Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > MCP-kwetsbaarheid blootgelegd: Beveilig AI-gegevensbeheer nu
MCP-kwetsbaarheid blootgelegd: Beveilig AI-gegevensbeheer nu

MCP-kwetsbaarheid blootgelegd: Beveilig AI-gegevensbeheer nu

by Patrick Spencer updated april 21, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Op 15 april 2026 meldde SecurityWeek dat het Model Context Protocol — de open standaard die AI-agenten verbindt met zakelijke tools, API’s en databronnen — een “by design” zwakte bevat die grootschalige AI supply chain-aanvallen mogelijk maakt. Het onderliggende onderzoek, gepresenteerd door OX Security, toont aan dat één gecompromitteerde MCP-server of tool een draaipunt kan worden voor alle andere gekoppelde resources waar een agent toegang toe heeft.

Belangrijkste inzichten

  1. Het probleem is architectonisch, geen patch. Onderzoekers toonden aan dat het vertrouwensmodel van Model Context Protocol elke gecompromitteerde connector toestaat om toegang te krijgen tot alle andere tools en databronnen die aan dezelfde agent zijn gekoppeld. Geen enkele CVE zal dit oplossen.
  2. MCP is nu de nieuwe bevoorrechte data access layer. Elke MCP-gekoppelde database, SaaS-applicatie en interne API erft het bereik van de agent. Wanneer de agent wordt misleid, vallen alle gekoppelde systemen binnen de scope.
  3. Bedrijven zetten MCP sneller in dan ze het beheren. Slechts 43% van de organisaties heeft een gecentraliseerde AI Data Gateway. De overige 57% is gefragmenteerd, gedeeltelijk of heeft helemaal geen specifieke AI-controles.
  4. Staatshackers hebben MCP al in het wild ingezet. Anthropic onthulde een door de Chinese staat gesponsorde campagne die Claude Code plus MCP-tools gebruikte om AI-georkestreerde inbraken uit te voeren bij ongeveer 30 organisaties.
  5. De oplossing is data-layer governance, niet hopen op model-layer oplossingen. Elke AI-dataverzoek moet worden geauthenticeerd, geautoriseerd en geaudit op het data access point — niet in het model, waar prompts de beveiliging kunnen omzeilen.

Dit is geen programmeerfout. Het is een architectonisch gevolg van hoe MCP is gespecificeerd.

De onderzoekers die het probleem aan het licht brachten vertelden IT Pro dat het een systemisch kenmerk is waardoor willekeurige commando’s kunnen worden uitgevoerd op MCP-servers, en dat het niet met een patch kan worden opgelost omdat het vertrouwensmodel zelf het probleem is. Een van de onderzoekers merkte op dat ontwikkelaars geen beveiligingsingenieurs zijn en niet mogen worden verwacht zelfstandig gebreken te ontdekken en te beperken die in de SDK’s zijn ingebakken waarop ze vertrouwen. De IT Pro rapportage vermeldt dat meer dan 200.000 MCP-servers mogelijk kwetsbaar zijn, verspreid over interne API’s, databases en SaaS-connectors binnen het bedrijfsleven.

Dit is belangrijk omdat MCP de facto de infrastructuur van enterprise-AI is geworden. Op het moment dat een CISO akkoord geeft op de verbinding van een agent met de CRM, de code repository of de documentopslag, wordt die agent een bevoorrechte datapad — en tot nu toe wordt dat pad door maar weinig organisaties als kritieke infrastructuur beheerd.

MCP is niet de vijand. MCP is wat enterprise-AI eindelijk mogelijk maakte.

Voor MCP vereiste het koppelen van een large language model aan een intern systeem maatwerk integratie, aangepaste authenticatie en een aparte security review voor elke verbinding. MCP heeft dit gestandaardiseerd. Een AI-assistent kon ineens bestanden delen, ticketsystemen, observatiedashboards en code repositories bereiken via één protocol. Ontwikkelaars leverden integraties af in uren in plaats van maanden.

Die snelheid is het verhaal. Die snelheid is ook het probleem.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report vond dat slechts 43% van de organisaties een gecentraliseerde AI Data Gateway heeft. De overige 57% is gefragmenteerd, gedeeltelijk of “vliegt blind.” Binnen die 57% identificeerde het rapport 19% die geïmproviseerde point solutions hebben zonder samenhangend beleid, 26% met gedeeltelijke of ad-hoc controles, en 7% zonder enige AI-controle. De overheid scoort het slechtst: 90% mist gecentraliseerd AI-beheer en een derde heeft helemaal geen AI-datacontroles. Dit zijn organisaties die burgerdata, geclassificeerde informatie en kritieke infrastructuur beheren.

De MCP-onthulling komt bovenop dat gat. Elke organisatie in die 57% draait minstens één MCP-achtige integratie, en de meeste draaien er meerdere. Wanneer één gecompromitteerde tool toegang kan krijgen tot de rest, is fragmentatie geen ongemak — het is het aanvalsoppervlak.

Dit is geen theorie: staatshackers hebben MCP al op schaal gebruikt

In november 2025 maakte Anthropic bekend dat het een cyber-spionageoperatie had ontdekt en verstoord, die met grote zekerheid wordt toegeschreven aan een door de Chinese staat gesponsorde groep genaamd GTG-1002. De aanvaller gebruikte Claude Code plus Model Context Protocol-tools en draaide meerdere Claude-instanties in groepen als autonome “orchestrators” om grote delen van de aanvalscyclus uit te voeren — verkenning, kwetsbaarheden ontdekken, exploitatie, laterale beweging, inloggegevens verzamelen en data-analyse.

De campagne was gericht op ongeveer 30 organisaties. Volgens de Kiteworks 2026 Forecast voerde AI ongeveer 80 tot 90 procent van het tactische werk uit, waarbij mensen alleen bij vier tot zes kritieke beslismomenten per campagne ingrepen — bijvoorbeeld het goedkeuren van escalatie van verkenning naar exploitatie en het bepalen van wat er geëxfiltreerd moest worden. De Global Cybersecurity Outlook 2026 van het World Economic Forum markeerde dit als het eerste bevestigde geval waarin agentic AI toegang kreeg tot waardevolle doelwitten, waaronder grote technologiebedrijven en overheidsinstanties.

Het verdedigende detail dat hier telt is mechanisch: de aanvallers misbruikten geen modelkwetsbaarheid. Ze gebruikten de standaard agent-runtime en de standaard MCP-tools. Elke stap die door een datagovernance-laag geaudit kon worden, zou geaudit zijn. Elke stap die afhankelijk was van modelgedrag om binnen de grenzen te blijven, ging buiten de grenzen.

De Agents of Chaos-studie — een twee weken durend red-team experiment geleid door het BauLab van Northeastern University met twintig onderzoekers van onder andere Harvard, MIT, Stanford, Carnegie Mellon en anderen, gepubliceerd in februari 2026 — documenteerde waarom dit patroon structureel is. Agents voldoen standaard aan degene die het dringendst spreekt, hebben geen zelfmodel om te herkennen wanneer ze hun competentiegrenzen overschrijden, en kunnen niet betrouwbaar bijhouden welke communicatiekanalen voor wie zichtbaar zijn. Vijf van de OWASP Top 10 voor LLM-toepassingen kwamen direct overeen met waargenomen fouten in live-implementaties.

Waarom traditionele controles dit niet afdekken

Beveiligingsteams vragen zich vaak af of hun bestaande stack dit al afdekt. Het antwoord is voor vrijwel elke traditionele controle: nee.

Endpoint detection and response ziet het niet. De AI-agent is een legitiem geauthenticeerd proces dat optreedt namens een legitieme gebruiker. De tool-call is niet te onderscheiden van routinematige activiteit.

Preventie van gegevensverlies slaat niet aan. De uitgaande data reist als onderdeel van een AI-workflow die door de organisatie is goedgekeurd. DLP-regels die zijn gebouwd rond bestandsexfiltratie, USB-overdracht of verdachte e-mailbijlagen slaan niet aan op een agent die een API-call maakt waarvoor hij geautoriseerd is.

De web application firewall is architectonisch blind. WAF’s inspecteren inkomend extern verkeer van menselijke gebruikers. Machine-to-machine verkeer dat wordt gegenereerd door een goedgekeurde agentic workflow past niet in het inspectiemodel.

Model-layer guardrails kunnen worden omzeild. Elk groot platform dat prompt-injectie verdediging heeft uitgerold, heeft deze vervolgens zien worden omzeild door onderzoekers. Een grootschalige studie van 14.904 custom GPT’s vond 96,51% kwetsbaar voor roleplay-aanvallen en 92,20% voor system prompt-lekkage. Dit is geen randgeval.

De architectonische implicatie is onvermijdelijk. Governance die in het model leeft, is onderhandelbaar. Governance die op de datalaag leeft, is dat niet.

Het antwoord op de datalaag: waarom governance moet worden afgedwongen waar de data leeft

De mitigerende maatregelen die na de onthulling circuleerden — strikte isolatie van MCP-diensten, least-privilege credentials per tool, inputvalidatie op modelinstructies en monitoring op afwijkende tool-calls en datapatronen — zijn de juiste richting. Maar ze werken alleen als ze worden afgedwongen op een plek waar de agent ze niet kan omzeilen.

Die plek is de data access layer.

Data-layer governance werkt volgens een principe dat is overgenomen uit zero-trust netwerkarchitectuur: geen impliciet vertrouwen op basis van alleen identiteit. Elk AI-dataverzoek wordt onafhankelijk geauthenticeerd. Elk verzoek wordt in real time geëvalueerd tegen rolgebaseerde en op attributen gebaseerde toegangsbeleidsregels. Elk verzoek wordt gelogd met voldoende detail om exact te reconstrueren wat er is gebeurd — wat is benaderd, door welk AI-systeem, voor welke gebruiker, op welk tijdstip, onder welk beleidsbesluit. Als de agent probeert zijn autorisatie te overschrijden, weigert de datalaag. Als de beleidsevaluator een afwijkend patroon ziet, wordt de sessie beëindigd.

Dit is het architectonische patroon waarop de Kiteworks AI Data Gateway is gebouwd. Het vertrouwt niet op correct gedrag van het model. Het gaat er niet van uit dat de MCP-server betrouwbaar is. Het hangt niet af van een veilige prompt. Beleid wordt afgedwongen op de datalaag, onafhankelijk van het model, onafhankelijk van de prompt, onafhankelijk van het agent-framework. Wanneer het model wordt gecompromitteerd, bijgewerkt of gemanipuleerd, blijft de governance-laag beleid afdwingen. Dat is het verschil tussen schijnnaleving en echte naleving.

Hoe Kiteworks MCP beheert zonder AI te blokkeren

Kiteworks is met precies dit dreigingsmodel in gedachten ontworpen. De Kiteworks Secure MCP Server stelt large language model-toepassingen zoals Claude en Copilot in staat om te communiceren met het Kiteworks Private Data Network via de industriestandaard Model Context Protocol — maar dan met enterprise-grade controles die zijn ingebouwd in plaats van achteraf toegevoegd.

Elke MCP-sessie authenticeert via OAuth 2.0 met tokens die in de OS-sleutelhanger zijn opgeslagen en nooit worden blootgesteld aan het AI-model. Elke operatie wordt in real time geëvalueerd door de Kiteworks Data Policy Engine, die rolgebaseerde en op attributen gebaseerde toegangscontrole toepast. De AI-agent erft de rechten van de autoriserende gebruiker en kan deze niet overschrijden. Padvalidatie blokkeert toegang tot systeembestanden en verbiedt standaard absolute paden. Rate limiting voorkomt AI-gedreven resource-uitputting of grootschalige data-extractie. Elke actie — succesvol of geweigerd — wordt gelogd in de geconsolideerde Kiteworks audittrail, die in real time naar de SIEM van de klant wordt gestreamd.

De bijbehorende Kiteworks AI Data Gateway breidt hetzelfde model uit naar programmatische AI-workflows, inclusief Retrieval-Augmented Generation pipelines die aan compliance voldoen. AI-systemen raadplegen bedrijfsdata via één beheerde interface. Gevoeligheidsclassificaties worden gerespecteerd. Microsoft Information Protection-labels worden gehonoreerd. De audittrail voldoet aan de documentatievereisten van HIPAA, GDPR, SOC 2 en FedRAMP.

In de praktijk betekent dit dat een gecompromitteerde MCP-server die is gekoppeld aan Kiteworks niet kan pivoteren. De vertrouwensgrens ligt bij het data access point, niet bij de agent of het protocol. De agent kan vragen; de datalaag antwoordt alleen wat het beleid toestaat en registreert alles, ongeacht het resultaat.

Wat organisaties dit kwartaal moeten doen

De MCP-onthulling is een katalysator. Organisaties die MCP-integraties als experimentele nevenprojecten draaiden, moeten deze onder het governanceprogramma brengen — en organisaties die MCP nog niet op schaal hebben ingezet, hebben een klein venster om het vanaf het begin goed te ontwerpen.

Ten eerste: inventariseer elke MCP-verbinding in productie. De meeste organisaties weten niet hoeveel ze er hebben. Begin met de tools die waarschijnlijk AI-functionaliteit hebben toegevoegd in de afgelopen achttien maanden: observability platforms, ticketingsystemen, code repositories, CRM’s, samenwerkingsplatformen en interne documentopslag. Elke tool die onbevoegde input verwerkt en gevoelige data kan bereiken, valt binnen de scope.

Ten tweede: classificeer MCP-servers als kritieke infrastructuur voor de datalaag. Ze zijn geen handige hulpprogramma’s. Ze moeten onderworpen zijn aan dezelfde change-control, threat modeling en configuratie-baseline vereisten als elk systeem dat gereguleerde data verwerkt. De Kiteworks 2026 Forecast vond dat 63% van de organisaties geen doellimieten kan afdwingen op AI-agenten en 60% niet in staat is een afwijkende agent te beëindigen. Dit oplossen begint met MCP behandelen als de access layer die het daadwerkelijk is.

Ten derde: handhaaf least-privilege op toolniveau, niet op agentniveau. Elke MCP-tool moet authenticeren met een eigen, afgebakende serviceaccount. Agents mogen alleen de rechten van de autoriserende gebruiker voor die specifieke sessie erven. Brede toegangsrechten — de standaard in veel MCP-implementaties — zijn de grootste oorzaak van het pivotrisico dat in de onthulling is beschreven.

Ten vierde: verplaats governance van de modellayer naar de datalaag. Beveiligingsmaatregelen op modellayer en system prompts kunnen worden omzeild. Handhaving op de datalaag kan dat niet, omdat het niet vertrouwt op het gedrag van de agent. Elk AI-dataverzoek moet door een beheerde datagateway gaan die onafhankelijk van het model of de MCP-server authenticatie, autorisatie en auditing uitvoert.

Ten vijfde: eis audittrails van bewijskwaliteit. De Kiteworks Forecast vond dat 33% van de organisaties geen audittrails heeft voor AI-operaties en 61% gefragmenteerde logs heeft die niet bruikbaar zijn bij onderzoek. Wanneer de volgende MCP-pivot plaatsvindt — en dat zal gebeuren — is het verschil tussen een ingeperkt incident en een openbaar gemaakt datalek of je exact kunt reconstrueren wat de agent deed en waarom. Manipulatiebestendige logs die in real time naar SIEM worden gestreamd zijn de basis.

Ten zesde: zet AI-governance op de agenda van de raad van bestuur dit kwartaal. De Kiteworks Forecast vond dat 54% van de raden van bestuur niet betrokken is bij AI-governance, en die organisaties lopen 26 tot 28 punten achter op elke AI-control metric. De MCP-onthulling is precies het soort gebeurtenis dat het gesprek van abstract naar concreet brengt. Maak er gebruik van.

Het tijdperk waarin MCP als experimenteel gemak werd behandeld is voorbij. Het is nu productie-infrastructuur, en het is zojuist aangetoond als het zwakste draaipunt in de enterprise AI supply chain. De organisaties die binnen zestig dagen governance naar de datalaag verplaatsen, zijn in staat AI te blijven inzetten. Degenen die blijven hopen dat de volgende patch het oplost, zijn dat niet.

Veelgestelde vragen

1. Ons team zet MCP-servers in om onze AI-assistenten te verbinden met interne systemen — hoe moeten we het beveiligingsmodel zien na deze onthulling?

Behandel elke MCP-server als kritieke infrastructuur voor de datalaag, niet als handige integratie. Authenticeer elke tool met een eigen, afgebakende serviceaccount, handhaaf least-privilege per tool, valideer alle input en log elke tool-call in real time naar SIEM. Het belangrijkste: vertrouw niet op de agent of het protocol om beleid af te dwingen — doe dit op de data access layer, waar een gecompromitteerde MCP-server het niet kan omzeilen. Zie Kiteworks Secure MCP Server voor de referentiearchitectuur.

2. We draaien een RAG-pipeline met bedrijfsdata — heeft het MCP-probleem ook impact op programmatische AI-workflows, niet alleen interactieve assistenten?

Ja. De WEF Global Cybersecurity Outlook 2026 documenteert dat agentic AI nu over de volledige aanvalscyclus is gebruikt in productiecampagnes. Beheerde RAG vereist dezelfde handhaving op de datalaag als interactieve MCP: elk AI-dataverzoek geauthenticeerd, geautoriseerd volgens beleid en gelogd voordat data wordt teruggegeven.

3. Kunnen onze bestaande DLP-, WAF- of EDR-tools data-exfiltratie via een gecompromitteerde MCP-server detecteren?

Over het algemeen niet. Legacy perimeter- en endpointtools zijn ontworpen om door mensen geïnitieerd verkeer en bestandsbewegingen te inspecteren; ze zijn architectonisch blind voor machine-to-machine AI-workflowverkeer. Een gecompromitteerde MCP-server die data exfiltreert ziet eruit als legitieme, goedgekeurde AI-activiteit. De Kiteworks 2026 Forecast vond dat 60% van de organisaties geen AI-specifieke anomaliedetectie heeft. Governance moet naar de datalaag worden verplaatst.

4. Wij zijn actief in de zorg en vallen onder HIPAA — hoe ziet de regulatoire blootstelling eruit als een AI-agent PHI exfiltreert via een gecompromitteerde MCP-connector?

De blootstelling is aanzienlijk. HIPAA-naleving vereist manipulatiebestendige auditlogs en gedocumenteerde toegangscontroles, ongeacht of de toegang menselijk of agentic was. De Kiteworks 2026 Forecast vond dat 77% van de zorgorganisaties geen gecentraliseerde AI Data Gateway heeft en 14% helemaal geen AI-controles. Zonder een beheerde datalaag die elk AI-verzoek logt, kunnen organisaties niet de toegangscontroledocumentatie aantonen die HIPAA verwacht — waardoor een incident een meldingsplichtig datalek wordt.

5. Onze raad van bestuur vraagt wat de MCP-onthulling betekent voor onze AI-strategie — hoe informeren we hen zonder te over- of onderreageren?

Benader het als een architectuurbeslissing, niet als een incident. De IT Pro rapportage stelt vast dat het probleem systemisch is en het hele MCP-ecosysteem raakt, niet één enkele leverancier. De vraag op bestuursniveau is of de AI-inzet van de organisatie governance op de datalaag heeft, of dat wordt vertrouwd op het model en het protocol. De Kiteworks Forecast vond dat 54% van de raden van bestuur niet betrokken is bij AI-governance; die organisaties lopen 26–28 punten achter op elke AI-control metric.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks