CX-platforms verwerken miljarden ongestructureerde interacties per jaar: enquêteformulieren, beoordelingssites, sociale feeds en callcentertranscripties stromen allemaal naar AI-engines die geautomatiseerde workflows activeren die van invloed zijn op salaris-, CRM- en betalingssystemen. Geen enkel hulpmiddel in de stack van een security operations center-manager inspecteert wat de AI-engine van een CX-platform verbruikt, en de aanvallers hebben dit ontdekt. Ze vergiftigen de gegevens die deze voeden en de AI doet de schade voor hen.
De Salesloft/Drift-inbreuk van augustus 2025 bewees precies dit. Aanvallers heeft de GitHub-omgeving van Salesloft gecompromitteerdstal Drift-chatbot OAuth-tokens en toegang tot Salesforce-omgevingen in meer dan 700 organisaties, waaronder Cloudflare, Palo Alto Networks en Zscaler. Dat zag gescande gestolen gegevens voor AWS-sleutels, Snowflake-tokens en wachtwoorden in platte tekst. En er is geen malware ingezet.
Deze kloof is groter dan de meeste beveiligingsleiders zich realiseren: 98% van de organisaties beschikt over een programma ter voorkoming van gegevensverlies (DLP), maar slechts 6% beschikt over specifieke middelenDat blijkt uit het Voice of the CISO-rapport uit 2025 van Proofpoint, waarin 1.600 CISO’s in 16 landen werden ondervraagd. En 81% van de interactieve inbraken Maak nu gebruik van legale toegang in plaats van malware, volgens CrowdStrike’s Threat Hunting Report 2025. De cloudpenetratie is in de eerste helft van 2025 met 136% toegenomen.
“De meeste beveiligingsteams classificeren platformen voor ervaringsbeheer nog steeds als ‘enquêtetools’, die hetzelfde risico met zich meebrengen als een app voor projectbeheer”, vertelde Assaf Keren, hoofd beveiliging bij Qualtrics en voormalig CISO bij PayPal, in een recent interview aan VentureBeat. “Dit is een enorme verkeerde categorisering. Deze platforms maken nu verbinding met HRIS, CRM en compensatiemotoren.” Qualtrics verwerkt alleen Jaarlijks 3,5 miljard interactieseen aantal dat volgens het bedrijf sinds 2023 is verdubbeld. Organisaties kan het zich niet veroorloven om stappen over te slaan over invoerintegriteit wanneer AI de workflow binnenkomt.
VentureBeat heeft enkele weken lang veiligheidsleiders geïnterviewd die deze kloof proberen te dichten. In elk interview kwamen zes controlefouten voor.
Zes blinde vlekken tussen de securitystack en de AI-engine
1. DLP kan niet zien dat ongestructureerde sentimentgegevens vertrekken via standaard API-aanroepen
Het meeste DLP-beleid classificeert gestructureerde persoonlijk identificeerbare informatie (PII): namen, e-mails en betalingsgegevens. Open tekst CX-reacties omvatten salarisklachten, gezondheidsinformatie en kritiek van het management. Geen enkele komt overeen met standaard PII-patronen. Wanneer een AI-tool van derden deze gegevens ophaalt, ziet de export eruit als een routinematige API-aanroep. De DLP vuurt nooit.
2. Zombie API-tokens van voltooide campagnes zijn nog steeds live
Een voorbeeld: Marketing voerde zes maanden geleden een CX-campagne uit en de campagne eindigde. Maar de OAuth-tokens die het CX-platform verbinden met HRIS-, CRM- en betalingssystemen zijn nooit ingetrokken. Dit betekent dat elk een zijdelings bewegingspad is dat open zit.
JPMorgan Chase CISO Patrick Opet benadrukte dit risico in zijn Open brief april 2025waarschuwt dat SaaS-integratiemodellen ‘expliciet vertrouwen van één factor tussen systemen’ creëren via tokens die ‘onvoldoende beveiligd zijn … kwetsbaar voor diefstal en hergebruik’.
3. Publieke inputkanalen hebben geen botreductie voordat data de AI-engine bereiken
Een webapp-firewall inspecteert HTTP-payloads voor een webapplicatie, maar deze dekking strekt zich niet uit tot een Trustpilot-review, een Google Maps-beoordeling of een open-text enquêtereactie die een CX-platform als legitieme input beschouwt. Frauduleus sentiment dat deze kanalen overspoelt, is onzichtbaar voor de perimetercontrole. VentureBeat vroeg beveiligingsleiders en leveranciers of iemand de integriteit van invoerkanalen voor openbare gegevensbronnen die CX AI-engines voeden, bestrijkt; het blijkt dat de categorie nog niet bestaat.
4. Paginaverplaatsing vanaf een gecompromitteerd CX-platform verloopt via geverifieerde API-aanroepen
“Tegenstanders breken niet in, ze loggen in”, vertelde Daniel Bernard, Chief Business Officer bij CrowdStrike, aan VentureBeat in een exclusief interview. “Het is een geldige login. Dus vanuit ISV-perspectief van een derde partij heb je een inlogpagina en tweefactorauthenticatie. Wat wil je nog meer van ons?”
De dreiging strekt zich uit tot zowel menselijke als niet-menselijke identiteiten. Bernard beschreef het volgende: “Plotseling worden er terabytes aan gegevens geëxporteerd. Het is niet-standaard gebruik. Het gaat naar plaatsen waar deze gebruiker nog niet eerder is geweest.” EEN beveiligingsinformatie en evenementenbeheer (SIEM) systeem ziet de authenticatie slagen. Het ziet die gedragsverandering niet. Zonder wat Bernard ‘softwarehoudingsbeheer’ voor CX-platforms noemde, loopt de zijwaartse beweging via verbindingen die het beveiligingsteam al heeft goedgekeurd.
5. Niet-technische gebruikers hebben beheerdersrechten, geen reviewer
Marketing-, HR- en Customer Success-teams zetten CX-integraties op omdat ze snelheid nodig hebben, maar het SOC-team ziet ze misschien nooit. Beveiliging moet een faciliterende factor zijn, zegt Keren, anders kunnen teams er omheen. Elke organisatie die geen actuele inventaris kan maken van elke CX-platformintegratie en de beheerdersreferenties erachter, heeft te maken met schaduwbeheerders.
6. Feedback in platte tekst komt in de database terecht voordat PII wordt gemaskeerd
Medewerkersenquêtes registreren klachten over managers op naam, salarisklachten en gezondheidsinformatie. Feedback van klanten komt eveneens aan bod: accountinformatie, aankoopgeschiedenis, servicegeschillen. Niets van dit alles raakt een gestructureerde PII-classificator omdat het als vrije tekst arriveert. Als een inbreuk deze blootlegt, krijgen aanvallers ontmaskerde persoonlijke informatie langs het zijwaartse bewegingspad.
Niemand is eigenaar van dit gat
Deze zes fouten delen een hoofdoorzaak: SaaS-beveiligingspostuurbeheer is uitgegroeid tot Salesforce, ServiceNow en andere bedrijfsplatforms. CX-platforms hebben nooit dezelfde behandeling gekregen. Niemand monitort de gebruikersactiviteit, machtigingen of configuraties binnen een ervaringsbeheerplatform en dwingt beleid af op AI-workflows die gegevens verwerken die niet bestaan. Wanneer botgestuurde invoer of abnormale gegevensexport de CX-applicatielaag bereikt, worden deze door niets gedetecteerd.
Beveiligingsteams reageren met wat ze hebben. Sommige breiden SSPM-tools uit om CX-platformconfiguraties en -machtigingen te dekken. API-beveiligingsgateways bieden een ander pad dat de tokenomvang en gegevensstromen tussen CX-platforms en downstream-systemen inspecteert. Identiteitsgerichte teams passen CASB-achtige toegangscontroles toe op CX-beheerdersaccounts.
Geen van deze benaderingen levert wat CX-layer-beveiliging eigenlijk vereist: continue monitoring van wie toegang heeft tot ervaringsgegevens, realtime inzicht in verkeerde configuraties voordat deze laterale bewegingspaden worden, en geautomatiseerde bescherming die beleid afdwingt zonder te wachten op een driemaandelijkse beoordelingscyclus.
De eerste integratie die speciaal voor deze kloof is gebouwd, verbindt postuurbeheer rechtstreeks met de CX-laag, waardoor beveiligingsteams dezelfde dekking krijgen over applicatie-activiteit, configuraties en gegevenstoegang die ze al verwachten van Salesforce of ServiceNow. CrowdStrike’s Falcon Shield en het Qualtrics XM-platform zijn de combinatie erachter. Beveiligingsmanagers die VentureBeat interviewde, zeiden dat dit de controle is die ze handmatig hebben opgebouwd – en waar ze hun slaap over hebben verloren.
De beveiligingsteams van de explosieradius meten niet
De meeste organisaties hebben de technische explosieradius in kaart gebracht. ‘Maar niet de explosieradius van het bedrijf,’ zei Keren. Wanneer een AI-engine een compensatieaanpassing activeert op basis van vergiftigde gegevens, is de schade geen veiligheidsgebeurtenis. Het is een verkeerde zakelijke beslissing die met machinesnelheid wordt uitgevoerd. Die kloof ligt tussen de CISO, de CIO en de eigenaar van de businessunit. Tegenwoordig is niemand de eigenaar ervan.
“Als we data gebruiken om zakelijke beslissingen te nemen, moeten die data kloppen”, zegt Keren.
Voer de audit uit en begin met de zombiefiches. Dit is waar het breken op operationele schaal begint. Begin met een validatieperiode van 30 dagen. AI zal niet wachten.
