AI-agents hebben nu meer toegang en meer verbindingen met bedrijfssystemen dan welke andere software in de omgeving dan ook. Dat maakt ze tot een groter aanvalsoppervlak dan alles wat beveiligingsteams eerder hebben moeten doen, en de industrie heeft er nog geen raamwerk voor. “Als die aanvalsvector wordt gebruikt, kan dit resulteren in een datalek, of zelfs erger”, zei Spiros Xanthos, oprichter en CEO van Resolve AI, onlangs tijdens een VentureBeat AI Impact Series-evenement. Traditionele beveiligingsframeworks zijn gebouwd rond menselijke interacties. Er is nog geen overeengekomen constructie voor AI-agenten die persona’s hebben en autonoom kunnen werken, merkte Jon Aniano, SVP van product- en CRM-applicaties bij Zendesk, op hetzelfde evenement op. Agentic AI ontwikkelt zich sneller dan bedrijven vangrails kunnen bouwen – en Model Context Protocol (MCP) maakt het probleem nog erger, terwijl het de integratiecomplexiteit vermindert. Volgens Aniano en andere bedrijfsleiders ontwikkelt Agentic AI zich sneller dan bedrijven vangrails om zich heen kunnen bouwen. En Modelcontextprotocol (MCP) helpt weliswaar de integratiecomplexiteit te verminderen, maar helpt niet. “Op dit moment is het een onopgelost probleem, omdat het om het wilde, wilde Westen gaat,” zei Aniano. “We hebben niet eens een gedefinieerd technisch agent-tot-agent-protocol waar alle bedrijven het over eens zijn. Hoe balanceer je de verwachtingen van gebruikers en wat houdt je platform veilig?”
MCP nog steeds “extreem tolerant”
Bedrijven haken steeds vaker in op MCP-servers omdat ze de integratie tussen agenten, tools en gegevens vereenvoudigen. MCP-servers zijn echter vaak ‘extreem tolerant’, zei hij. Ze zijn ‘eigenlijk waarschijnlijk slechter dan een API’, betoogde hij, omdat API’s op zijn minst meer controles hebben om agenten op te leggen. De agenten van vandaag handelen namens mensen op basis van expliciete toestemmingen, waardoor menselijke verantwoordelijkheid wordt gevestigd. “Maar in de toekomst heb je misschien wel tientallen, honderden agenten met hun eigen identiteit en hun eigen toegang”, zegt Xanthos. “Het wordt een zeer complexe matrix.” Zelfs terwijl zijn startup autonome AI-agents ontwikkelt voor site betrouwbaarheidsengineering (SRE) en systeembeheer, erkende hij dat de industrie “volledig het raamwerk mist” voor autonome agenten. “Het is volledig aan ons en aan iedereen die agenten bouwt om erachter te komen welke beperkingen ze moeten stellen”, zei hij. En klanten moeten op die beslissingen kunnen vertrouwen. Sommige bestaande beveiligingstools bieden fijnmazige toegang – Splunk heeft bijvoorbeeld een methode ontwikkeld om toegang te bieden tot bepaalde indexen in onderliggende datastores, merkte hij op – maar de meeste zijn breder en mensgericht. “We proberen dit uit te zoeken met bestaande tools”, zei hij. “Maar ik denk niet dat ze voldoende zijn voor het tijdperk van agenten.”
Wie is verantwoordelijk als een AI een gebruiker verkeerd authenticeert?
Bij Zendesk en andere aanbieders van CRM-platforms (Customer Relationship Management) is AI betrokken bij een aantal gebruikersinteracties, merkte Aniano op. Sterker nog, nu is het op een “volume en een schaal waar we als bedrijven en als samenleving niet aan hebben gedacht.”
Het kan lastig worden als AI menselijke agenten helpt; het audittraject kan een labyrint worden. “Dus nu heb je een mens die met een mens praat die met een AI praat”, merkte Aniano op. “De mens vertelt de AI om actie te ondernemen. Wie heeft de schuld als het de verkeerde actie is?” Dit wordt nog ingewikkelder als er “meerdere stukjes AI en meerdere mensen” in de mix zitten. Om te voorkomen dat agenten ontsporen, is Zendesk vaak “zeer streng” als het gaat om toegang en reikwijdte; klanten kunnen echter hun eigen vangrails definiëren op basis van hun behoeften. In de meeste gevallen heeft AI toegang tot kennisbronnen, maar ze schrijven geen code of voeren geen opdrachten uit op servers, zei Aniano. Als een AI een API aanroept, wordt deze “declaratief ontworpen” en bestraft, en worden er specifiek acties aangekondigd. De vraag van klanten overspoelt deze scenario’s echter en “we houden momenteel de poorten in de gaten”, zei hij. De industrie moet concrete normen ontwikkelen voor interacties tussen agenten. “We betreden een wereld waarin we, met zaken als MCP die tools automatisch kunnen ontdekken, nieuwe veiligheidsmethoden moeten creëren om te beslissen met welke tools deze bots kunnen communiceren”, aldus Aniano. Als het op beveiliging aankomt, maken bedrijven zich terecht zorgen wanneer AI authenticatietaken overneemt, zoals het verzenden en verwerken van eenmalige wachtwoorden (OTP), sms-codes of andere tweestapsverificatiemethoden, zei hij. Wat gebeurt er als een AI iemand verkeerd authentiseert of identificeert? Dit kan leiden tot het lekken van gevoelige gegevens of de deur openen voor aanvallers. “Er is nu een spectrum, en het einde van dat spectrum vandaag de dag is een mens”, zei Aniano. Echter, “het einde van dat spectrum zou morgen een gespecialiseerde agent kunnen zijn die is ontworpen om hetzelfde soort onderbuikgevoel of interactie op menselijk niveau uit te voeren.” Klanten zelf bevinden zich in een spectrum van adoptie en comfort. In bepaalde bedrijven – met name de financiële dienstverlening of andere sterk gereguleerde omgevingen – moeten mensen nog steeds betrokken zijn bij authenticatie, merkte Aniano op. In andere gevallen vertrouwen oude bedrijven of oude garde alleen op mensen om andere mensen te authenticeren. Hij merkte op dat Zendesk experimenteert met nieuwe AI-agents die “iets meer verbonden zijn met systemen”, en met een selecte groep klanten werkt aan guardrailing.
Er komt een permanente machtiging
In een bepaalde toekomst kunnen agenten misschien meer vertrouwd worden dan mensen om sommige taken uit te voeren, en toestemming krijgen “veel verder dan” wat mensen vandaag de dag hebben, zei Xanthos. Maar daar zijn we nog lang niet van verwijderd, en voor het grootste deel is het de angst dat er iets misgaat wat bedrijven tegenhoudt. “Dat is een goede angst, toch? Ik zeg niet dat het een slechte zaak is,” zei hij. Veel ondernemingen voelen zich eenvoudigweg nog niet op hun gemak als een agent alle stappen van een workflow uitvoert of de cirkel zelf volledig sluit. Ze willen nog steeds menselijke beoordeling. Resolve AI staat op het punt om agenten permanente autorisatie te geven in een paar gevallen die “over het algemeen veilig” zijn, zoals bij het coderen; Van daaruit gaan ze over op meer open scenario’s die niet zo riskant zijn, legt Xanthos uit. Maar hij erkende dat er altijd zeer risicovolle situaties zullen zijn waarin AI-fouten ‘de toestand van het productiesysteem kunnen muteren’, zoals hij het uitdrukte. Maar uiteindelijk: “Er is uiteraard geen weg meer terug; dit gaat sneller dan misschien zelfs mobiel. Dus de vraag is: wat gaan we eraan doen?”
Wat beveiligingsteams nu kunnen doen
Beide sprekers wezen op tussentijdse maatregelen die beschikbaar zijn binnen de bestaande tooling. Xanthos merkte op dat sommige tools, waaronder Splunk, al fijnmazige toegangscontroles op indexniveau bieden die op agenten kunnen worden toegepast. Aniano beschreef de aanpak van Zendesk als een praktisch uitgangspunt: declaratief ontworpen API-aanroepen met expliciet gesanctioneerde acties, strikte toegangs- en reikwijdtelimieten, en menselijke beoordeling voordat de machtigingen van agenten worden uitgebreid.
Het onderliggende principe, zoals Aniano het verwoordde: “We controleren altijd die poorten en zien hoe we de opening kunnen vergroten” – wat betekent dat je geen permanente toestemming verleent totdat je elke uitbreiding hebt gevalideerd.
