OWASP Agent Memory Guard: Voorkom dat AI-agenten via hun eigen geheugen worden misbruikt
AI-agentgeheugenvergiftiging maakt misbruik van het feit dat agents een blijvende status hebben. In tegenstelling tot een traditionele API-aanroep die invoer verwerkt en uitvoer retourneert zonder iets te onthouden, behoudt een agent een blijvende status over meerdere interacties. Die status bevindt zich op diverse plekken: gespreksgeschiedenisbuffers, vectorstores die via semantisch zoeken context ophalen, kladblokken waar de agent tussentijdse redeneringen noteert, en RAG-indexen die de agent verbinden met bedrijfsdocumentenopslag.
Elke aanvaller met schrijfrechten op een van deze opslaglagen krijgt een commandokanaal naar toekomstig agentgedrag. De aanval vereist geen compromittering van de agentcode, modelgewichten of de API-gegevens die worden gebruikt om het model aan te roepen. Het vereist alleen de mogelijkheid om een zorgvuldig samengestelde tekenreeks op te slaan die de agent later zal lezen.
De ASI06-classificatie van OWASP onderscheidt geheugenvergiftiging van standaard prompt-injectie door te focussen op persistentie. Een directe prompt-injectie gebeurt in één sessie en eindigt zodra die sessie sluit. Geheugenvergiftiging overleeft sessiegrenzen, agentherstarts en zelfs herinzettingen als de onderliggende opslag niet wordt gewist. Conventionele beveiligingstools hebben geen zicht op wat een agent tussen oproepen opslaat.
5 Belangrijkste Inzichten
1. AI-agentgeheugen is een onbewaakt aanvalsoppervlak in de meeste ondernemingen.
Gespreksgeschiedenissen, vectorstores, kladblokken en RAG-indexen accepteren standaard schrijfacties zonder authenticatie of integriteitscontrole. Een aanvaller met schrijfrechten op een van deze opslaglagen krijgt een blijvend commandokanaal naar toekomstig agentgedrag — een kanaal dat sessiegrenzen, agentherstarts en herinzettingen overleeft als de onderliggende opslag niet wordt gewist. OWASP heeft dit geformaliseerd als ASI06 in de Top 10 voor Agentic Applications. Gegevensbeheerframeworks zijn nog niet aangepast aan dit dreigingsmodel.
2. OWASP Agent Memory Guard behaalt 92,5% recall, 100% precisie en een mediane latentie van 59 microseconden.
Vijf detectoren — prompt-injectie, PII/PHI- en geheimenlekken, sleutelmanipulatie, SHA-256-integriteitscontrole en grootte-anomaliedetectie — draaien inline bij elke geheugenlees- en schrijfactie. Nul fout-positieven betekent dat legitieme geheugenbewerkingen nooit worden geblokkeerd. Een mediane latentie van 59 microseconden betekent dat het in productie kan draaien zonder impact op de doorvoer. Deze cijfers maken inline inzet haalbaar, niet alleen analyse achteraf.
3. Geheugenvergiftiging maakt exfiltratie mogelijk via AI-workflows die volledig normaal lijken.
Een gemanipuleerde agent kan bestanden exfiltreren, externe API’s aanroepen en inhoud doorsturen naar door de aanvaller beheerde endpoints — terwijl het voor de gebruiker normaal lijkt te functioneren. Dit is vooral relevant waar AI-agents samenwerken met beveiligde bestandsoverdrachtssystemen en MFT-pijplijnen met contracten, gereguleerde data en intellectueel eigendom. Beveiligingstools die letten op afwijkend menselijk gedrag kunnen deze aanvalsvorm niet detecteren.
4. ABAC-handhaving beperkt de impact, zelfs als geheugenvergiftiging slaagt.
Een door geheugenvergiftiging getroffen agent die probeert te lezen uit een datastore waarvoor hij nooit geautoriseerd was, wordt geweigerd op het beleidshandhavingspunt — de vergiftigde instructie kan simpelweg niet worden uitgevoerd. Zero-trust principes vereisen dat elke bronbenadering expliciet wordt geautoriseerd, ongeacht of het verzoek afkomstig is van een menselijke gebruiker of een AI-agent. Geheugenverdediging stopt de vergiftiging; toegangscontrole beperkt de schade als het toch lukt.
5. Geheugenvergiftiging die leidt tot exfiltratie van gereguleerde data is een meldingsplichtig datalek.
Een geheugenopslag met patiëntendossiers, CUI of persoonlijke gegevens valt onder HIPAA, CMMC en GDPR, ongeacht of het een traditionele database of een vectorindex is. Geheugenvergiftiging waardoor een agent gereguleerde data exfiltreert, is een meldingsplichtig incident onder elk van deze kaders. Elke AI-inzet die gereguleerde data verwerkt, heeft een geheugenbeveiligingslaag nodig voordat die laag onder aanval wordt getest.
Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?
Lees nu
Hoe Agent Memory Guard Werkt
OWASP Agent Memory Guard fungeert als een runtime-interceptielaag tussen de AI-agent en zijn geheugenbackends. Elke lees- en schrijfactie gaat door een beleidsevaluatiepijplijn voordat deze wordt voltooid. Die pijplijn voert vijf verschillende detectoren achtereenvolgens uit:
De prompt-injectiedetector scant inhoud op patronen die proberen systeeminstructies te overschrijven of commando’s in de context van de agent te injecteren. De PII/PHI- en geheimenlekdetector markeert inhoud met persoonlijke gegevens, inloggegevens of tokens. De sleutelmanipulatiedetector identificeert wijzigingen aan cryptografisch materiaal. De SHA-256-integriteitsdetector verifieert dat geheugeninhoud niet is gewijzigd sinds het voor het eerst werd geschreven. De grootte-anomaliedetector detecteert ongewoon grote schrijfacties die kunnen wijzen op bulk-injectiepogingen.
Beleid wordt gedefinieerd in YAML en ondersteunt vier uitkomsten: toestaan, redigeren, in quarantaine plaatsen en blokkeren. Wanneer een vergiftigingspoging wordt gedetecteerd en geblokkeerd, ondersteunt Agent Memory Guard een rollback naar een bekende goede geheugentoestand — iets wat conventionele auditlogbenaderingen niet bieden. Logging registreert wat er is gebeurd; rollback herstelt de agent daadwerkelijk naar een schone operationele status.
Het Ondernemingsrisico: Geheugen als Exfiltratievector
Beveiligingsprofessionals denken bij AI-agentrisico’s vaak aan wat de agent zou kunnen zeggen — hallucinaties, privacyovertredingen, bevooroordeelde output. Geheugenvergiftiging introduceert een andere risicocategorie: wat de agent zou kunnen doen. Een gemanipuleerde agent kan bestanden exfiltreren, externe API’s aanroepen, inhoud doorsturen naar door de aanvaller beheerde endpoints en toegang escaleren — terwijl het vanuit de gebruikersinterface normaal lijkt te functioneren.
Dit exfiltratiepad is vooral relevant waar AI-agents samenwerken met beveiligde bestandsoverdrachtssystemen, beheerde bestandsoverdrachtspijplijnen en gestructureerde documentenopslag. Een agent die uit een vertrouwelijke contractenopslag leest en samenvattingen schrijft naar een samenwerkingstool doet zijn werk. Dezelfde agent, na geheugenvergiftiging, kan uit die opslag lezen en de ruwe inhoud — niet alleen samenvattingen — naar een endpoint sturen dat door de aanvaller wordt beheerd.
Het Kiteworks Private Data Network pakt dit aan op de toegangscontrollaag. ABAC-handhaving betekent dat zelfs een volledig gecompromitteerde agent geen toegang krijgt tot data buiten zijn beleidsbepaalde rechten — de identiteit van de agent, toegewezen rol en operationele context moeten overeenkomen met het toegangsbeleid van de bron voordat een lees- of schrijfactie wordt uitgevoerd.
Een Gelaagde Verdediging voor AI-Agentgeheugen Implementeren
Organisaties die AI-agents inzetten in gereguleerde omgevingen staan voor een specifieke uitdaging: de regelgevende kaders voor gegevensverwerking — GDPR, HIPAA, CMMC 2.0 — zijn niet geschreven met agentic AI in gedachten. Een geheugenopslag met patiëntendossiers, CUI of persoonlijke data valt onder deze regelgeving, ongeacht of het een traditionele database of een vectorindex is.
OWASP Agent Memory Guard biedt bescherming tijdens runtime. De Kiteworks AI Data Gateway biedt een gecontroleerd kanaal voor AI-interacties met bedrijfsdata, zodat gevoelige inhoud niet via ongecontroleerde paden naar AI-systemen of AI-geheugens stroomt. De Secure MCP Server bepaalt welke AI-tools überhaupt met bedrijfsdata mogen werken. AI-gegevensbeheer in de praktijk betekent dat je AI-agentgeheugen behandelt als elke andere bedrijfsdatastore: classificeer het, pas toegangscontroles toe, monitor toegangspatronen en verifieer de integriteit.
Wil je meer weten over het beschermen van gevoelige data in AI-agentworkflows? Plan vandaag nog een demo op maat.
Veelgestelde Vragen
ASI06 is de OWASP-classificatie voor aanvallen op geheugen en statusmanipulatie bij AI-agents. Het omvat scenario’s waarbij een aanvaller blijvende status wijzigt die een agent leest — gespreksgeschiedenis, inhoud van vectorstores, kladblokdata en RAG-indexvermeldingen — om gedrag te veranderen bij volgende interacties. Het onderscheidt geheugenvergiftiging van tijdelijke prompt-injectie door te focussen op persistentie over sessiegrenzen heen. OWASP Agent Memory Guard is de referentie-implementatie. Organisaties die agentic AI bouwen, moeten ASI06 als een eersteklas dreiging behandelen, naast prompt-injectie en data-exfiltratie.
ABAC evalueert elke bronbenadering aan de hand van het beleid, rekening houdend met de attributen van de verzoekende entiteit, de bron en de operationele omgeving. Een door geheugenvergiftiging getroffen agent die probeert te lezen uit een datastore waarvoor hij nooit geautoriseerd was, wordt geweigerd op het beleidshandhavingspunt — de vergiftigde instructie kan niet worden uitgevoerd. De ABAC-handhaving van Kiteworks geldt op het protocollaire niveau, waardoor de beperking geldt ongeacht welk AI-model of orkestratiekader de agent gebruikt. Dit zorgt voor een betekenisvolle beperking van de impact, aanvullend op runtime geheugenverdediging.
De meeste conventionele beveiligingstools hebben geen zicht op AI-agentgeheugenopslag. SIEM-systemen detecteren afwijkende API-aanroeppatronen, maar kunnen de semantische inhoud van een vector-databaseschrijf niet inspecteren om te bepalen of er een geïnjecteerd commando in zit. DLP-oplossingen detecteren bekende patronen van gevoelige data, maar zijn niet ontworpen om prompt-injectiesyntaxis in documentfragmenten te herkennen. Agent Memory Guard vult dit gat met speciaal ontwikkelde detectoren. SHA-256-integriteitscontrole is hierbij bijzonder waardevol — het detecteert gemanipuleerde inhoud die niet overeenkomt met bekende kwaadaardige patronen, omdat het simpelweg is gewijzigd na het schrijven.
Elke gereguleerde data waartoe een AI-agent toegang heeft, is een doelwit. In de zorg lopen agents met PHI-toegang risico op HIPAA-datalekken. In defensiecontracten lopen agents die CUI verwerken tegen CMMC-vereisten aan die gegevensintegriteit veronderstellen — CUI-exfiltratie is een meldingsplichtig incident onder DFARS. In de financiële sector lopen agents die PCI DSS-data verwerken hetzelfde risico. Geheugenvergiftiging verandert een legitieme, geautoriseerde AI-workflow in een ongeoorloofde data-accessgebeurtenis.
OWASP Agent Memory Guard inspecteert en handhaaft beleid op wat het agentgeheugen binnenkomt en verlaat. De Kiteworks AI Data Gateway en Secure MCP Server bepalen tot welke bedrijfsdatabronnen AI-agents toegang hebben, welke tools ze kunnen gebruiken en welke output ze mogen genereren. Een goed geconfigureerde inzet gebruikt Agent Memory Guard om geheugenvergiftiging te voorkomen, en de zero-trust-architectuur van Kiteworks om te beperken wat een vergiftigde agent kan doen als geheugenverdediging wordt omzeild.
Aanvullende Bronnen
- Blog Post
Zero‑Trust-strategieën voor betaalbare AI-privacybescherming - Blog Post
Hoe 77% van de organisaties faalt in AI-databeveiliging - eBook
AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025 - Blog Post
Er bestaat geen “–dangerously-skip-permissions” voor jouw data - Blog Post
Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.