten achter op monitoring controls. De meeste organisaties kunnen observeren dat een agent iets onverwachts doet. Ze kunnen niet voorkomen dat de agent zijn autorisaties overschrijdt, hem snel beëindigen of hem isoleren van gevoelige systemen.

PraisonAI is het praktijkvoorbeeld van wat er gebeurt als deze gaten samenkomen met een echte exploit. De agent voert uit wat de operator in agents.yaml heeft geconfigureerd — en als die workflow toegang heeft tot gevoelige data, is de niet-geauthenticeerde API-server een publiek endpoint voor die data. Voeg het 3u44m-exploitatievenster toe en de rekensom is duidelijk: doelbinding, kill switches en netwerkisolatie zijn geen roadmap-items. Het zijn vereisten vóór inzet.

Het architecturale antwoord: governance op de datalaag

De les van PraisonAI is niet dat AI-agent-frameworks betere standaardinstellingen nodig hebben — hoewel dat wel zo is. De les is dat verdedigingen die zijn gericht op de agentlaag of applicatielaag steeds zullen falen, omdat het volgende framework met een ander anti-patroon komt en de reactietijd van aanvallers blijft afnemen. Het architecturale antwoord is governance op de datalaag.

Wanneer een agent — gecompromitteerd, verkeerd geconfigureerd of met te veel rechten — gereguleerde data benadert, is het de datalaag die moet authenticeren, beleid evalueren en de operatie loggen. De Kiteworks Secure MCP Server en AI Data Gateway implementeren dit patroon: elke agentaanvraag wordt geauthenticeerd via OAuth 2.0, elke operatie wordt in realtime geëvalueerd tegen ABAC- en RBAC-beleid, elke interactie genereert een fraudebestendige audit log-entry. FIPS 140-3 gevalideerde encryptie beschermt data in rust en onderweg. De agent erft de rechten van de geautoriseerde gebruiker en kan deze niet overschrijden.

Wanneer een aanvaller een PraisonAI-achtig endpoint bereikt en een workflow triggert die gevoelige bestanden probeert te lezen, stelt de datalaag de vragen: Is deze agent geauthenticeerd? Is deze gebruiker geautoriseerd voor deze data? Valt deze operatie binnen het beleid? Is dit toegangsprofiel afwijkend? Als het antwoord op een van deze vragen nee is, faalt de workflow. De CVE wordt een beheersbaar incident, geen datalek. Het Kiteworks Private Data Network breidt deze architectuur uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s — één beleid-engine, één audit log, framework-onafhankelijke governance.

Wat CISO’s en securityteams nu moeten doen

Ten eerste inventariseer je blootgestelde AI-agent-infrastructuur. Ontdek elk agent-framework — LangChain, AutoGen, CrewAI, PraisonAI, maatwerk — documenteer waar elk framework is ingezet, tot welke data het toegang heeft en of het API-oppervlak buiten loopback toegankelijk is. Je hebt waarschijnlijk meer frameworks dan je denkt.

Ten tweede behandel elke AI-dienst die vanaf het netwerk bereikbaar is als een productieasset. AI-diensten hebben authenticatie, netwerksegmentatie en monitoring nodig op productie-niveau. 55% van de organisaties kan AI niet isoleren van bredere netwerktoegang — dat signaal laat zien dat dit niet op schaal gebeurt.

Ten derde controleer niet alleen configuraties, maar vooral standaardinstellingen. De kwetsbaarheid van PraisonAI zat in de standaard. Lees de standaardinstellingen van elk AI-hulpmiddel in je tech stack. Ontdek wat het framework doet als de operator niets instelt.

Ten vierde sluit het containment-gat. 63% mist doelbinding en 60% mist een kill switch. Voor beide bestaan pipelines — breng ze in productie voordat de volgende framework-CVE je kwetsbaarheden test.

Ten vijfde verplaats detectie naar de datalaag. Logging op applicatieniveau miste de PraisonAI-probes. Bouw telemetrie waar de controles zitten — op de datalaag, waar ongeautoriseerde agenttoegang tot gereguleerde content detecteerbaar is, ongeacht hoe de agent op frameworkniveau is geauthenticeerd.

Ten zesde bereid je voor op het vier-uur-patchvenster. Bouw de operationele capaciteit om binnen enkele uren te detecteren en te reageren op een ernstige kwetsbaarheid in je stack. De traditionele aanname van een lang patchtraject is niet langer veilig.

Wil je meer weten over AI data governance en het beschermen van de gevoelige data van je organisatie? Plan vandaag nog een persoonlijke demo.

Veelgestelde vragen

Ja. “Intern gebruik” betekent vaak “bereikbaar vanaf elk gecompromitteerd gebruikers-endpoint” — functioneel gelijk aan internettoegankelijk wanneer een aanvaller eenmaal binnen is. 55% van de organisaties kan AI niet isoleren van bredere netwerktoegang volgens de Kiteworks 2026 Forecast. Alleen intern inzetten is geen vervanging voor authenticatie, netwerksegmentatie en toegangscontroles op de datalaag.

De bypass laat geen ontbrekend-authenticatiesignaal achter in de logs omdat de server standaard open staat als AUTH_ENABLED op False staat. Detectie vereist het netwerk (voor het probe-patroon) en de datalaag (voor ongeautoriseerde agenttoegang). 61% van de organisaties heeft gefragmenteerde audit logs over systemen volgens de Kiteworks 2026 Forecast — waardoor de cross-layer correlatie die nodig is om dit soort incidenten te herkennen, ontbreekt.

Een agent met ongeauthenticeerde toegang tot gereguleerde data veroorzaakt een aantoonbare afwijking van de vereisten van SOX Section 404 en GLBA Safeguards Rule. Beide frameworks vereisen aantoonbare toegangscontroles en audittrails. 33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast — zonder geauthenticeerde, gelogde agenttoegang beschouwt je auditor de agent-infrastructuur als een niet-gedocumenteerde controlefout.

Ja, direct, en controleer je model-provider facturatie vanaf 11 mei 2026. Ontwikkelomgevingen bevatten vaak echte datakopieën, delen netwerksegmenten met productie of vertrouwen op elders hergebruikte credentials. 63% van de organisaties kan geen doeleindebeperkingen afdwingen op AI-agents — ontwikkelomgevingen als buiten scope beschouwen voor AI-agent-governance is precies hoe dat gat doorsijpelt naar productie.

Het dreigingsmodel zal niet stabiliseren — nieuwe frameworks blijven nieuwe anti-patronen introduceren en het venster tussen bekendmaking en exploitatie blijft krimpen. 100% van de organisaties heeft AI op de roadmap volgens de Kiteworks 2026 Forecast; uitstel van uitrol betekent achterlopen op zowel AI-maturiteit als de AI-governance die nodig is om AI veilig te gebruiken. Zet in op een governed datalaag die de impact van elke framework-CVE beperkt.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor je data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks