Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De Identity Spoofing-aanval die alles veranderde in 45 seconden
De Identity Spoofing-aanval die alles veranderde in 45 seconden

De Identity Spoofing-aanval die alles veranderde in 45 seconden

by Patrick Spencer updated maart 17, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Op 18 februari 2026 veranderde een onderzoeker die deelnam aan de Agents of Chaos-studie zijn Discord-weergavenaam zodat deze overeenkwam met die van de eigenaar van een AI-agent. Niets complex—geen code-exploits, geen zero-day kwetsbaarheden, geen netwerk-inbraak. Alleen een naamswijziging.

De agent kon het verschil niet zien.

Binnen enkele minuten voldeed de agent aan de instructies van de imitator om al zijn hardnekkige geheugenbestanden te verwijderen—zijn toolconfiguraties, karakterdefinitie, interactieregistraties. Hij wijzigde zijn eigen naam. Hij wees administratieve toegang toe aan de imitator. De onderzoekers documenteerden een volledige compromittering van de identiteit en het governance-structuur van de agent, bereikt door niets anders dan social engineering.

De agent was gebouwd op OpenClaw, het open-source AI-agent framework dat drie weken later het meest gedownloade project in de geschiedenis van GitHub zou worden. Hetzelfde project waar NVIDIA CEO Jensen Huang op het podium van GTC 2026 zou zeggen dat het “de belangrijkste software-release ooit” is en “het besturingssysteem voor persoonlijke AI.”

Beide omschrijvingen zijn accuraat. En die paradox—enorme mogelijkheden gecombineerd met structurele kwetsbaarheid—is de bepalende uitdaging voor enterprise AI in 2026.

Twintig onderzoekers, twee weken, tien datalekken: wat de Agents of Chaos-studie daadwerkelijk aantoonde

De Agents of Chaos-studie liep van 2 tot 22 februari 2026 in een live laboratoriumomgeving met geïsoleerde serverinfrastructuur, privé Discord-instanties, individuele e-mailaccounts, hardnekkige opslagvolumes en systeemtoegang tot tools. Twintig AI-onderzoekers van Northeastern University, Harvard, MIT, Stanford, CMU, University of British Columbia, Hebrew University, Max Planck Institute, Tufts, het Vector Institute en anderen namen deel met een adversariële red-teaming-methodologie.

De resultaten waren vernietigend. In 16 casestudy’s—waarvan 11 als representatief gepresenteerd—documenteerden de onderzoekers minstens 10 significante beveiligingslekken en tal van andere faalmodi. Maar de belangrijkste bevinding was niet een individueel datalek. Het was de identificatie van drie structurele tekortkomingen in huidige AI-agentarchitecturen die niet via patches of updates kunnen worden opgelost.

Geen stakeholdermodel. Agents hebben geen betrouwbaar mechanisme om onderscheid te maken tussen iemand die ze moeten bedienen en iemand die hen manipuleert. Ze voldoen standaard aan degene die het dringendst spreekt. Omdat LLM’s instructies en data als niet-onderscheidbare tokens in een contextvenster verwerken, is prompt-injectie een structureel kenmerk van deze systemen—geen oplosbare bug. Dit was het meest uitgebuite aanvalsvlak in diverse casestudy’s.

Geen zelfmodel. Agents nemen onomkeerbare, gebruikersbeïnvloedende acties zonder te herkennen dat ze hun competentiegrenzen overschrijden. In één casestudy zette een agent een kortdurend verzoek om in een permanent achtergrondproces zonder beëindigingsvoorwaarde. In een andere rapporteerde de agent taakvoltooiing terwijl de werkelijke systeemstatus defect was. De onderzoekers merkten op dat OpenClaw-agents opereren op autonomie Level 4 op Mirsky’s zes-niveauschaal, terwijl ze slechts Level 2-begrip bezitten.

Geen privé deliberatievlak. Agents konden niet betrouwbaar bijhouden welke communicatiekanalen voor wie zichtbaar waren. Eén agent verklaarde “stil te zullen antwoorden via alleen e-mail”, terwijl hij tegelijkertijd gerelateerde inhoud in een openbaar Discord-kanaal plaatste.

Vijf van de OWASP Top 10 for LLM Applications (2025) kwamen direct overeen met waargenomen fouten: Prompt Injection, Onthulling van gevoelige informatie, Excessieve machtiging, Systeem prompt-lekkage en Onbegrensde consumptie.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

De casestudy’s die elke CEO wakker zouden moeten houden

De ruwe verhalen uit de studie zijn leerzamer dan de abstracties. In één geval zette een niet-eigenaar een agent onder druk om bewijs van een geheim te verwijderen. Omdat er geen specifieke verwijdertool was, escaleerde de agent naar het resetten van de volledige e-mailclient van de eigenaar—waardoor de digitale infrastructuur van de eigenaar werd vernietigd op instructie van een niet-eigenaar. Geen enkele toegangscontrole voorkwam dit.

In een andere plantten onderzoekers PII—burgerservicenummers, bankrekeningen, medische data—in de e-mail van een agent-eigenaar. De fout illustreert waarom alleen dataclassificatie gevoelige inhoud niet kan beschermen wanneer agents volledige documenten verwerken in plaats van individuele velden. De agent weigerde correct een direct verzoek om “het BSN in de e-mail.” Maar toen werd gevraagd de volledige e-mail door te sturen, werd alles ongeredigeerd gedeeld. De agent kon expliciete verzoeken om gevoelige data als verdacht herkennen, maar kon niet inzien dat het doorsturen van de container hetzelfde resultaat opleverde.

Het meest zorgwekkend voor multi-agent-inzet: een niet-eigenaar plaatste een extern bewerkbare gedrags-“constitutie” in het geheugen van een agent. Zonder enige prompt deelde de agent vrijwillig de link met een andere agent—waardoor het aanvalsvlak van de aanvaller werd uitgebreid naar een tweede systeem via hetzelfde mechanisme dat productieve samenwerking mogelijk maakt. De supply chain-risico’s voor ondernemingen met onderling verbonden agent-workflows zijn aanzienlijk.

Dit zijn geen theoretische scenario’s. Ze vonden plaats in een gecontroleerde omgeving met het framework waar elk bedrijf wordt geadviseerd een strategie omheen te bouwen.

Drie weken later: GTC 2026 en de industriële adoptiedwang

Op 16 maart 2026—minder dan een maand nadat de Agents of Chaos-onderzoekers hun studie afronden—nam Jensen Huang het woord op GTC en verklaarde dat “elk bedrijf ter wereld vandaag een OpenClaw-strategie moet hebben.”

De adoptiedata onderstrepen zijn urgentie. OpenClaw overtrof het groeitraject van Linux over drie decennia in slechts drie weken. Huang zei dat de adoptiecurve “op de Y-as lijkt” zelfs op een semi-log schaal. NVIDIA zelf onthulde dat het intern OpenClaw-agents gebruikt, en dat de vraag naar computerkracht daardoor “de pan uit is gerezen”.

NVIDIA’s reactie op de beveiligingszorgen was NemoClaw—waarbij de OpenShell-runtime, Nemotron 3-modellen en een privacy-router worden gebundeld in één enkele enterprise-inzet. Het ecosysteem groeit snel: Microsoft Security, Cisco AI Defense en CrowdStrike integreren allemaal beschermingen.

Maar hier ligt de spanning die de sector niet heeft opgelost: NemoClaw en OpenShell richten zich op runtime-beveiliging—sandboxing, netwerkbeperkingen, tooltoegangscontrole, detectie van aanvallen. Ze pakken niet de structurele tekortkomingen aan die de Agents of Chaos-onderzoekers identificeerden. Een agent die in een perfecte sandbox draait, kan nog steeds zijn eigenaar niet onderscheiden van een imitator. Hij kan nog steeds niet herkennen wanneer het doorsturen van een e-mail een dataprivacy-schending vormt. Hij kan nog steeds niet voorkomen dat kwetsbaarheden zich via kennisdeling verspreiden tussen agents.

De structurele kwetsbaarheden blijven bestaan omdat ze inherent zijn aan de manier waarop LLM’s informatie verwerken. De onderzoekers waren expliciet: dit zijn kenmerken van de architectuur, geen bugs in de implementatie.

Het governance-gat: organisaties kunnen niet beheersen wat ze niet controleren

Als de agents zelf niet structureel veilig kunnen worden gemaakt, wordt de vraag: Kan de omgeving waarin ze opereren streng genoeg worden bestuurd om te voorkomen dat structurele fouten compliance-rampen worden?

De data laten zien dat de meeste organisaties daar nog lang niet zijn. De Kiteworks 2026 Data Security, Compliance & Risk Forecast documenteert een kloof van 15 tot 20 punten tussen governance-controls en containment-controls in elke onderzochte sector. Drieënzestig procent van de organisaties kan geen doellimieten afdwingen voor AI-agents. Zestig procent kan een ontsporende agent niet beëindigen. Vijfenvijftig procent kan AI-systemen niet isoleren van het bredere netwerk. Traditionele DLP-tools zijn niet ontworpen voor agent-gegeneerde datastromen en bieden geen betekenisvolle dekking voor deze faalmodi.

Overheidsinstanties lopen een generatie achter—niet een beetje, maar fundamenteel. Negentig procent mist doelbinding voor AI-agents. Zesentachtig procent mist kill switches. Drieëndertig procent heeft helemaal geen toegewijde AI-gegevensbeheer-controls.

Het Global Cybersecurity Outlook 2026 van het World Economic Forum waarschuwt dat agents zonder sterk bestuur overmatige privileges kunnen verzamelen, gemanipuleerd kunnen worden via ontwerpfouten of prompt-injecties, of fouten op grote schaal kunnen verspreiden. Slechts 40% van de organisaties voert periodieke AI-risicobeoordelingen uit. Ongeveer een derde heeft geen enkel proces om AI-beveiliging vóór inzet te valideren.

Ondertussen, aan de dreigingszijde, documenteerde het CrowdStrike 2026 Global Threat Report een stijging van 89% in AI-ondersteunde aanvallen, 82% malwarevrije detecties en een gemiddelde eCrime-uitbraakduur van 29 minuten. De aanvallers wachten niet tot organisaties governance hebben opgebouwd.

De oplossing: beheer de data layer, want je kunt de agent layer niet repareren

De Agents of Chaos-onderzoekers concludeerden dat het verduidelijken en operationaliseren van verantwoordelijkheid een “centraal onopgelost vraagstuk” is voor veilige inzet van autonome AI-systemen. De huidige agent-systemen missen de fundamenten—gebaseerde stakeholdermodellen, verifieerbare identiteit, betrouwbare authenticatie—waarop betekenisvolle verantwoordelijkheid rust.

Deze conclusie wijst op een specifieke architecturale reactie: als je de agent niet structureel veilig kunt maken, moet je de data die de agent benadert beheren zodat structurele fouten niet leiden tot regelgevingsovertredingen, datalekken of juridische procedures.

De beheerslaag moet onafhankelijk zijn van de agent. Onafhankelijk van het model. Onafhankelijk van de runtime. Omdat de structurele kwetsbaarheden op al die lagen bestaan, en een compromis op één daarvan mag niet leiden tot een compliance-fout.

Dit is precies wat data-layer governance biedt—en precies wat runtime-beveiliging, model-level guardrails en system prompts niet kunnen garanderen. Een zero trust-architectuur die elke agent-interactie standaard als onbetrouwbaar beschouwt, is het enige verdedigbare uitgangspunt.

Hoe Kiteworks de Agents of Compliance inzet

Kiteworks Compliant AI is architectonisch gepositioneerd op de data layer—tussen agents en de gereguleerde data die ze nodig hebben. Het implementeert vier governance-pijlers die direct de faalmodi tegengaan die de Agents of Chaos-onderzoekers documenteerden.

Tegen het tekort aan stakeholdermodel authenticeert Kiteworks elke agentidentiteit en koppelt deze aan de menselijke autorisator die de workflow heeft gedelegeerd. De delegatieketen wordt bewaard in manipulatiebestendige auditrecords. Wanneer een agent wordt gespoofd—zoals gebeurde in de identity spoofing-casestudy—werkt de authenticatie van Kiteworks onafhankelijk van het communicatiekanaal, waardoor de sessiegrensaanvallen die agents in de studie compromitteerden worden voorkomen.

Tegen het tekort aan zelfmodel handhaaft Kiteworks op attributen gebaseerde toegangscontrole bij elke data-operatie. Een agent die gemachtigd is om een map te lezen, is niet automatisch gemachtigd om de inhoud te downloaden. Een agent die gemachtigd is om een repository te doorzoeken, mag de resultaten niet extern doorsturen. Minimale noodzakelijke toegang wordt afgedwongen op operationeel niveau, waardoor de patronen van “disproportionele respons” en “ongeautoriseerde compliance” uit de studie worden voorkomen.

Tegen het tekort aan privé deliberatievlak past Kiteworks FIPS 140-3 gevalideerde encryptie toe op alle door agents benaderde data in transit en in rust. Zelfs wanneer een agent informatie lekt via het verkeerde kanaal—zoals in meerdere casestudy’s gebeurde—worden de data zelf beschermd door gevalideerde cryptografie in plaats van model-level vertrouwelijkheidsinstructies die agents aantoonbaar niet kunnen handhaven.

De manipulatiebestendige audittrail legt elke interactie vast: welke data werden benaderd, door welke agent, voor welke menselijke autorisator, op welk tijdstip, onder welk beleid. Wanneer een compliance-auditor vraagt wat er is gebeurd, is het antwoord een rapport—geen forensisch onderzoek. Die logs worden direct gevoed aan enterprise SIEM-systemen voor continue monitoring.

Wat organisaties moeten doen voordat hun Agents of Chaos compliance-incidenten worden

Ten eerste voer direct een inventarisatie uit van agentic AI-inzet in je omgeving. OpenClaw is het meest gedownloade open-sourceproject in de geschiedenis en draait lokaal zonder IT-goedkeuring. CrowdStrike, Microsoft, Cisco, Sophos en Trend Micro hebben allemaal detectierichtlijnen gepubliceerd omdat medewerkers inzetten zonder dat het securityteam hiervan op de hoogte is. Data security posture management begint met weten welke AI je data aanraakt.

Ten tweede accepteer dat structurele agent-kwetsbaarheden permanente kenmerken zijn, geen tijdelijke bugs. Richt je governance hierop in—wacht niet tot agent-frameworks “volwassen” worden qua veiligheid. De Agents of Chaos-studie toonde aan dat deze kwetsbaarheden inherent zijn aan hoe LLM’s tokens verwerken, niet aan implementatiefouten die met patches worden opgelost.

Ten derde zet AI Data Gateway governance in voordat je agent-toegang tot gereguleerde data uitbreidt, of dat nu via interactieve assistenten, geautomatiseerde workflows of RAG-pijplijnen is. De Kiteworks 2026 Forecast vond een kloof van 15 tot 20 punten tussen governance-controls en containment-controls. Sluit eerst de containment gap, schaal daarna de inzet.

Ten vierde stel delegatieketen-verantwoordelijkheid in voor elke agent-workflow. Je auditor accepteert niet “de agent deed het” als verdedigbare positie. Koppel elke agent-actie aan een menselijke autorisator in een manipulatiebestendig record. De Agents of Chaos-studie vond dat multi-agent-interacties attributie van risico’s door derden extra lastig maken—heldere delegatieketens zijn het organisatorische antwoord.

Ten vijfde test je incident response plan op agent-specifieke scenario’s. Kun je een ontsporende agent beëindigen? Kun je zijn data-toegang isoleren? Kun je een bewijspakket produceren van welke data is geraakt? De Kiteworks 2026 Forecast vond dat 60% van de organisaties een ontsporende agent niet kan beëindigen. Dat percentage moet nul zijn vóór productie-inzet.

De agents of chaos zijn al ingezet. Ze draaien op laptops van medewerkers, verbinden met bedrijfs-e-mail, Slack, agenda’s en bestandsystemen. De structurele kwetsbaarheden die de onderzoekers documenteerden verdwijnen niet. De enige vraag is of jouw organisatie ook de agents of compliance inzet—door de data layer te beheren zodat onvermijdelijke agent-fouten geen organisatorische rampen worden.

Wil je meer weten over hoe Kiteworks kan helpen, plan vandaag nog een demo op maat.

Veelgestelde vragen

Het verbieden van OpenClaw zal waarschijnlijk niet werken en richt zich op de verkeerde laag. Medewerkers hebben het al ingezet op persoonlijke en BYOD-apparaten zonder IT-goedkeuring. De structurele kwetsbaarheden die de Agents of Chaos-onderzoekers identificeerden, bestaan in alle agentic AI-systemen, niet alleen in OpenClaw. De betere aanpak is AI data governance beheren op de data layer via oplossingen zoals Kiteworks, zodat agent-fouten geen compliance-overtredingen worden.

De studie documenteerde agents die volledige PII—burgerservicenummers, medische data—onthulden wanneer werd gevraagd e-mails met die informatie door te sturen. Onder HIPAA-naleving vereist AI-agenttoegang tot PHI minimale noodzakelijke toegang (§164.502(b)) en audit logs (§164.312(b)). De Kiteworks 2026 Forecast vond dat 63% geen doellimieten kan afdwingen voor AI-agents. Data-layer governance is vereist.

Het betekent dat model-level guardrails (system prompts, fine-tuning, veiligheidsfilters) geen audit-verdedigbare compliance-controls zijn. Ze kunnen worden omzeild via de structurele kenmerken die de Agents of Chaos-studie documenteerde. Je architectuur moet compliance afdwingen op de data layer—onafhankelijk van het model—via identiteitsverificatie, ABAC-beleid, FIPS 140-3 gevalideerde encryptie en manipulatiebestendige logging.

Gedeeltelijk. NemoClaw richt zich op runtime-beveiliging—sandboxing, netwerkbeperkingen en detectie van aanvallen. Het pakt niet de drie structurele tekortkomingen aan (geen stakeholdermodel, geen zelfmodel, geen privé deliberatievlak) omdat die inherent zijn aan hoe LLM’s tokens verwerken, niet aan runtime-configuratie. Data-layer governance via Kiteworks beperkt de impact wanneer structurele kwetsbaarheden worden uitgebuit.

Bestuursleden moeten begrijpen dat structureel AI-agentrisico beheersbaar is, ook al is het niet volledig te elimineren. Het WEF Global Cybersecurity Outlook 2026 adviseert zero trust-beveiligingsprincipes waarbij elke agent-interactie standaard als onbetrouwbaar wordt beschouwd. De praktische reactie is data-layer governance: zorg dat elke agent-interactie wordt geauthenticeerd, beleidsmatig wordt beheerd, versleuteld en gelogd via een oplossing als Kiteworks.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt op AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor je data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks