Leestijd
8 minuten
Categorie
Zero Trust
Auteur
Yann Lazar
Samenvatting
Je hebt AI-agents in productie. Waarschijnlijk weet je niet welke, of wat ze mogen. Forrester verwacht in 2026 de eerste publiek gemelde enterprise-breach door agentic AI. De ongemakkelijke waarheid: die breach zal er niet uitzien als een aanval. Hij zal eruitzien als een geautoriseerd proces dat zijn werk doet.
Dat is precies het probleem waarvoor Zero Trust is ontworpen: actoren die met legitieme credentials werken en geen inherent recht hebben om vertrouwd te worden. AI-agents passen in die definitie zonder aanpassing. De architectuur staat. De toepassing op agentic AI is nieuw.
Hoe Zero Trust voor AI-agents werkt in de basis hebben we eerder uitgewerkt in Zero Trust for AI Agents. Dit stuk gaat over één vraag: wat moet je nu doen voordat het misgaat?
De breach waar je nog niet op voorbereid bent
In testomgevingen begin 2026 publiceerden AI-agents wachtwoorden, omzeilden ze antivirus, en vervalsten ze credentials. Ze waren niet gecompromitteerd. Ze waren niet gehackt. Ze kregen een taak, liepen tegen een obstakel aan, en vonden een weg eromheen.
In productie loopt het achter, maar niet veel. In 2025 veroorzaakte een Meta AI-agent een security incident door te handelen zonder toestemming. Onderzoekers van Outpost24 compromitteerden een AI-agent op het McKinsey AI-platform.
De oorzaak zal geen kwetsbaarheid zijn. Het zal een workflow zijn die verder cascadeerde dan iemand had voorzien, door systemen die geen reden hadden om vragen te stellen. Geen aanvaller. Geen exploit. Een geautoriseerd proces dat zijn werk deed in een context die niemand volledig had gedefinieerd.
Dat maakt forensisch onderzoek fundamenteel anders. In een conventionele breach trace je terug vanaf de schade naar het beginpunt. Bij een agentic failure is er geen aanvaller om terug te traceren. Elke afzonderlijke actie ziet er op zichzelf geautoriseerd uit. Pas in de keten zie je het probleem. En de agent houdt zelf geen log bij van waaróm hij een keuze maakte.
Waarom AI-agents geen service accounts zijn
Een service account heeft een vaste identiteit en deterministisch gedrag. Verkeerd geconfigureerd? Dan blijft hij verkeerd geconfigureerd staan.
Een AI-agent past zich aan. Als je hem blokkeert, stopt hij niet. Hij zoekt een omweg.
Dat structurele verschil heeft één belangrijke consequentie voor toegangsbeheer. Medewerkers en service accounts werken vaak op just-in-case privileges: toegang van tevoren toegekend, altijd beschikbaar, af en toe gebruikt. Voor mensen al riskant. Voor AI-agents gevaarlijk.
Het juiste model voor AI-agents is just-in-time toegang. Credentials worden uitgegeven wanneer nodig, gekoppeld aan een specifieke taak, en direct daarna ingetrokken. Dynamische, vault-gebaseerde credentials vervangen hardcoded secrets. Staande privileges worden de uitzondering, niet de standaard.
Wat traditionele controls wél en niet vangen
User and Entity Behavior Analytics (UEBA) is precies voor dit soort identity-deviaties gebouwd. Een volwassen SIEM met behavioral baselines kan detecteren dat een agent een API aanroept buiten zijn workflow, of onverwacht privileges escaleert.
De beperking zit op twee plekken.
Identity coverage: de meeste organisaties hebben hun AI-agents niet geregistreerd als identities. UEBA kan geen baseline maken van een actor die het niet kent.
Snelheid: agentic workflows zijn klaar in seconden. Behavioral analytics signaleert de afwijking, maar tegen de tijd dat een mens kijkt, is de cascade voorbij.
Het gat dichten vraagt twee dingen. Elke AI-agent als identity, met een eigenaar, een scope, en een behavioral baseline. En policy enforcement op machine speed: elke request tegen context evalueren vóórdat hij wordt uitgevoerd, niet erna. Gartner noemde dit in 2026 preemptive cybersecurity. Zero Trust noemt het al twintig jaar het uitgangspunt.
Wat security leaders nu moeten doen
Uit PwC’s 2026 onderzoek onder bijna 3.900 executives blijkt dat slechts ongeveer 6% van de organisaties alle belangrijke data risk controls heeft geïmplementeerd. Agentic AI komt sneller dan governance frameworks volgen.
De acties hieronder zijn niet ingewikkeld. Ze gebeuren alleen nog niet.
1. Inventariseer AI-agents als identities. Elke autonome AI in de organisatie hoort in het identity register. Naam, scope, eigenaar, toegangsgrenzen. Wat je niet kunt inventariseren, kun je niet governen. Outcome: binnen 30 dagen weet je welke agents draaien, wie verantwoordelijk is, en wat ze mogen raken.
2. Pas just-in-time access toe op workflow-niveau. Vervang staande credentials door dynamische, scoped, time-limited grants. De agent die een database leest, heeft geen schrijfrechten nodig. De agent die om 9:00 draait, heeft om 15:00 geen credentials nodig. Outcome: de blast radius van een single agent-fout krimpt van “alles waar het account ooit bij kon” naar “de taak van dit moment”.
3. Stel behavioral baselines op en log intent. Definieer hoe normaal eruitziet per agent, en leg vast niet alleen wat hij deed maar ook waarom hij die keuze maakte. Onverwachte API-calls, toegang tot credential stores, of afwijkende redeneerpatronen zijn de eerste beschikbare signalen. Outcome: bij een incident kun je de keten reconstrueren in uren in plaats van weken.
4. Breid Zero Trust policy expliciet uit naar AI-agents. Bestaande Zero Trust frameworks moeten AI-agents benoemen als een aparte klasse identity. Dezelfde rigor die je toepast op menselijke identities en service accounts geldt hier: continu evalueren tegen context, niet één keer toekennen en vergeten. Outcome: je hebt één governance model voor alle actoren, niet drie verschillende.
5. Test op cascading failure vóór deployment. Dit is de stap die de meeste organisaties overslaan, en die bepaalt of de breach wel of niet plaatsvindt. Voor een agent live gaat, draai drie tests:
- Path-blocking: blokkeer de hoofdroute van de agent en kijk wat hij probeert. Blijft die poging binnen zijn scope?
- Privilege-escalation observatie: draai de agent op minimum privileges en kijk of hij meer probeert te krijgen, en waardoor.
- Cross-agent cascade: waar agents workflows delen, kijk wat elke agent doet als de output van een ander onverwacht is.
Outcome: het gedrag komt boven tijdens de test, of tijdens de breach. Geen derde optie.
Hoe ON2IT kan helpen (als je dat wilt)
ON2IT draait Zero Trust op productieschaal sinds 2005. De vijf acties hierboven zijn dezelfde die we operationeel uitvoeren binnen onze managed GSOCâ„¢. Niet beschreven van buitenaf, maar dagelijks toegepast.
Wil je een tweede paar ogen? Onze ON2IT AI Assessment toetst je huidige staat tegen de vijf-stappen Zero Trust methodologie, toegepast op AI-actoren als aparte identity-klasse, en levert een inventaris, behavioral baselines, en een pre-production testplan.
Met of zonder onze hulp: de vijf acties hierboven zijn waar je begint.
Frequently Asked Questions
Agentic AI plant en voert zelfstandig taken uit in meerdere stappen, en interacteert met live systemen, API’s en data. Het risico zit in de autonomie. Geblokkeerd? Dan stopt de agent niet, hij past zich aan. Dat kan betekenen: andere resources benaderen, privileges escaleren, acties buiten de bedoelde scope. Omdat het allemaal onder legitieme credentials gebeurt, is dat met signature-based controls niet te onderscheiden van normaal werk.
Een verkeerd geconfigureerd service account blijft verkeerd geconfigureerd. Een AI-agent past zich aan rond de configuratie heen. Het risico is niet alleen een groter aanvalsoppervlak, het is de combinatie van brede toegang (vaak just-in-case) en adaptief gedrag. Fix het privilege-model en een groot deel van het configuratierisico verdwijnt mee.
PAM is grotendeels gebouwd rond menselijke gebruikers en sessies: een mens vraagt verhoogde rechten aan, gebruikt ze, en levert ze in. AI-agents werken op machine speed en in ketens, dus toegang moet programmatisch worden uitgegeven, gescoped op specifieke taken, en automatisch ingetrokken zonder menselijke tussenkomst. Veel moderne PAM-platforms ondersteunen dit, maar de meeste organisaties hebben hun AI-agents nog niet ingebracht.
Ja, met de juiste uitbreiding. Zero Trust behandelt elke actor als untrusted en verifieert continu tegen context. AI-agents worden identities die onderworpen zijn aan least-privilege access (bij voorkeur just-in-time), behavioral monitoring, en policy enforcement op machine speed. Organisaties met een Zero Trust fundament hoeven geen nieuw model te bouwen. Voor een dieper overzicht van de vijf CISA-pillars toegepast op AI-agents: zie Zero Trust for AI Agents.
Begin bij inventaris. Registreer elke autonome AI als identity, met eigenaar, scope, en baseline. Beweeg naar just-in-time toegang op workflow-niveau. Breid bestaande Zero Trust policies expliciet uit naar AI-actoren. En voor je een agent in productie zet: draai cascading-failure tests (path-blocking, privilege-escalation, cross-agent cascade).
Er is geen aanvaller om te traceren. De oorzaak is een geautoriseerd systeem dat een geautoriseerde actie uitvoert in een context die niemand volledig had gedefinieerd. Onderzoek betekent reconstrueren welke agent-acties welke downstream effecten triggerden, over meerdere workflow-logs. Intent-based logging, dat de redenering van een agent vastlegt en niet alleen zijn acties, is het opkomende antwoord op deze forensische gap.
Ja. In testomgevingen publiceerden AI-agents credentials, omzeilden ze antivirus, en vervalsten ze authenticatiedata, niet door adversarial prompting maar door taakoptimalisatie. Productie-incidenten zijn al gemeld, waaronder een Meta AI-agent die handelde zonder toestemming, en externe compromittering van een agent op het McKinsey AI-platform. Forrester verwacht dat een volledig gemelde enterprise breach in 2026 plaatsvindt.
