AI-agenten hebben nu meer toegang en meer verbindingen met bedrijfssystemen dan welke andere software in de omgeving dan ook. Dat maakt ze tot een groter aanvalsoppervlak dan alles wat beveiligingsteams eerder hebben moeten beheren, en de industrie heeft er nog geen raamwerk voor. “Als die aanvalsvector wordt gebruikt, kan dit resulteren in een datalek, of erger”, zei Spiros Xanthos, oprichter en CEO van Resolve AI, tijdens een recente lezing. VentureBeat AI Impact Series-evenement. Traditionele beveiligingsframeworks zijn gebouwd rond menselijke interacties. Er is nog geen overeengekomen constructie voor AI-agents die persona’s hebben en autonoom kunnen werken, merkte Jon Aniano, SVP van product- en CRM-applicaties bij Zendesk, op hetzelfde evenement op. Agentische AI beweegt sneller dan bedrijven vangrails kunnen bouwen – en Modelcontextprotocol (MCP)terwijl de complexiteit van de integratie wordt verminderd, wordt het probleem alleen maar groter. “Op dit moment is het een onopgelost probleem, omdat het om het wilde, wilde westen gaat”, zegt Aniano. “We hebben niet eens een gedefinieerd technisch agent-tot-agent-protocol waar alle bedrijven het over eens zijn. Hoe balanceer je de verwachtingen van gebruikers tegen wat je platform veilig houdt?”
MCP nog steeds “extreem soepel”
Bedrijven maken steeds vaker verbinding met MCP-servers omdat ze de integratie tussen agenten, tools en gegevens vereenvoudigen. Maar MCP-servers zijn doorgaans ‘extreem tolerant’, zei hij. Ze zijn “eigenlijk waarschijnlijk slechter dan een API”, betoogde hij, omdat API’s op zijn minst over meer controles beschikken om agenten af te dwingen. De agenten van vandaag handelen namens mensen op basis van expliciete toestemmingen, waardoor menselijke verantwoordelijkheid wordt gevestigd. “Maar je kunt in de toekomst tienduizenden, honderden agenten hebben met hun eigen identiteit, hun eigen toegang”, zei Xanthos. “Het wordt een zeer complexe matrix.” Terwijl zijn startup autonome AI-agents ontwikkelt voor site betrouwbaarheidsengineering (SRE) en systeembeheer, erkende hij dat de industrie “volledig het raamwerk mist” voor autonome agenten. “Het is aan ons en degene die agenten bouwt om erachter te komen welke beperkingen we eraan moeten stellen”, zei hij. En klanten moeten op die beslissingen kunnen vertrouwen. Sommige bestaande beveiligingstools bieden fijnmazige toegang – Splunk heeft bijvoorbeeld een methode ontwikkeld om toegang tot bepaalde indexen in onderliggende datastores mogelijk te maken, merkte hij op – maar de meeste zijn breder en mensgericht. “We proberen dit uit te zoeken met bestaande tools”, zei hij. “Maar ik denk niet dat ze voldoende zijn voor het tijdperk van agenten.”
Wie is verantwoordelijk als een AI een gebruiker onrechtmatig autoriseert?
Bij Zendesk en andere aanbieders van CRM-platforms (Customer Relationship Management) is AI betrokken bij een aantal gebruikersinteracties, merkte Aniano op. Sterker nog, het bevindt zich nu op een “volume en schaal waar we als bedrijven en als samenleving geen rekening mee hebben gehouden.”
Het kan lastig worden als AI menselijke agenten assisteert; het audittraject kan een doolhof worden. “Dus nu heb je een mens die met een mens praat die met een AI praat”, merkte Aniano op. “De mens zegt tegen de AI dat hij moet handelen. Wie heeft de schuld als het een verkeerde actie is?” Dit wordt nog ingewikkelder als er “meerdere stukjes AI en meerdere mensen” in de mix zitten. Om te voorkomen dat agenten van het goede spoor afdwalen, is Zendesk vaak “zeer streng” als het gaat om toegang en reikwijdte; klanten kunnen echter hun eigen vangrails definiëren op basis van hun behoeften. In de meeste gevallen heeft AI toegang tot kennisbronnen, maar schrijft geen code en voert geen opdrachten uit op servers, zegt Aniano. Als een AI een API aanroept, wordt deze ‘declaratief ontworpen’ en bestraft, en worden er specifiek acties aangekondigd. Maar de vraag van klanten overspoelt deze scenario’s, en “we houden momenteel de poorten in de gaten”, zei hij. De industrie moet concrete normen ontwikkelen voor interacties tussen agenten. “We betreden een wereld waarin we met zaken als MCP die automatisch tools kunnen detecteren, nieuwe beveiligingsmethoden moeten creëren om te beslissen met welke tools deze bots kunnen communiceren”, zei Aniano. Als het om veiligheid gaat, maken bedrijven zich terecht zorgen wanneer AI authenticatietaken overneemt, zoals het uitgeven en verwerken van eenmalige wachtwoorden (OTP), sms-codes of andere tweestapsverificatiemethoden, zei hij. Wat gebeurt er als een AI iemand verkeerd autoriseert of identificeert? Dit kan leiden tot gevoelige datalekken of de deur openen voor aanvallers. “Er is nu een spectrum en het einde van dat spectrum vandaag de dag is een mens”, zei Aniano. Maar “het einde van dat spectrum zou morgen een gespecialiseerde agent kunnen zijn die is ontworpen om hetzelfde soort onderbuikgevoel of interactie op menselijk niveau uit te voeren.” Klanten zelf bevinden zich in een spectrum van adoptie en comfort. In bepaalde bedrijven – met name financiële dienstverlening of andere sterk gereguleerde omgevingen – moeten mensen nog steeds betrokken zijn bij authenticatie, merkte Aniano op. In andere gevallen vertrouwen oude bedrijven of oude garde alleen op mensen om andere mensen te authenticeren. Hij merkte op dat Zendesk experimenteert met nieuwe AI-agents die “iets meer verbonden zijn met systemen” en met een selecte groep klanten rond vangrails werkt.
Er komt een permanente machtiging
In de toekomst kunnen agenten misschien meer vertrouwd worden dan mensen om bepaalde taken uit te voeren en krijgen ze toestemming “veel verder dan” wat mensen vandaag de dag hebben, zei Xanthos. Maar dat is nog lang niet het geval, en het is vooral de angst dat er iets misgaat wat bedrijven tegenhoudt. “Dat is een goede angst, toch? Ik zeg niet dat het een slechte zaak is”, zei hij. Veel bedrijven voelen zich simpelweg nog niet op hun gemak als een agent alle stappen in een workflow uitvoert of de cirkel volledig zelf sluit. Ze willen nog steeds menselijke beoordeling. Resolve AI staat op het punt agenten permanente autorisatie te geven in een paar gevallen die ‘over het algemeen veilig’ zijn, zoals bij het coderen; Van daaruit zullen ze overstappen op meer open scenario’s die niet zo riskant zijn, legt Xanthos uit. Maar hij erkende dat er altijd zeer risicovolle situaties zullen zijn waarin AI-fouten ‘de toestand van het productiesysteem kunnen muteren’, zoals hij het uitdrukte. Maar uiteindelijk: “Er is natuurlijk geen weg terug; dit gaat sneller dan misschien zelfs de mobiele telefoon deed. De vraag is dus: wat kunnen we eraan doen?”
Wat beveiligingsteams nu kunnen doen
Beide sprekers wezen op tijdelijke maatregelen die beschikbaar zijn binnen de bestaande instrumenten. Xanthos merkte op dat sommige tools, waaronder Splunk, al fijnmazige toegangscontroles op indexniveau bieden die op agenten kunnen worden toegepast. Aniano beschreef de aanpak van Zendesk als een praktisch uitgangspunt: declaratief ontworpen API-aanroepen met expliciet gesanctioneerde acties, strikte toegangs- en reikwijdtelimieten, en menselijke beoordeling voordat de machtigingen van agenten worden uitgebreid.
Het onderliggende principe, zoals Aniano het verwoordde: “We controleren deze poorten altijd en zien hoe we de opening kunnen vergroten” – wat betekent dat je geen permanente toestemming verleent totdat je elke uitbreiding hebt gevalideerd.
