AI-agents vragen om een nieuwe vorm van Zero Trust

Zo bleek GitLab’s AI Assistant Duo kwetsbaar voor code-diefstal via prompt injection, en werd de Google Gemini CLI-tool binnen 48 uur misleid door verborgen commando’s. Ook het Britse National Cyber Security Centre (NCSC) waarschuwde recent dat een recruitmentssysteem dat CV’s beoordeelt, kan worden gemanipuleerd. In al deze gevallen voert de agent onbedoeld taken uit buiten zijn rol, waardoor vertrouwelijke data kan lekken, zonder traditionele softwarefouten of netwerkinbraken.

Het probleem is dat we AI-agents als tools behandelen, terwijl ze zich gedragen als medewerkers met eigen identiteit en toegang tot gevoelige data. Het gaat niet alleen om “Mag deze agent dit?”, maar ook “Wat is de intentie van de agent?” Het traditionele Zero Trust-principe ‘never trust, always verify’ kijkt vooral naar gebruiker, apparaat en context. Bij AI-agents schiet dat tekort; hun gedrag is dynamisch en onvoorspelbaar. Ze kunnen instructies onverwacht interpreteren, waardoor ze binnen hun rechten blijven maar iets doen wat nooit de bedoeling was.

Zero Trust 2.0

Betekent dit dat Zero Trust achterhaald is? Integendeel. Het principe blijft staan, maar de invulling moet evolueren. We moeten niet alleen verifiëren wie toegang krijgt, maar ook wat een agent doet en of dat gedrag nog past bij zijn rol. Dat vraagt om een herziening van onze securityworkflows.

AI-agents moeten een expliciete identiteit en duidelijke rol krijgen, want generieke toegang is simpelweg te risicovol. Een agent die facturen verwerkt heeft bijvoorbeeld geen reden om het volledige betalingssysteem te zien. Daarnaast is dynamische segmentatie essentieel. Door agents in gecontroleerde netwerksegmenten te plaatsen, beperk je hun bewegingsvrijheid binnen de infrastructuur. Mocht een agent gecompromitteerd raken, dan blijft een incident geïsoleerd en beheersbaar.

Ook inhoudelijke inspectie wordt een cruciaal onderdeel van moderne security. Het is niet langer voldoende om alleen te controleren of een systeem toegang heeft; we moeten ook kijken naar de intentie achter het gedrag. Communicatie en acties van agents moeten worden gemonitord op afwijkingen. Wanneer een agent gedrag vertoont dat niet past bij zijn rol of taak moet dat direct leiden tot een blokkade, nog voordat de actie daadwerkelijk wordt uitgevoerd.

Tot slot is contextuele logging onmisbaar. Het registreren van een uitgevoerde actie alleen is niet meer genoeg. We moeten ook vastleggen welke instructie of welke context tot dat besluit heeft geleid. Waarom nam de agent deze stap en op basis van welke input gebeurde dat? Dit soort inzichten helpt om patronen te herkennen, afwijkingen sneller te detecteren en toekomstige aanvallen beter te voorkomen.

De volgende stap in de security-roadmap

De opkomst van AI-agents is een enorme kans voor productiviteit, maar het brengt nieuwe risico’s met zich mee. Door Zero Trust uit te breiden met gedragsanalyse en realtime monitoring, transformeren we onze beveiliging van een statische muur naar een adaptief systeem. Het gaat niet langer alleen om verifiëren wie er binnenkomt, maar om begrijpen wat er binnen gebeurt. Zo bouwen we aan een toekomstbestendige infrastructuur die de snelheid en intelligentie van AI optimaal ondersteunt, zonder de veiligheid uit het oog te verliezen.