AI-agenten hebben zeker een moment. Tussen de recente viraliteit van Open Klauw, Molt boek en Open AI is van plan zijn agentfuncties over te nemen naar het volgende niveau, het zou zomaar het jaar van de agent kunnen zijn.
Waarom? Nou ja, ze kunnen plannen, code schrijvensurfen op het internet en taken met meerdere stappen uitvoeren met weinig of geen toezicht. Sommigen beloven zelfs om uw workflow te beheren. Anderen coördineren met tools en systemen op uw desktop.
De aantrekkingskracht ligt voor de hand. Deze systemen reageren niet alleen. De actie – voor u en namens u. Maar toen onderzoekers achter MIT AI Agent-index Nadat ze 67 ingezette agentsystemen hadden gecatalogiseerd, vonden ze iets verontrustends.
Ontwikkelaars willen graag beschrijven wat hun agenten kunnen doen Doen. Ze willen veel minder graag beschrijven of deze middelen dat wel zijn Zeker.
“Toonaangevende AI-ontwikkelaars en startups zetten steeds vaker agentische AI-systemen in die complexe taken kunnen plannen en uitvoeren met beperkte menselijke tussenkomst.” schreven de onderzoekers in de krant. “Er bestaat momenteel echter geen gestructureerd raamwerk voor het documenteren van … beveiligingsfuncties in agentsystemen.”
Die kloof blijkt duidelijk uit de cijfers: ongeveer 70% van de geïndexeerde agenten levert documentatie en bijna de helft publiceert code. Maar slechts ongeveer 19% maakt een formeel veiligheidsbeleid bekend, en minder dan 10% rapporteert externe veiligheidsbeoordelingen.
Uit het onderzoek blijkt dat ontwikkelaars weliswaar snel de mogelijkheden en bruikbaarheid van agentsystemen aanprijzen, maar ook snel beperkte informatie verstrekken over beveiliging en risico’s. Het resultaat is een scheve vorm van transparantie.
Wat telt als een AI-agent
De onderzoekers waren op de hoogte van de reden waarom er werd bezuinigd, en niet alle chatbots komen in aanmerking. Om opgenomen te worden, moest een systeem met ondergespecificeerde doelen werken en in de loop van de tijd doelen nastreven. Het moet ook acties ondernemen die van invloed zijn op een omgeving met beperkte menselijke tussenkomst. Dit zijn systemen die zelf tussenstappen bepalen. Ze kunnen een brede instructie opdelen in deeltaken, tools gebruiken, plannen, implementeren en herhalen.
Die autonomie maakt hen krachtig. Het is ook wat de inzet verhoogt.
Wanneer een model eenvoudigweg tekst genereert, zitten de fouten ervan meestal in één uitvoer. Wanneer een AI-agent toegang heeft tot bestanden, e-mails kan verzenden, aankopen kan doen of documenten kan wijzigen, kunnen bugs en exploits schadelijk zijn en zich over verschillende niveaus verspreiden. Toch ontdekten de onderzoekers dat de meeste ontwikkelaars niet publiekelijk beschrijven hoe ze op deze scenario’s testen.
Het vermogen is openbaar, autobescherming niet
Het meest opvallende patroon in de het onderzoek is niet diep in een tabel verborgen; het wordt door het hele document herhaald.
Ontwikkelaars delen graag demo’s, benchmarks en de bruikbaarheid van deze AI-agents, maar ze zijn veel minder consistent in het delen van beveiligingsevaluaties, interne testprocedures of risico-audits van derden.
Die onevenwichtigheid is belangrijker wanneer agenten van prototypes overgaan naar digitale actoren die in echte workflows zijn geïntegreerd. Veel van de geïndexeerde systemen zijn actief in domeinen als softwareontwikkeling en computeromgevingen, waarbij vaak sprake is van gevoelige gegevens en betekenisvolle controle.
De MIT AI Agent Index beweert niet dat agent AI in zijn geheel onveilig is, maar laat wel zien dat naarmate de autonomie toeneemt, de gestructureerde transparantie over beveiliging geen gelijke tred heeft gehouden.
De technologie versnelt. De vangrail is, althans in het openbaar, steeds moeilijker te zien.
