Agentic AI ontwikkelt zich razendsnel. AI-agents nemen steeds vaker zelfstandig beslissingen, voeren taken uit namens gebruikers en automatiseren complete bedrijfsprocessen. Dit biedt organisaties enorme kansen om efficiënter te werken. Tegelijkertijd vergroot de toenemende autonomie van AI-agents de kans op nieuwe beveiligingsrisico’s, die nog vaak over het hoofd worden gezien. Want hoe weet je of een AI-agent daadwerkelijk is wie hij zegt dat hij is? Deze vraag krijgt vooralsnog veel te weinig aandacht, ondanks dat de identiteit van een AI-agent de basis is voor veilig gebruik.
Vanuit beveiligingsperspectief vormt een AI-agent hierop geen uitzondering. Het is simpelweg een workload: een stuk software dat ergens draait. De beveiligingsprincipes die organisaties de afgelopen jaren voor workloads hebben ontwikkeld, zijn daarom ook van toepassing op AI-agents. Wie deze principes negeert, loopt het risico om oude beveiligingsproblemen opnieuw te introduceren.
Wanneer een AI-agent handelt namens de gebruiker
Het grootste probleem ontstaat wanneer een AI-agent zelfstandig namens een gebruiker opereert.
Veel agents draaien lokaal op het apparaat van de gebruiker. Daardoor nemen zij automatisch de context én toegangsrechten van de gebruiker over. Voor het netwerk lijkt hun verkeer daardoor op regulier gebruikersverkeer. Dit maakt het lastig om onderscheid te maken tussen menselijke en geautomatiseerde activiteit.
Dus wanneer een agent op een phishinglink klikt of vertrouwelijke informatie deelt, lijkt het alsof de gebruiker die handeling zelf heeft uitgevoerd. Dit is vooral gevaarlijk wanneer een agent toegang heeft tot interne documenten, e-mail en andere gevoelige bedrijfsgegevens. Wanneer een agent wordt gecompromitteerd of een verkeerde beslissing neemt, bestaat het risico op een ernstig datalek.
Nog groter zijn de risico’s van AI-agents die meerdere gebruikers bedienen. Deze agents beschikken vaak over runtimebevoegdheden om hun werk te kunnen doen. Zonder goede autorisatie kunnen zij daardoor onbedoeld de toegangsrechten van individuele medewerkers omzeilen.
Neem bijvoorbeeld een medewerker die geen salarisgegevens van collega’s mag inzien. Als een AI-agent een verzoek afhandelt met zijn eigen toegangsrechten in plaats van die van de medewerker, kan de agent toch toegang krijgen tot alle salarisgegevens. Niet omdat de HR-applicatie onveilig is, maar omdat de agent de verkeerde identiteit gebruikt. De AI-agent wordt daarmee onbedoeld een instrument voor privilege-escalatie, waardoor gebruikers alsnog toegang krijgen tot informatie die hen specifiek is ontzegd.
Dit soort scenario’s laten zien dat organisaties AI-agents niet anders moeten behandelen dan iedere andere kritieke workload.
In zeven stappen naar betrouwbare AI-agents
Het goede nieuws is dat hier geen volledig nieuwe beveiligingsarchitectuur voor nodig is. Veel bouwstenen bestaan al en worden dagelijks toegepast voor servers, containers en cloudworkloads. De uitdaging is om diezelfde principes consequent toe te passen op AI-agents.
- Geef iedere agent een unieke identiteit: Beveiliging begint met een unieke, verifieerbare identiteit. Frameworks zoals WIMSE (Workload Identity in Multi-Systems Environment) en implementaties als SPIFFE-ID’s bieden hiervoor een solide basis. Zonder unieke identiteit is geen betrouwbare authenticatie mogelijk.
- Bescherm die identiteit met sterke credentials: Een identiteit heeft alleen waarde als deze ook bewezen kan worden. Daarom moeten AI-agents beschikken over cryptografische credentials die bij voorkeur kortlevend zijn en veilig worden opgeslagen, zoals in een Trusted Platform Module (TPM) of een beveiligde enclave. Zo wordt het aanzienlijk moeilijker om identiteiten te kopiëren of te misbruiken.
- Controleer de betrouwbaarheid: Authenticatie alleen is niet voldoende. Organisaties moeten ook kunnen vaststellen dat een agent draait op een vertrouwd platform en dat de software niet is gemanipuleerd. Attestatie controleert zowel de identiteit van de software als de omgeving waarin de agent actief is. Pas daarna mag een agent toegang krijgen tot systemen en data.
- Richt provisioning veilig in: Identiteiten en credentials moeten gedurende de volledige levenscyclus veilig worden uitgegeven, vernieuwd en ingetrokken. Afhankelijk van de omgeving gebeurt dit bijvoorbeeld via SPIFFE-agents, endpointmanagement of UEM- en MDM-platformen. Een goed ingericht provisioningproces voorkomt dat verouderde of compromitteerde identiteiten actief blijven.
- Authenticeer iedere communicatie: Een AI-agent communiceert voortdurend met andere systemen. Daarbij moet hij steeds opnieuw kunnen aantonen wie hij is. Welke techniek daarvoor geschikt is, hangt af van de omgeving. Mutually Authenticated TLS (mTLS) is het meest geschikt voor interne netwerken. HTTP Message Signatures worden aanbevolen voor webverkeer en WIMSE Proof Tokens voor niet-HTTP-protocollen. Het doel blijft hetzelfde: iedere interactie cryptografisch verifiëren.
- Beperk bevoegdheden tot het noodzakelijke: Authenticatie bepaalt wie een agent is; autorisatie bepaalt wat hij mag doen. Toegangstokens moeten uitsluitend geldig zijn voor een specifieke taak, gebruiker of bestemming. OAuth 2.0 biedt hiervoor een bewezen fundament. Voor gevoelige acties en handelingen blijft menselijke goedkeuring (Human-in-the-Loop) essentieel. Hierbij moet de gebruiker een bepaalde actie expliciet bevestigen.
- Zorg voor volledige observability: Zelfs goed beveiligde AI-agents blijven deels onvoorspelbaar. Daarom moeten organisaties continu inzicht hebben in hun gedrag. Uitgebreide logging, monitoring en herstelmogelijkheden maken zichtbaar welke acties een agent uitvoert en waarom die zijn uitgevoerd. Observability is daarmee een randvoorwaarde voor veilig gebruik van autonome AI.
Zero Trust als basis
Deze zeven stappen vormen samen de basis voor een Zero Trust-aanpak van agentic AI. Daarbij wordt geen enkele workload automatisch vertrouwd. Iedere AI-agent moet zijn identiteit expliciet bewijzen en uitsluitend toegang krijgen tot de middelen die voor een specifieke taak noodzakelijk zijn.
Voor gebruikersspecifieke agents betekent dit aanvullende contextcontroles. Voor multi-tenant SaaS-agents zijn Data Loss Prevention (DLP) en fijnmazige toegangscontroles nodig, ook wanneer de agent als ‘betrouwbaar’ wordt beschouwd. Alleen zo blijft gevoelige informatie beschermd.
De toekomst van veilige agentic AI
Agentic AI is niet zomaar een trend, het zal de manier waarop organisaties werken fundamenteel veranderen. Hoewel de mogelijkheden voor hogere efficiëntie en groei enorm zijn, moeten we waakzaam blijven dat technologische vooruitgang beveiligingsarchitecturen niet voorbij streeft. Organisaties die vandaag investeren in workload identity en Zero Trust leggen een stevige basis voor veilige innovatie. Daarmee voorkomen zij dat autonome software verandert van productiviteitsversneller in een nieuwe aanvalsvector.
De toekomst van AI draait niet alleen om intelligentie, maar vooral om vertrouwen.