Een malafide AI-agent bij Meta ondernam actie zonder goedkeuring en gevoelige bedrijfs- en gebruikersgegevens openbaar gemaakt voor werknemers die geen toegang hadden tot de gegevens. Meta bevestigde het incident op 18 maart aan The Information, maar zei dat er uiteindelijk geen gebruikersgegevens verkeerd waren gebruikt. De blootstelling leidde nog steeds intern tot een groot beveiligingsalarm.
Uit het beschikbare bewijsmateriaal blijkt dat de storing zich na de goedkeuring heeft voorgedaan, en niet tijdens de goedkeuring ervan. De agent beschikte over geldige inloggegevens, opereerde binnen de toegestane grenzen en slaagde voor alle identiteitscontroles.
Summer Yue, directeur uitlijning bij Meta Superintelligence Labs, beschreef een ander, maar gerelateerd falen in een virale post op X vorige maand. Ze vroeg een OpenClaw-agent om haar e-mailinbox door te nemen met duidelijke instructies om te bevestigen voordat ze handelde.
De agent is zelf begonnen met het verwijderen van e-mails. Yue stuurde hem ‘Doe het niet’, vervolgens ‘Stop, doe niets’ en vervolgens ‘STOP OPENCLAW’. Het negeerde elk commando. Ze moest zich fysiek naar een ander apparaat haasten om het proces te stoppen.
Op de vraag of ze de bumper van de agent had getest, was Yue bot. “Rookie error tbh,” antwoordde ze. “Het blijkt dat onderzoekers op het gebied van uitlijning niet immuun zijn voor verkeerde uitlijning.” (VentureBeat kon het incident niet onafhankelijk bevestigen.)
Yue gaf de schuld aan contextcompressie. Het contextvenster van de agent werd kleiner, waardoor haar beveiligingsinstructies wegvielen.
De meta-exposure van 18 maart moet nog publiekelijk worden verklaard op forensisch niveau.
Beide incidenten delen hetzelfde structurele probleem voor beveiligingsmanagers. Een AI-agent opereerde met bevoorrechte toegang, ondernam acties die de operator niet had geautoriseerd, en de identiteitsinfrastructuur beschikte niet over een mechanisme om in te grijpen nadat de authenticatie succesvol was.
De agent beschikte de hele tijd over geldige inloggegevens. Niets in de identiteitsstapel kan een geautoriseerd verzoek onderscheiden van een frauduleus verzoek nadat de authenticatie is geslaagd.
Beveiligingsonderzoekers noemen dit patroon de verwarde proxy. Een agent met geldige inloggegevens voert de verkeerde instructie uit, en elke identiteitscontrole zegt dat het verzoek in orde is. Het is een bugklasse binnen een breder probleem: agentcontroles na authenticatie bestaan niet in de meeste enterprise-stacks.
Vier gaten maken dit mogelijk.
-
Geen registratie van welke agenten actief zijn.
-
Statische inloggegevens zonder vervaldatum.
-
Validatie zonder intentie nadat de authenticatie is geslaagd.
-
En agenten delegeren aan andere agenten zonder wederzijdse bevestiging.
Vier leveranciers hebben de afgelopen maanden cheques voor deze gaten gestuurd. De onderstaande governancematrix brengt alle vier de lagen in kaart voor de vijf kwesties die een veiligheidsleider aan het bestuur voorlegt voordat de RSAC maandag wordt geopend.
Waarom de Meta-gebeurtenis de berekening verandert
De verwarde proxy is de meest acute versie van dit probleem, een vertrouwd programma met hoge privileges dat wordt misleid om zijn eigen autoriteit te misbruiken. Maar de bredere foutklasse omvat elk scenario waarin een agent met geldige toegang acties onderneemt die de operator niet heeft geautoriseerd. Tegenstrijdige manipulatie, verlies van context en slecht afgestemde autonomie delen allemaal dezelfde identiteitskloof. Niets in de stapel valideert wat er gebeurt nadat de authenticatie is geslaagd.
Elia Zaitsev, CTO van CrowdStrikebeschreef het onderliggende patroon in een exclusief interview met VentureBeat. Traditionele beveiligingscontroles veronderstellen vertrouwen zodra toegang wordt verleend en missen inzicht in wat er tijdens livesessies gebeurt, zei Zaitsev. De identiteiten, rollen en services die aanvallers gebruiken, zijn niet te onderscheiden van legitieme activiteiten op het controlevlak.
De 2026 CISO AI-risicorapport van Saviynt (n=235 CISO’s) constateerde dat 47% AI-agenten onbedoeld of ongeoorloofd gedrag vertoonde. Slechts 5% had er vertrouwen in dat ze een gecompromitteerde AI-agent in bedwang konden houden. Lees de twee cijfers samen. AI-agenten fungeren nu al als een nieuwe klasse van insider-risico’s die persistente referenties hebben en op machineschaal opereren.
Drie bevindingen uit één enkel rapport – het onderzoek van Cloud Security Alliance en Oasis Security onder 383 IT- en beveiligingsprofessionals – de omvang van het probleem in kaart brengen79% heeft matig tot weinig vertrouwen in het voorkomen van op NHI gebaseerde aanvallen, 92% heeft er geen vertrouwen in dat hun oude IAM-tools specifiek AI- en NHI-risico’s kunnen aanpakken, en 78% heeft geen gedocumenteerd beleid voor het creëren of verwijderen van AI-identiteiten.
Het aanvalsoppervlak is niet hypothetisch. CVE-2026-27826 en CVE-2026-27825 raakte eind februari mcp-atlassian met SSRF en willekeurige bestandsschrijfbewerkingen via de vertrouwenslimieten die het Model Context Protocol (MCP) door het ontwerp creëert. mcp-atlassian heeft volgens de openbaarmaking van Pluto Security meer dan 4 miljoen downloads. Iedereen op hetzelfde lokale netwerk kan code uitvoeren op de machine van het slachtoffer door twee HTTP-verzoeken te verzenden. Er is geen goedkeuring vereist.
Jake Williams, een faculteitslid bij IANS Researchis direct op de baan geweest. MCP zal in 2026 het bepalende AI-beveiligingsprobleem zijn vertelde hij de IANS-gemeenschapwaarschuwt dat ontwikkelaars authenticatiepatronen bouwen die thuishoren in inleidende oefeningen, en niet in bedrijfsapplicaties.
Vier leveranciers hebben de afgelopen maanden identiteitscontroles voor AI-agenten verzonden. Niemand heeft ze in één bestuurskader ondergebracht. Onderstaande matrix doet dat.
De vierlaagse identiteitsmanagementmatrix
Geen van deze vier leveranciers vervangt de bestaande IAM-stack van een beveiligingsmanager. Elk van hen dicht een specifieke identiteitskloof die eerdere IAM niet kon zien. Andere leveranciers, waaronder CyberArk, Oasis Security en Astrix, leveren relevante NHI-controles; deze matrix richt zich op de vier die het meest direct verband houden met de klasse van falen na authenticatie die door het Meta-incident aan het licht is gekomen. (runtime-afdwinging) betekent inline-controles die actief zijn tijdens de uitvoering van agenten.
|
Managementlaag |
Zou op zijn plaats moeten zijn |
Risico als dat niet het geval is |
Wie stuurt het nu? |
Vragen van de verkoper |
|
Agentdetectie |
Realtime inventarisatie van elke agent, zijn inloggegevens en zijn systemen |
Schaduwagenten met geërfde rechten die niemand heeft gecontroleerd. De inzet van schaduw-AI in ondernemingen blijft toenemen, omdat werknemers agenttools adopteren zonder goedkeuring van de IT-afdeling |
CrowdStrike Falcon Shield (runtime): AI-agentinventaris op SaaS-platforms. Palo Alto Networks AI-SPM (runtime): continue ontdekking van AI-middelen. Erik Trexler, SVP van Palo Alto Networks: “De ineenstorting van het identiteits- en aanvalsoppervlak zal 2026 bepalen.” |
Welke agenten zijn er actief die we niet hebben geleverd? |
|
Levenscyclus van referenties |
Tokens met een korte levensduur, automatische rotatie, nulrechten |
Statische sleutel gestolen = permanente toegang met volledige toestemming. API-sleutels met een lange levensduur geven aanvallers voor onbepaalde tijd blijvende toegang. Niet-menselijke identiteiten zijn nu al ruimschoots groter dan mensen – Palo Alto Networks citeerde 82-tegen-1 in zijn voorspellingen voor 2026 Cloud Security Alliance 100-tegen-1 in zijn cloudbeoordeling van maart 2026. |
CrowdStrike SGNL (runtime): nul staande privileges, dynamische autorisatie voor mens/NHI/agent. Verworven in januari 2026 (wordt naar verwachting FQ1 2027 afgesloten). Danny Brickman, CEO van Oasis Security: “AI verandert identiteit in een supersnel systeem waarbij elke nieuwe agent binnen enkele minuten inloggegevens aanmaakt.” |
Is er een agent die zich authenticeert met een sleutel die ouder is dan 90 dagen? |
|
Intentie na goedkeuring |
Gedragsvalidatie dat geautoriseerde verzoeken overeenkomen met legitieme bedoelingen |
De agent slaagt voor elke controle en voert de onjuiste instructie uit via de goedgekeurde API. Het metafoutpatroon. Legacy IAM kent hiervoor geen recordcategorie |
SentinelOne singulariteitsidentiteit (runtime): detectie en reactie op identiteitsbedreigingen bij menselijke en niet-menselijke activiteiten, waarbij identiteits-, eindpunt- en werklastsignalen met elkaar in verband worden gebracht om misbruik in geautoriseerde sessies te detecteren. Jeff Reed, CTO: “Identiteitsrisico begint en eindigt niet langer bij authenticatie.” Gelanceerd op 25 februari |
Wat valideert de intentie tussen goedkeuring en actie? |
|
Bedreigingsinformatie |
Agentspecifieke aanvalspatroonherkenning, gedragsbasislijnen voor agentsessies |
Aanval in een geautoriseerde sessie. Geen kenmerkende merken. SOC ziet normaal verkeer. De verblijfsduur wordt voor onbepaalde tijd verlengd |
Cisco AI Defense (runtime): agentspecifieke dreigingspatronen. Lavi LazarovitzCyberArk VP Cyber Research: “Beschouw AI-agenten als een nieuwe klasse digitale collega’s” die “beslissingen nemen, leren van hun omgeving en autonoom handelen.” Uw EDR-fundamenteel menselijk gedrag. Het gedrag van agenten is moeilijker te onderscheiden van legitieme automatisering |
Hoe ziet een verwarde hulpsheriff eruit in onze telemetrie? |
De matrix laat een progressie zien. De levenscyclus van detectie en inloggegevens kan nu worden afgesloten met het verzenden van producten. Intentievalidatie na goedkeuring kan gedeeltelijk worden afgesloten. SentinelOne detecteert identiteitsbedreigingen bij menselijke en niet-menselijke activiteiten nadat toegang is verleend, maar geen enkele leverancier valideert volledig of de instructie achter een geautoriseerd verzoek overeenkomt met de legitieme bedoelingen. Cisco levert de informatielaag over bedreigingen, maar detectiehandtekeningen voor fouten in agenten na authenticatie bestaan nauwelijks. SOC-teams die zijn getraind in menselijk gedrag worden geconfronteerd met agentverkeer dat sneller, consistenter en moeilijker te onderscheiden is van legitieme automatisering.
De kloof die architectonisch open blijft
Geen enkele grote beveiligingsleverancier levert wederzijdse agent-tot-agent-authenticatie als productieproduct. Protocollen, waaronder Google’s A2A en een IETF-concept uit maart 2026, beschrijven hoe het moet worden gebouwd.
Wanneer agent A delegeert aan agent B, vindt er geen identiteitsverificatie tussen hen plaats. Een gecompromitteerde agent erft het vertrouwen van elke agent waarmee hij communiceert. Compromis met een snelle injectie en het geeft instructies aan de hele keten, gebruikmakend van het vertrouwen van de legitieme agent die al is opgebouwd. De MCP-specificatie verbiedt het doorgeven van tokens. Ontwikkelaars doen het toch. De OWASP Februari 2026 Praktische gids voor veilige MCP-serverontwikkeling catalogiseerde de verwarde proxy als een benoemde bedreigingsklasse. De productiecontrole heeft de achterstand niet ingehaald. Dit is de vijfde vraag die een veiligheidsmanager aan het bestuur stelt.
Wat moet u doen vóór uw volgende bestuursvergadering?
Inventariseer elke AI-agent en MCP-serververbinding. Elke agent die authenticeert met een statische API-sleutel die ouder is dan 90 dagen, is een post-authenticatiefout die nog kan optreden.
Dood statische API-sleutels. Verplaats elke agent naar bereikbare, vluchtige tokens met automatische rotatie.
Runtime-detectie implementeren. U kunt de identiteit van een agent waarvan u niet weet dat hij bestaat, niet controleren. Het aantal schaduwinzet neemt toe.
Verwarde plaatsvervangende blootstellingstest. Controleer voor elke MCP-serververbinding of de server autorisatie per gebruiker afdwingt of identieke toegang biedt aan elke beller. Als elke agent dezelfde machtigingen krijgt, ongeacht wie het verzoek heeft geactiveerd, kan de verwarde proxy al worden misbruikt.
Neem de governancematrix mee naar uw volgende bestuursvergadering. Vier controles geïmplementeerd, één architecturale leemte gedocumenteerd en een tijdlijn voor de aanbesteding bijgevoegd.
De identiteitsstapel die u voor menselijke werknemers heeft gebouwd, vangt gestolen wachtwoorden op en blokkeert ongeautoriseerde logins. Het betrapt geen AI-agent die een kwaadaardige instructie volgt via een legitieme API-aanroep met geldige inloggegevens.
De meta-gebeurtenis bewees dat het niet theoretisch is. Het gebeurde bij een bedrijf met een van de grootste AI-beveiligingsteams ter wereld. Vier leveranciers stuurden de eerste controles om het te vinden. De vijfde laag bestaat nog niet. Of het uw houding verandert, hangt af van de vraag of u deze matrix als een werkend auditinstrument behandelt of deze overslaat in het leveranciersdek.
