Het is nog maar drie jaar geleden dat ChatGPT met veel succes werd geïntroduceerd. Maar de sector kijkt inmiddels alweer uit naar de volgende grote innovatie: agentic AI. Zoals te verwachten was, loopt OpenAI weer voorop met zijn nieuwe ChatGPT-agent, die belooft ‘taken van begin tot einde af te handelen’ voor zijn gebruikers. Helaas gaat grotere autonomie ook gepaard met grotere risico’s.
De uitdaging voor IT- en beveiligingsteams is om te zorgen dat hun gebruikers de technologie kunnen gebruiken zonder de organisatie bloot te stellen aan nieuwe dreigingen. Gelukkig is er al een aanpak die hen hierbij kan helpen: zero trust.
Grote voordelen, maar ook nieuwe risico’s
Agentic AI-systemen zetten een enorme stap voorwaarts in vergelijking met generatieve AI (GenAI) chatbots. Deze laatste creëert en vat content reactief samen op basis van prompts, terwijl agentic AI proactief plant, redeneert en autonoom actie onderneemt om complexe taken bestaande uit meerdere stappen uit te voeren. Agentic AI kan zelfs zijn plannen direct bijstellen als er nieuwe informatie bekend is.
We weten dat deze technologie potentiële grote voordelen op kan leveren voor productiviteit, efficiëntie en de kosten. Gartner voorspelt dat agentic AI tegen 2029 “80% van de veelvoorkomende problemen die binnenkomen bij de klantenservice autonoom op kan lossen zonder menselijke tussenkomst, wat zal leiden tot 30% minder operationele kosten”.
Maar de mogelijkheden die agentic AI zo interessant maken voor organisaties, zijn echter ook reden tot bezorgdheid. Bij onvoldoende toezicht, kunnen kwaadwillenden de acties van een AI-agent kunnen aanvallen en ondermijnen zonder dat dit alarmbellen doet rinkelen bij gebruikers. Omdat deze AI-agents beslissingen kunnen nemen met soms onomkeerbare gevolgen, zoals het verwijderen van bestanden of het versturen van e-mails naar de verkeerde ontvanger, kan het meer schade aanrichten tenzij er beveiligingsmaatregelen worden ingebouwd.
Bovendien kunnen agents plannen maken en redeneren over verschillende domeinen, waardoor er meer mogelijkheden zijn voor kwaadwillenden om ze te manipuleren, bijvoorbeeld via indirecte promptinjectie. Dit gebeurt door simpelweg een kwaadaardige prompt in te bedden in de webpagina die een agent bezoekt. Omdat agents diep zijn geïntegreerd in het bredere digitale ecosysteem, is er vervolgens een grotere kans op een inbreuk op zeer gevoelige accounts en informatie. Daarnaast zijn er potentieel aanzienlijke privacyrisico’s, aangezien agents diepgaande kennis kunnen opbouwen over het gedrag van
hun gebruikers.
Waarom toegangscontrole belangrijk is
Om deze uitdagingen aan te pakken, moeten organisaties beginnen met identity and access management (IAM). Als organisaties een digitale workforce willen creëren bestaande uit agents, moeten ze de identiteiten, inloggegevens en machtigingen beheren die nodig zijn om werk uit te voeren. Veel van de huidige agents zijn echter eerder generalisten dan specialisten. De ChatGPT-agent is een goed voorbeeld: het kan meetings inplannen, e-mails versturen, communiceren met websites en nog veel meer. Dankzij deze flexibiliteit is het een krachtig hulpmiddel. Maar daardoor is het ook lastiger om traditionele controlemodellen voor toegang toe te passen. Deze zijn namelijk gebaseerd op menselijke rollen met duidelijke verantwoordelijkheden.
Als een generalistische agent wordt gemanipuleerd via een indirecte promptinjectie-aanval, dan kunnen te ruime toegangsrechten een zwakke plek zijn, waardoor een aanvaller brede toegang krijgt tot gevoelige systemen. Daarom moeten we toegangscontroles herzien voor het tijdperk van agentic AI. We moeten het motto van zero trust hanteren: ‘never trust, always verify’.
Zero trust toepassen
Hoe ziet zero trust er dan uit in een agentic AI-omgeving? Ga er als eerste altijd van uit dat agents onbedoelde en moeilijk te voorspellen acties zullen uitvoeren – iets wat zelfs OpenAI erkent. Daarnaast is het belangrijk om AI-agents niet langer te zien als uitbreidingen van bestaande gebruikersaccounts. Behandel ze in plaats daarvan als afzonderlijke identiteiten met hun eigen inloggegevens en machtigingen. Toegangsbeheer moet zowel worden afgedwongen op het niveau van de agent als op dat van de tool. Je moet dus bepalen tot welke resources agents toegang nodig hebben. Meer gedetailleerde controles zoals deze zorgen ervoor dat machtigingen aansluiten op elke taak. Zie het als ‘segmentatie’, maar niet in de traditionele zero trust betekenis van netwerksegmentatie. Organisaties moeten de machtigingen van agents beperken zodat ze alleen toegang hebben tot de systemen en data die ze nodig hebben om hun werk uit te voeren, meer niet. In sommige situaties kan het bijvoorbeeld nuttig zijn om ook tijdgebonden machtigingen toe te passen.
Daarna volgt multifactorauthenticatie (MFA). Helaas is traditionele MFA niet erg geschikt voor agents. Als een agent is gecompromitteerd, voegt het weinig beveiliging toe als je vraagt om een tweede factor. In plaats daarvan kan menselijk toezicht een tweede verificatielaag zijn, vooral voor risicovolle acties. Dit moet wel worden afgewogen tegen het risico van consent fatigue: als agents te veel bevestigingen vragen, dan gaan gebruikers wellicht acties goedkeuren vanuit een reflex.
Organisaties moeten ook inzicht hebben in wat agents doen. Ze moeten een systeem opzetten om hun acties te loggen en ongebruikelijk gedrag te monitoren. Dit is een belangrijk onderdeel van zero trust en het is essentieel voor zowel de veiligheid als de verantwoordingsplicht.
We zitten nog in de begindagen van agentic AI. Maar als organisaties de mogelijkheden van de technologie willen omarmen en acties willen uitvoeren met minimaal toezicht, dan moeten ze zeker weten dat risico’s op een juiste manier worden beheerd. De beste manier om dit te doen, is door nooit iets standaard te vertrouwen.
Lees ook: Agentic AI Foundation ontfermt zich over de toekomst van MCP