Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI-aanvallers verdubbelen elke 4,7 maanden: Beheer uw data nu
AI-aanvallers verdubbelen elke 4,7 maanden: Beheer uw data nu

AI-aanvallers verdubbelen elke 4,7 maanden: Beheer uw data nu

by Marc ten Eikelder updated mei 19, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

De Britse overheid heeft zojuist de meest ongemakkelijke benchmark in cyberbeveiliging gepubliceerd. Het AI Security Institute (AISI), een onderzoeksafdeling van het Department for Science, Innovation and Technology, volgt hoe goed frontier AI-modellen end-to-end, meerstaps penetratietests uitvoeren – het soort testen dat een ervaren menselijke red-teamer zou uitvoeren op een bedrijfsnetwerk. In november 2025 verdubbelde de moeilijkheidsgraad van taken die de beste modellen autonoom konden voltooien ongeveer elke acht maanden. In februari 2026 was dat verdubbeltempo ingestort tot 4,7 maanden. De nieuwste evaluaties van Claude Mythos Preview en GPT-5.5 suggereren dat de curve nog verder stijgt, volgens AISI.

Belangrijkste inzichten

  1. Het verdubbeltempo versnelt, stabiliseert niet. De benchmarks van het U.K. AI Security Institute tonen aan dat de moeilijkheidsgraad van cyberopdrachten die AI-modellen aankunnen nu elke 4,7 maanden verdubbelt – tegenover elke acht maanden in november 2025. Het tempo blijft versnellen.
  2. Dit is een meting van autonomie, geen hypeclaim. AISI meet of AI meerstaps-exploits end-to-end kan koppelen met 80% betrouwbaarheid, bij taken die zijn gekalibreerd op menselijke experturen. Dat is een andere en zwaardere norm dan “AI kan een phishingmail schrijven”.
  3. De tijdlijn van de aanvaller verkort sneller dan de verdediger kan bijbenen. CrowdStrike mat een gemiddelde eCrime breakout-tijd van 29 minuten en een stijging van 89% jaar-op-jaar in AI-ondersteunde aanvallen, nog voordat de nieuwste AISI-benchmarks werden gepubliceerd.
  4. Patch-and-detect-modellen verliezen de race al. Slechts 33% van de organisaties weet waar hun gevoelige data zich bevindt, en de meesten kunnen gecompromitteerde AI-trainingsdata na een incident niet herstellen. Snellere aanvallers leggen die gaten direct bloot.
  5. Duurzame verdediging verschuift naar de data zelf. Wanneer de tijd tussen het ontdekken van kwetsbaarheden en de wapeninzet richting nul gaat, blijft alleen een controleoppervlak overeind dat de data beheert, versleutelt en auditeert – ongeacht welke exploit de data bereikt.

Vergeet Moore’s Law. De tegenstander van de verdediger is nu exponentieel gegroeid.

Dit is geen verhaal over AI die betere phishingmails schrijft. De benchmark van AISI is specifiek ontworpen om autonome capaciteit te meten – of een model context kan vasthouden over meerdere stappen, kan herstellen van fouten en het soort werk kan voltooien waar een menselijke expert uren voor nodig heeft. Kat Traxler, principal security researcher bij Vectra AI, vatte het belang samen voor CSO Online: “De AISI-benchmarks meten niet of modellen een fout kunnen vinden. Ze meten of diverse modellen een reeks exploits kunnen samenvoegen tot werkende aanvallen om een einddoel te bereiken, zoals echte aanvallers dat doen.”

Dat onderscheid is belangrijk. Een model dat exploits kan koppelen tot een werkende aanval is geen gereedschap. Het is een junior red-teamer die niet slaapt, geen werk mist en sneller verbetert dan het trainingsbudget van elke verdediger kan bijhouden.

Waarom de AISI-cijfers belangrijker zijn dan de leveranciersdemo’s

AISI is een zeldzame onafhankelijke stem in een veld vol leveranciersclaims. Het wordt door de overheid gefinancierd, is methodologisch transparant en heeft geen commercieel product te verkopen. Wanneer AISI zegt dat het verdubbeltempo tussen november en februari versnelde van acht maanden naar 4,7 maanden, is dat geen marketingpraat. Het is de gemeten uitkomst van een gecontroleerde benchmark die dezelfde modellen steeds opnieuw op dezelfde taken test.

De benchmarkmethodologie is het begrijpen waard. AISI meet of schat eerst hoeveel tijd een menselijke expert nodig heeft om een bepaalde uitdaging op te lossen, en schat dan de langste taak – in menselijke werkuren – die een AI-model met 80% slagingskans kan voltooien. Het gerapporteerde getal is geen ruwe snelheid. Het is autonome betrouwbaarheid over meerstapswerk. Om een lange taak te voltooien, moet het model context vasthouden, herstellen bij fouten en doorgaan.

Er zijn enkele kanttekeningen. AISI beperkte de AI-systemen tot 2,5 miljoen tokens om vergelijking tussen modellen over tijd mogelijk te maken, wat de mogelijkheid van de modellen beperkt om eerdere fasen van de aanval te onthouden. De benchmark, zoals alle benchmarks, voorspelt de praktijk niet exact. En zoals AISI zelf aangeeft, worstelt AI soms met taken die mensen makkelijk vinden en gaat het moeiteloos door taken die mensen lastig vinden. Geen van deze kanttekeningen verandert de trend. De stijging van capaciteit ten opzichte van moeilijkheidsgraad wordt steiler, ongeacht waar een individueel model zich op de curve bevindt.

Het verdubbeltempo naast een verkort verdedigingsvenster

De AISI-ontwikkelingslijn komt niet in een rustige dreigingsomgeving terecht. Het arriveert in een landschap dat al tot het operationele uiterste is geduwd.

Het CrowdStrike 2026 Global Threat Report registreerde een stijging van 89% jaar-op-jaar in aanvallen door AI-ondersteunde tegenstanders. Het klokte de gemiddelde eCrime breakout-tijd – het gat tussen initiële toegang en laterale beweging – op 29 minuten, met de snelste op 27 seconden. Zero-day exploits vóór publieke bekendmaking stegen met 42%. Tweeëntachtig procent van de detecties was in 2025 malwarevrij, tegenover 51% in 2020, omdat aanvallers legitieme inloggegevens, native tools en mensgedreven technieken gebruiken die traditionele, op signatures gebaseerde verdediging niet kan zien.

Bekijk de cijfers eerlijk. CrowdStrike verzamelde zijn data tot en met 2025, voordat het AISI-verdubbeltempo versnelde. De stijging van 89%, het 29-minuten breakout-venster en de 42% groei van zero-days weerspiegelen allemaal een dreigingslandschap dat voorafgaat aan de laatste capaciteitsstijging. Wat het volgende CrowdStrike-rapport ook meldt, de trend wijst één kant op.

Ondertussen vond het Thales 2026 Data Threat Report dat slechts 33% van de organisaties volledig weet waar hun gevoelige data zich bevindt. Twee derde van de organisaties wereldwijd kan de vraag die een AISI-geteste aanvaller als eerste zou stellen niet beantwoorden: Waar staan de waardevolle data?

Dit is de rekensom waar geen enkel securitystrategie-memo mee geconfronteerd wil worden. De capaciteit van de aanvaller verdubbelt elke 4,7 maanden. Het breakout-venster van de verdediger is 29 minuten. Twee derde van de organisaties kan hun eigen kroonjuwelen niet inventariseren. Dat is geen groeiende kloof. Dat is een structurele mismatch.

Het CVE-en-patchmodel is gebouwd voor een ander decennium

Elke aanname in modern kwetsbaarhedenbeheer is afgestemd op menselijk tempo van aanvallers. Leveranciers maken een kwetsbaarheid bekend. NIST kent er een score aan toe. Securityteams stellen prioriteiten op basis van die score. Patches worden in dagen of weken uitgerold. Dat ritme werkt als de tijd tussen ontdekking en wapeninzet van kwetsbaarheden in dagen of soms weken wordt gemeten.

Dat ritme kraakt nu al. De “Mythos-Ready”-briefing van de Cloud Security Alliance uit april 2026 – ondertekend door Jen Easterly, Bruce Schneier, Chris Inglis en Phil Venables – waarschuwde dat “het venster tussen ontdekking en wapeninzet is teruggebracht tot uren.” NIST gaf medio april toe dat het de meerderheid van de CVE’s die zijn ingediend bij de National Vulnerability Database niet langer kan verrijken, met meer dan 30.000 niet-geanalyseerde vermeldingen en “niet gepland” als nieuwe standaardcategorie. Het Dragos 2026 OT/ICS Cybersecurity Report vond dat 15% van de CVE’s uit 2025 een onjuiste CVSS-score had – 64% van die correcties verhoogde de score – en dat 25% van de publieke kwetsbaarheidsadviezen geen patch of mitigatieadvies bevatte.

Voeg daar het AISI-signaal aan toe: De AI-systemen die de ontdekkingen doen, verdubbelen hun capaciteit elke 4,7 maanden. Het referentiesysteem van de verdediger verkleint de dekking met meer dan de helft. De ontdekkingmachine van de aanvaller wordt geïndustrialiseerd.

De asymmetrie is structureel. Het is geen probleem dat een individueel hulpmiddel, trainingsprogramma of patch-SLA kan oplossen.

Waarom “Defender AI” een noodzakelijke maar onvoldoende oplossing is

De meest gehoorde tegenwerping op de bevindingen van AISI is dat verdedigers ook AI krijgen. Chris Lentricchia, directeur cloud- en AI-beveiligingsstrategie bij Sweet Security, vertelde CSO Online dat “dezelfde versnelling die de capaciteit van aanvallers vergroot, ook de verdedigingscapaciteit kan vergroten op gebieden als proactieve dreigingsdetectie en responsautomatisering.” Hij heeft gelijk. Defender AI is belangrijk. Sneller patchen, betere detectietelemetrie en verbeterde IR-automatisering ook.

Maar defender AI lost de onderliggende asymmetrie niet op. De aanvaller hoeft maar één keer te slagen. De verdediger moet slagen op elk asset, elk account, elke API, elke workflow, elke dag. Defender AI verhoogt de ondergrens; attacker AI verhoogt het plafond. De kloof ertussen wordt nog steeds bepaald door hoeveel oppervlak wordt blootgesteld en hoe goed dat oppervlak wordt beheerd.

Er is ook een survivorship-probleem. Defender AI werkt in het SOC, in de EDR-console, in de cloud security posture management-tool. Het werkt niet goed op de plek waar data daadwerkelijk beweegt – tussen medewerkers en externe partners, tussen applicaties en externe SaaS, tussen mensen en AI-agenten. De snelste, meest betrouwbare defender AI ter wereld helpt niet als de gevoelige data al is geëxfiltreerd via een beheerd-maar-niet-gemonitord kanaal.

Kiteworks Data Security and Compliance Risk: 2026 Forecast Report vond dat slechts 43% van de organisaties een gecentraliseerde AI Data Gateway heeft, terwijl 7% helemaal geen specifieke controles heeft voor hoe AI-systemen toegang krijgen tot gevoelige data. De overige 50% zit in een vorm van “gedeeltelijk”, “ad hoc” of “gedistribueerd-zonder-coherent-beleid”. Dat is het oppervlak dat attacker AI als eerste zal vinden.

Het architecturale antwoord: beheer de data, niet alleen de kwetsbaarheden

Wanneer de capaciteitscurve van de aanvaller exponentieel is, kan geen enkele verdediger winnen door alleen de perimeter te versterken. Het controleoppervlak moet onder de aanval verschuiven – naar de data zelf.

Dit is het architecturale patroon dat standhoudt wanneer het patchritme breekt. Een hardened virtual appliance met ingebouwde firewall, WAF en IDS zodat beveiliging een producteigenschap is in plaats van een klantconfiguratie. Zero-trust toegangscontrole met op attributen gebaseerde handhaving over elk data-uitwisselingskanaal – beveiligde e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, API’s, webformulieren en AI-agenten. FIPS 140-3 encryptie met door de klant beheerde sleutels. Manipulatiebestendige audit logs direct geleverd aan de SIEM, zonder throttling, zodat incident response beschikt over bewijskrachtige records die forensische toetsing doorstaan. Single-tenant isolatie zodat een multi-tenant-compromis niet jouw data blootstelt via de fout van een ander.

Kiteworks is rond deze visie gebouwd. Het platform verenigt governance, beveiliging en zichtbaarheid over elk kanaal dat een onderneming gebruikt om gevoelige data te verplaatsen, inclusief AI-toegang via de Kiteworks Compliant AI en Secure MCP Server. Toen Log4Shell de sector trof als een CVSS 10-kwetsbaarheid in december 2021, ervaarden Kiteworks-klanten het als een CVSS 4 – omdat de architectuur de exploitpaden die een generieke inzet zou blootstellen al had verwijderd.

De volgende Log4Shell komt niet met een CVE-nummer. Het zal verschijnen als een zero-day ontdekt door een AI-systeem dat de wereld nog niet had getest. De verdediging die standhoudt, is ontworpen voor de dreiging die we niet vooraf kunnen scoren.

Wat organisaties nu moeten doen – niet pas in de volgende begrotingsronde

Het AISI-verdubbeltempo is geen probleem om te bestuderen. Het is een probleem om nu op te handelen, met de middelen en mensen die je vandaag hebt.

Ten eerste, behandel het AISI-traject als een strategische input, niet als een onderzoeksfeitje. Voeg de observatie van het verdubbeltempo toe aan je board-briefings, je risicoregister en je threat modeling-oefeningen. Richt het gesprek op wat er verandert als de capaciteit van de aanvaller het patchritme overtreft, want dat antwoord bepaalt elke architectuurkeuze daarna.

Ten tweede, audit het gat tussen je detectieritme en het 29-minuten breakout-venster. Het Kiteworks 2026 Forecast Report vond dat slechts 43% van de organisaties een gecentraliseerde AI Data Gateway heeft, en dat de meerderheid de uniforme telemetrie mist om kanaaloverschrijdende databeweging op aanvallerssnelheid te detecteren. Als je IR-plan uitgaat van uren aan dwell time, is het afgestemd op het verkeerde decennium.

Ten derde, inventariseer je AI-toegangspaden. Elke interne copilot, elke agent, elke model-contextintegratie, elke API naar een gevoelige datastore is nu een potentieel AI-aanvalsdoelwit. Volgens het Kiteworks-rapport heeft 7% van de organisaties helemaal geen specifieke controles voor AI-toegang. Die organisaties zijn geen “early adopters”. Ze zijn onbeveiligd.

Ten vierde, haal het beheer van encryptiesleutels terug naar jezelf. Door de cloud beheerde sleutels, verspreid over diverse services, vergroten de impact als een door AI ontdekte exploit een bevoorrechte service bereikt. Door de klant beheerde sleutels, FIPS 140-3-validatie en HSM-integratie zijn de basisverwachting voor de komende twaalf maanden, geen onderscheidende factoren.

Ten vijfde, eis bewijskrachtige audit trails over elk data-uitwisselingskanaal. Kiteworks vond dat 33% van de organisaties niet beschikt over de soort manipulatiebestendige logging die standhoudt bij toezicht of juridische discovery. Wanneer een snellere aanvaller een sneller systeem compromitteert, is het forensisch record vaak het enige bewijs dat een ingeperkt incident onderscheidt van een meldingsplichtig datalek.

Ten zesde, stel eisen aan je AI-leveranciers op het gebied van data-layer governance, niet alleen modelsafety. Een jailbroken model dat niet bij je gevoelige data kan komen, is een ingeperkt incident. Een veilig model met brede toegang tot ongereguleerde data is één prompt-injectie verwijderd van een ramp. Het controleoppervlak dat telt is de data, niet het model.

Het verdubbeltempo wacht niet tot een organisatie is bijgebeend. De organisaties die voor de curve bouwen, winnen. De organisaties die voor het vorige paradigma bouwen, krijgen het volgende datalek.

Veelgestelde vragen

Zie het als een signaal voor je planning, niet als een voorspelling. De benchmark van AISI meet autonome meerstaps-capaciteit, de moeilijkste vorm van AI-cybercapaciteit om te faken. Zelfs met methodologische kanttekeningen bevestigt de trend wat de stijging van 89% in AI-ondersteunde aanvallen uit het CrowdStrike-rapport al aangaf. Volgens het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report heeft slechts 43% van de organisaties een gecentraliseerde AI Data Gateway, waardoor de meesten kwetsbaar zijn.

Consolideer de perimeter voor data-uitwisseling. De meeste teams zijn verspreid over te veel gefragmenteerde tools, elk met een eigen audit log en toegangsbeleid. Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien dat uniforme data-layer governance zowel de operationele last als het risico op datalekken vermindert. Eén platform met consistente beleidsafdwinging over e-mail, bestandsoverdracht, MFT, API’s en AI-toegang is goedkoper dan vijf losse oplossingen.

Beheer op de data layer, niet op de modellayer. Volgens het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report heeft 7% van de organisaties helemaal geen specifieke AI-toegangscontroles, en vertrouwt 19% op ad hoc point solutions. Een gecentraliseerde AI Data Gateway met ABAC-beleidsafdwinging zorgt dat AI-agenten alleen bij de data kunnen die ze mogen gebruiken, met elke aanvraag geauthenticeerd, geautoriseerd en geaudit.

CMMC Level 2’s families voor toegangscontrole, audit en identificatie gaan ervan uit dat verdedigers afwijkende activiteiten kunnen detecteren en erop kunnen reageren. De bevindingen van AISI verkorten dat reactievenster drastisch. Het Kiteworks Data Security and Compliance Risk: 2025 State of CMMC Preparedness in the DIB Report vond dat slechts 46% van de 209 onderzochte DIB-organisaties zichzelf klaar acht om Level 2-certificering aan te vragen, en 57% geen NIST 800-171 gap-analyse heeft afgerond. Data-layer governance met op attributen gebaseerde toegang voldoet gelijktijdig aan de AC-, AU- en IA-families.

Traditionele IAM authenticeert gebruikers en wijst rollen toe. Governance van AI-agenten moet de agent authenticeren, specifiek autoriseren tot welke data de agent toegang heeft, en elke interactie in realtime auditen. Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report beschrijft dit als een control-plane-gap – IAM regelt mensen, maar governance regelt datastromen. Wanneer een AISI-geclassificeerde aanvalscapaciteit een onderbeheerde agent raakt, wordt die agent het exfiltratiekanaal.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks