Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AWS Rex maakt de runtime-laag van Agentic AI-beveiliging open source
AWS Rex maakt de runtime-laag van Agentic AI-beveiliging open source

AWS Rex maakt de runtime-laag van Agentic AI-beveiliging open source

by Danielle Barbour updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Op 4 mei 2026 publiceerde AWS Introducing Trusted Remote Execution: Policy-Enforced Scripts for AI Agents and Humans, waarmee Rex als open source werd uitgebracht onder de Apache 2.0-licentie. De architectuur is eenvoudig: scripts worden geschreven in Rhai, een lichte embedded-taal zonder ingebouwde OS-toegang. De enige manier waarop een script het host-systeem kan bereiken, is via een speciaal ontwikkelde SDK. Elke bewerking wordt geautoriseerd op basis van een Cedar-beleid voordat de systeemaanroep wordt toegestaan. Als het beleid de actie weigert, ontvangt het script een ACCESS_DENIED_EXCEPTION en bereikt de bewerking nooit de kernel.

AWS erkent hiermee in productcode wat de security-onderzoeksgemeenschap al twee jaar betoogt: code review, goedkeuringsworkflows en toegestane commando’s kunnen geen code beheersen die tijdens runtime door een AI-systeem wordt gegenereerd. De traditionele vangnetten werken niet meer wanneer de agent de auteur is.

5 Belangrijkste Inzichten

1. AWS introduceerde runtime policy enforcement als categorie.

Trusted Remote Execution (Rex) controleert elke systeemoperatie die een door AI gegenereerd script probeert uit te voeren, aan de hand van een Cedar-beleid dat wordt bepaald door de eigenaar van de host — niet door de agent. Dit is de eerste grote erkenning door een hyperscaler dat de runtime-laag van agentic AI-beveiliging niet aan de agent zelf kan worden overgelaten. Wanneer AWS productie-infrastructuur levert met de aanname dat prompt injection niet wordt opgelost, is de implicatie voor enterprise-architecten duidelijk: ontwerp alsof de agent zich zal misdragen.

2. Het dreigingsmodel is expliciet en ongemakkelijk.

AWS noemt hallucinerende code, prompt injection en te enthousiaste taakinterpretatie als de specifieke faalmodi die Rex moet indammen. OpenAI heeft aangegeven dat prompt injection “waarschijnlijk nooit volledig zal worden opgelost.” Anthropic heeft erkend dat het “vooral naarmate modellen meer echte acties ondernemen” nog lang niet is opgelost. Rex wordt geleverd op basis van die concessies — en zo zou jouw AI-governance-architectuur dat ook moeten doen.

3. Rex beperkt de host, niet de agent.

De meeste agentic sandboxes proberen te beperken wat het model produceert. Rex draait dat om: ongeacht wat de agent genereert, kan de systeemaanroep niet verder gaan dan wat het beleid toestaat. Deze architecturale omkering — het verleggen van de handhavingsgrens naar wat de agent mag doen ten opzichte van de host — is geen incrementele verbetering. Het is een verschuiving in waar vertrouwen mag bestaan. Vertrouwen verschuift van de output van de agent naar de policy engine van de host.

4. Runtime gating is noodzakelijk. Het is niet voldoende.

Cedar-beleidsregels op systeemaanroepen kunnen een agent niet vertellen welk document niet had mogen worden opgevraagd, welke velden voldoen aan het minimum noodzakelijke, of of een retrieval een rechtsbevoegdheidsgrens overschrijdt die door de gegevensclassificatie als buiten bereik is gemarkeerd. Dit zijn de controles die GDPR Artikel 5, HIPAA’s minimum-necessary-standaard en CMMC Level 2 access control families vereisen. Rex beantwoordt die niet.

5. De audit-verdedigbare laag ligt onder de runtime.

Toezichthouders, auditors en eisers zullen vragen om bewijs van wie welke data-toegang heeft geautoriseerd. Dat bewijs moet zich bevinden waar de data zich bevindt — in manipulatieresistente audittrails die elke AI-interactie met gereguleerde content vastleggen. Een beleid dat een systeemaanroep-leesactie toestaat, is het juiste beleid op de runtime-laag. Het is het verkeerde beleid op de datalaag, en dat zijn verschillende instrumenten.

Je vertrouwt erop dat je organisatie veilig is. Maar Kun Je Het Bewijzen?

Lees nu

Wat AWS toegeeft over Agentic AI

Drie architecturale concessies in de AWS-aankondiging zijn minstens zo belangrijk als de code.

De eerste is het dreigingsmodel. Hallucinerende code, prompt injection en te enthousiaste taakinterpretatie worden expliciet genoemd — niet als theoretische randgevallen, maar als de specifieke faalmodi die Rex moet indammen. Wanneer een hyperscaler infrastructuur levert met de aanname dat deze problemen niet worden opgelost, moeten enterprise-architecten daar hun ontwerp op aanpassen.

De tweede is de architecturale omkering. Rex verlegt de handhavingsgrens naar wat de agent mag doen ten opzichte van de host, in plaats van te proberen de output van de agent te beperken. Die formulering is precies: de agent beperken veronderstelt dat zijn output betrouwbaar kan worden begrensd. De focus verleggen naar de host veronderstelt dat die grenzen onbetrouwbaar zijn en verplaatst de handhaving naar waar het systeem daadwerkelijk wordt uitgevoerd. Dit is een trust-architectuurbeslissing, geen feature-beslissing.

De derde zit in het beleidsmodel. Cedar — door AWS als open source uitgebracht in mei 2023 en nu een CNCF Sandbox-project — ondersteunt zowel RBAC als op attributen gebaseerde toegangscontrole (ABAC). De eigenaar van de host, niet de agent, bepaalt het beleid. Het script en het beleid worden afzonderlijk geversioneerd. Dit is policy-as-code toegepast op de systeemaanroep-laag — de juiste laag voor dat patroon, en ook de enige laag die Rex adresseert.

Waarom runtime gating noodzakelijk is

Rex lost een echt probleem op. De meeste script-executieomgevingen geven scripts dezelfde rechten als de uitvoeringscontext — een script dat bedoeld is om een logbestand te lezen, kan er net zo makkelijk een verwijderen. Wanneer dat script tijdens runtime door een AI-agent wordt gegenereerd, krijgen traditionele reviewcontroles geen kans om te werken. Een zich misdragende agent in zo’n omgeving is slechts één verkeerd geïnterpreteerde taak verwijderd van productieschade.

De Kiteworks 2026 Forecast kwantificeert deze blootstelling. 63% van de organisaties kan geen doeleindbeperkingen afdwingen op AI-agents. 60% kan een zich misdragende agent niet snel beëindigen. 55% kan AI-systemen niet isoleren van bredere netwerktoegang. 54% kan AI-inputs niet valideren. Rex-achtige runtime policy enforcement dicht het eerste en laatste van die gaten aanzienlijk. Er is ook een regulatoire dimensie: organisaties die onder druk staan van de EU AI-wet bouwen de runtime-, identity- en policy-infrastructuur die Rex vertegenwoordigt sneller dan peers buiten dat kader. De adviserende omgeving verkleint dat gat snel in alle rechtsbevoegdheden.

Waarom runtime gating niet voldoende is

Rex is een runtime-controle. Het reguleert systeemaanroepen. Het kan een agent niet vertellen welk document hij in eerste instantie niet had mogen opvragen. Het kan niet afdwingen dat een geretourneerd record alleen de velden bevat die de menselijke gebruiker mag zien. Het kan niet beoordelen of een retrieval een rechtsbevoegdheidsgrens overschrijdt die door de gegevensclassificatie als buiten bereik is gemarkeerd.

Dit zijn geen theoretische randgevallen. Dit zijn de controles die GDPR Artikel 5 vereist — doeleindbeperking, dataminimalisatie, opslagbeperking, verantwoording. Dit is wat HIPAA’s minimum-necessary-standaard vraagt. Dit is wat CMMC Level 2 access control families veronderstellen. Dit is wat het CISA, NSA en Five Eyes gezamenlijke advies over agentic AI expliciet noemt in de categorieën verantwoording en privilege-risico.

Een beleid dat file_system::Action::"read" toestaat op /var/data/customer-records.csv is het juiste beleid op de runtime-laag. Het is het verkeerde beleid op de datalaag. De datalaag moet andere vragen stellen: Vindt dit lezen plaats namens een gebruiker met de juiste autorisatie? Werkt de aanvrager binnen de scope van de opdracht die hem heeft geautoriseerd? Zijn de records minimaal noodzakelijk voor de taak? Is er een verwijderingsverzoek voor een record dat nog niet is doorgevoerd? Wordt de toegang gelogd met voldoende detail om drie jaar na pensionering van het model te reconstrueren wie wat heeft geautoriseerd? Rex beantwoordt die vragen niet.

Het architecturale plaatje dat echt werkt

Het patroon dat werkt is gelaagd. Runtime-controles zoals Rex handhaven wat de host toestaat. Identity-controles handhaven namens wie de agent handelt. Datalaag-controles — op attributen gebaseerde toegangscontrole (ABAC) geëvalueerd op classificatie, rechtsbevoegdheid en toestemming — handhaven welke data de agent mag benaderen. Elke laag adresseert een ander faalmechanisme, en geen enkele laag is voldoende op zichzelf.

De Kiteworks Secure MCP Server en AI Data Gateway implementeren het datalaag-component van deze architectuur: elke AI-operatie wordt geauthenticeerd via OAuth 2.0, geëvalueerd op ABAC-beleid in de Kiteworks Data Policy Engine, versleuteld met FIPS 140-3 gevalideerde cryptografie en gelogd in een manipulatieresistente audittrail die bestaande SIEM-infrastructuur voedt. Het Kiteworks Private Data Network breidt dat beheer uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één policy engine en één geconsolideerde auditlog.

AWS heeft zojuist sterke infrastructuur geleverd voor de runtime-laag. De identity-laag en datalaag moeten nog worden gebouwd — en de Kiteworks 2026 Forecast bevestigt dat slechts 43% van de organisaties een gecentraliseerde AI Data Gateway heeft geïmplementeerd.

Wat security- en compliance-teams moeten meenemen

Ten eerste, neem de AWS-aankondiging serieus als signaal. Wanneer een hyperscaler een runtime open source maakt die elke systeemaanroep toetst aan een beleid onafhankelijk van de agent, is runtime policy enforcement niet langer optioneel bij serieuze AI-inzet. Rex dicht een belangrijk gat op de runtime-laag dat de meeste organisaties open hebben gelaten.

Ten tweede, verwissel runtime enforcement niet met gegevensbeheer. Rex reguleert wat een agent op een host mag doen. Het zegt niets over welke data de agent mag benaderen. Alleen runtime-controle toevoegen zonder datalaag-governance sluit het auditgat niet — het documenteert één laag terwijl de andere open blijft.

Ten derde, ontwerp de gelaagde architectuur expliciet. Koppel runtime-controles (Rex), identity-controles (OAuth, kortlevende credentials) en datalaag-controles (ABAC, classificatie, rechtsbevoegdheid, toestemming) aan de specifieke faalmodi die ze adresseren. Elke laag stelt andere vragen; elke is noodzakelijk voor een volledig antwoord.

Ten vierde, beschouw versiebeheer van beleid als auditbewijs. Cedars scheiding van beleid en code levert artefacten op die auditors kunnen inspecteren. Combineer Rex’ runtime-artefacten met manipulatieresistente datalaag-auditlogs voor een compleet bewijspakket — het gat tussen zichtbaarheid in wat is uitgevoerd en zichtbaarheid in welke data is benaderd is waar de meeste auditbevindingen ontstaan.

Ten vijfde, gebruik het Five Eyes gezamenlijke advies als architecturale toets. Pas de vijf risicocategorieën van CISA “Careful Adoption of Agentic AI Services” toe — privilege, ontwerp en configuratie, gedrag, structuur, verantwoording — op je huidige AI-inzet. Rex adresseert delen van privilege en gedrag. Structurele en verantwoordingscategorieën vereisen datalaag-governance die geen enkele runtime alleen kan bieden.

Wil je meer weten over het beheren van gevoelige data en het optimaliseren van AI-agents? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Rex adresseert handhaving van systeemaanroepen op scriptniveau — de laag waarop een door een agent gegenereerd script wordt getoetst aan een Cedar-beleid voordat een lees-, schrijf- of open-actie de kernel bereikt. Het vervangt geen identity-controles, netwerksegmentatie of datalaag-governance. Slechts 43% van de organisaties heeft een gecentraliseerde AI Data Gateway volgens de Kiteworks 2026 Forecast. Rex toevoegen zonder die datalaag sluit één gat, maar laat een breder gat open.

Cedars policy-as-code-model levert geversioneerde artefacten die voldoen aan SOC 2 CC6-toegangscontroles en ISO 27001 A.5/A.8 access management — maar zijn geen voldoende bewijs van autorisatie op de datalaag. Combineer Rex’ runtime audittrail met datalaag-ABAC-handhaving en manipulatieresistente logs voor een compleet bewijspakket. Auditors vragen steeds vaker om containment-bewijs — bewijs dat een zich misdragende agent snel kan worden beëindigd en geïsoleerd.

Nee. HIPAA’s minimum-necessary-standaard vereist controles op welke data de agent mag benaderen namens een geautoriseerde gebruiker — niet alleen welke systeemaanroepen het script mag uitvoeren. Doeleindbeperking is een controle op data-semantiek. 63% van de organisaties kan dit niet afdwingen op AI-agents volgens de Kiteworks 2026 Forecast. Runtime-controles en datalaag-ABAC-handhaving werken samen; geen van beide vervangt de ander.

Rex adresseert delen van twee van de vijf risicocategorieën in het CISA-advies: privilege-risico’s (afdwingen van least privilege op systeemoperaties) en gedragsrisico’s (indammen van hallucinerende of geïnjecteerde code). Het adresseert geen structurele of verantwoordingsrisicocategorieën. De verantwoordingscategorie — die auditors en toezichthouders het meest onderzoeken — vereist een datalaag-audittrail die runtime gating alleen niet kan leveren.

Er is enige overlap en duidelijke scheiding. Rex handhaaft beleid op de systeemaanroepgrens binnen een host. Identity-aware proxies en service mesh policies handhaven beleid op netwerk- en aanvraaggrenzen. Beide zijn runtime-controles op verschillende lagen van de stack. Netwerkisolatie van AI-systemen — een gat dat mesh policies aanpakken maar Rex niet — blijft een tekortkoming in de sector. Gelaagde handhaving is het architecturale antwoord; elke enkele laag als voldoende beschouwen is de architecturale fout. Het Kiteworks Private Data Network levert het datalaag-component dat deze stack nodig heeft.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-gegevensbeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van kleine bedrijven Russisch roulette speelt met gegevensbeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks