Een malafide AI-agent bij Meta ondernam actie zonder goedkeuring en gevoelige bedrijfs- en gebruikersgegevens openbaar gemaakt voor werknemers die geen toegang hadden tot de gegevens. Meta bevestigde het incident op 18 maart aan The Information, maar zei dat er uiteindelijk geen gebruikersgegevens verkeerd waren gebruikt. De blootstelling leidde nog steeds intern tot een groot beveiligingsalarm.
Het beschikbare bewijs suggereert dat de fout plaatsvond na de authenticatie, en niet tijdens de authenticatie. De agent beschikte over geldige legitimatiegegevens, opereerde binnen de toegestane grenzen en slaagde voor elke identiteitscontrole.
Summer Yue, directeur uitlijning bij Meta Superintelligence Labs, beschreef een ander, maar gerelateerd falen in een virale post op X vorige maand. Ze vroeg een OpenClaw-agent om haar e-mailinbox te bekijken met duidelijke instructies om te bevestigen voordat ze actie ondernam.
De agent begon zelf e-mails te verwijderen. Yue stuurde hem ‘Doe dat niet’, vervolgens ‘Stop, doe niets’ en vervolgens ‘STOP OPENCLAW.’ Het negeerde elk commando. Ze moest zich fysiek naar een ander apparaat haasten om het proces te stoppen.
Op de vraag of ze de vangrails van de agent had getest, was Yue bot. “Rookie error tbh,” antwoordde ze. “Het blijkt dat onderzoekers op het gebied van uitlijning niet immuun zijn voor verkeerde uitlijning.” (VentureBeat kon het incident niet onafhankelijk verifiëren.)
Yue gaf de schuld aan contextverdichting. Het contextvenster van de agent werd kleiner en liet haar veiligheidsinstructies vallen.
De meta-exposure van 18 maart is nog niet publiekelijk op forensisch niveau verklaard.
Beide incidenten delen hetzelfde structurele probleem voor veiligheidsleiders. Een AI-agent opereerde met bevoorrechte toegang, ondernam acties die de operator niet goedkeurde, en de identiteitsinfrastructuur had geen mechanisme om in te grijpen nadat de authenticatie was geslaagd.
De agent had de hele tijd geldige inloggegevens. Niets in de identiteitsstapel kan een geautoriseerd verzoek onderscheiden van een frauduleus verzoek nadat de authenticatie is geslaagd.
Beveiligingsonderzoekers noemen dit patroon de verwarde plaatsvervanger. Een agent met geldige inloggegevens voert de verkeerde instructie uit, en elke identiteitscontrole zegt dat het verzoek in orde is. Dat is één foutklasse binnen een breder probleem: agentcontrole na authenticatie bestaat niet in de meeste enterprise-stacks.
Vier hiaten maken dit mogelijk.
-
Geen inventaris van welke agenten actief zijn.
-
Statische inloggegevens zonder vervaldatum.
-
Validatie zonder intentie nadat de authenticatie is geslaagd.
-
En agenten delegeren naar andere agenten zonder wederzijdse verificatie.
Vier leveranciers hebben de afgelopen maanden controles op deze lacunes geleverd. De onderstaande governancematrix brengt alle vier de lagen in kaart met de vijf vragen die een beveiligingsleider aan het bestuur voorlegt voordat RSAC maandag van start gaat.
Waarom het Meta-incident de calculus verandert
De verwarde hulpsheriff is de scherpste versie van dit probleem, namelijk een vertrouwd programma met hoge privileges dat wordt misleid om zijn eigen autoriteit te misbruiken. Maar de bredere foutklasse omvat elk scenario waarin een agent met geldige toegang acties onderneemt die de operator niet heeft geautoriseerd. Manipulatie van tegenstanders, contextverlies en niet-afgestemde autonomie delen allemaal dezelfde identiteitskloof. Niets in de stapel valideert wat er gebeurt nadat de authenticatie is geslaagd.
Elia Zaitsev, CTO van CrowdStrikebeschreef het onderliggende patroon in een exclusief interview met VentureBeat. Traditionele beveiligingscontroles veronderstellen vertrouwen zodra toegang wordt verleend en missen inzicht in wat er tijdens livesessies gebeurt, zei Zaitsev. De identiteiten, rollen en diensten die aanvallers gebruiken, zijn niet te onderscheiden van legitieme activiteiten op het controlevlak.
De 2026 CISO AI-risicorapport van Saviynt (n=235 CISO’s) constateerde dat 47% AI-agenten onbedoeld of ongeoorloofd gedrag vertoonde. Slechts 5% had er vertrouwen in dat ze een gecompromitteerde AI-agent in bedwang konden houden. Lees die twee cijfers samen. AI-agenten functioneren al als een nieuwe klasse van insider-risico’s, beschikken over persistente referenties en opereren op machineschaal.
Drie bevindingen uit één enkel rapport – het onderzoek van Cloud Security Alliance en Oasis Security onder 383 IT- en beveiligingsprofessionals – de omvang van het probleem in kaart brengen: 79% heeft een matig tot laag vertrouwen in het voorkomen van op NHI gebaseerde aanvallen, 92% heeft er geen vertrouwen in dat hun oude IAM-tools AI- en NHI-risico’s specifiek kunnen beheren, en 78% heeft geen gedocumenteerd beleid voor het creëren of verwijderen van AI-identiteiten.
Het aanvalsoppervlak is niet hypothetisch. CVE-2026-27826 en CVE-2026-27825 kwam eind februari op mcp-atlassian terecht met SSRF en willekeurig schrijven van bestanden door de vertrouwensgrenzen heen die het Model Context Protocol (MCP) door het ontwerp creëert. mcp-atlassian heeft volgens de openbaarmaking van Pluto Security meer dan 4 miljoen downloads. Iedereen op hetzelfde lokale netwerk kan code uitvoeren op de machine van het slachtoffer door twee HTTP-verzoeken te verzenden. Geen authenticatie vereist.
Jake Williams, een faculteitslid bij IANS Researchis direct geweest over het traject. MCP zal het bepalende AI-veiligheidsprobleem van 2026 zijn, vertelde hij de IANS-gemeenschapwaarin wordt gewaarschuwd dat ontwikkelaars authenticatiepatronen bouwen die thuishoren in inleidende tutorials, en niet in bedrijfsapplicaties.
Vier leveranciers hebben de afgelopen maanden identiteitscontroles voor AI-agenten geleverd. Niemand heeft ze in één bestuurskader ondergebracht. Onderstaande matrix doet dat wel.
De vierlaagse matrix voor identiteitsbeheer
Geen van deze vier leveranciers vervangt de bestaande IAM-stack van een beveiligingsleider. Elk van deze oplossingen dicht een specifieke identiteitskloof die de oude IAM niet kan zien. Andere leveranciers, waaronder CyberArk, Oasis Security en Astrix, leveren relevante NHI-controles; deze matrix concentreert zich op de vier die het meest direct in verband staan met de post-authenticatiefoutklasse die het Meta-incident aan het licht bracht. (runtime-afdwinging) betekent inline-controles die actief zijn tijdens de uitvoering van agenten.
|
Bestuurslaag |
Moet op zijn plaats zijn |
Risico als dat niet het geval is |
Wie verzendt het nu |
Vraag van de leverancier |
|
Agentdetectie |
Realtime inventarisatie van elke agent, zijn inloggegevens en zijn systemen |
Schaduwagenten met geërfde privileges die niemand heeft gecontroleerd. De inzet van schaduw-AI in ondernemingen blijft stijgen, omdat werknemers agenttools adopteren zonder goedkeuring van de IT-afdeling |
CrowdStrike Falcon Shield (runtime): AI-agentinventaris op SaaS-platforms. Palo Alto Netwerken AI-SPM (runtime): continue ontdekking van AI-middelen. Erik Trexler, SVP van Palo Alto Networks: “De ineenstorting tussen identiteit en aanvalsoppervlak zal 2026 bepalen.” |
Welke agenten zijn actief die we niet hebben ingericht? |
|
Levenscyclus van referenties |
Tijdelijke tokens, automatische rotatie, nulrechten |
Statische sleutel gestolen = permanente toegang met volledige machtigingen. API-sleutels met een lange levensduur geven aanvallers voor onbepaalde tijd blijvende toegang. Het aantal niet-menselijke identiteiten overtreft nu al ruimschoots het aantal mensen – Palo Alto Networks citeerde 82-tegen-1 in zijn voorspellingen voor 2026 zei de Cloud Security Alliance 100-tegen-1 in zijn cloudbeoordeling van maart 2026. |
CrowdStrike SGNL (runtime): nul staande privileges, dynamische autorisatie voor mens/NHI/agent. Verworven in januari 2026 (wordt naar verwachting FQ1 2027 afgesloten). Danny Brickman, CEO van Oasis Security: “AI verandert identiteit in een supersnel systeem waarin elke nieuwe agent binnen enkele minuten inloggegevens verzamelt.” |
Is er een agent die zich authenticeert met een sleutel die ouder is dan 90 dagen? |
|
Intentie na verificatie |
Gedragsvalidatie dat geautoriseerde verzoeken overeenkomen met legitieme bedoelingen |
De agent slaagt voor elke controle en voert de verkeerde instructie uit via de goedgekeurde API. Het meta-foutpatroon. Legacy IAM kent hiervoor geen detectiecategorie |
SentinelOne singulariteitsidentiteit (runtime): detectie en reactie op identiteitsbedreigingen bij menselijke en niet-menselijke activiteiten, waarbij identiteits-, eindpunt- en werklastsignalen met elkaar in verband worden gebracht om misbruik binnen geautoriseerde sessies te detecteren. Jeff Reed, CTO: “Identiteitsrisico begint en eindigt niet langer bij authenticatie.” Gelanceerd op 25 februari |
Wat valideert de intentie tussen authenticatie en actie? |
|
Bedreigingsinformatie |
Agentspecifieke aanvalspatroonherkenning, gedragsbasislijnen voor agentsessies |
Aanval binnen een geautoriseerde sessie. Geen kenmerkende branden. SOC ziet normaal verkeer. De verblijftijd duurt voor onbepaalde tijd |
Cisco AI Defense (runtime): agentspecifieke dreigingspatronen. Lavi LazarovitzCyberArk VP cyberonderzoek: “Beschouw AI-agenten als een nieuwe klasse digitale collega’s” die “beslissingen nemen, leren van hun omgeving en autonoom handelen.” Uw EDR-basislijn menselijk gedrag. Het gedrag van agenten is moeilijker te onderscheiden van legitieme automatisering |
Hoe ziet een verwarde hulpsheriff eruit in onze telemetrie? |
De matrix laat een progressie zien. De levenscyclus van detectie en inloggegevens kan nu worden afgesloten met verzending van producten. Intentievalidatie na authenticatie is gedeeltelijk afsluitbaar. SentinelOne detecteert identiteitsbedreigingen bij menselijke en niet-menselijke activiteiten nadat toegang is verleend, maar geen enkele leverancier valideert volledig of de instructie achter een geautoriseerd verzoek overeenkomt met de legitieme bedoelingen. Cisco levert de informatielaag over bedreigingen, maar detectiehandtekeningen voor fouten in agenten na authenticatie bestaan nauwelijks. SOC-teams die zijn getraind op basislijnen van menselijk gedrag, worden geconfronteerd met agentverkeer dat sneller, uniformer en moeilijker te onderscheiden is van legitieme automatisering.
De kloof die architectonisch open blijft
Geen enkele grote beveiligingsleverancier levert wederzijdse agent-tot-agent-authenticatie als productieproduct. Protocollen, waaronder Google’s A2A en een IETF-concept uit maart 2026, beschrijven hoe het moet worden gebouwd.
Wanneer agent A delegeert aan agent B, vindt er geen identiteitsverificatie tussen hen plaats. Een gecompromitteerde agent erft het vertrouwen van elke agent waarmee hij communiceert. Als je er één compromitteert door snelle injectie, worden er instructies gegeven aan de hele keten, waarbij gebruik wordt gemaakt van het vertrouwen van de legitieme agent die al is opgebouwd. De MCP-specificatie verbiedt het doorgeven van tokens. Ontwikkelaars doen het toch. De OWASP Februari 2026 Praktische gids voor veilige MCP-serverontwikkeling catalogiseerde de verwarde hulpsheriff als een genoemde dreigingsklasse. Controles op productieniveau hebben de achterstand niet ingehaald. Dit is de vijfde vraag die een veiligheidsleider aan het bestuur voorlegt.
Wat u moet doen vóór uw volgende bestuursvergadering
Inventariseer elke AI-agent en MCP-serververbinding. Elke agent die authenticeert met een statische API-sleutel die ouder is dan 90 dagen, is een post-authenticatiefout die nog kan optreden.
Dood statische API-sleutels. Verplaats elke agent naar gerichte, kortstondige tokens met automatische rotatie.
Runtime-detectie implementeren. U kunt de identiteit van een agent waarvan u niet weet dat hij bestaat, niet controleren. Het aantal schaduwimplementaties stijgt.
Test op verwarde blootstelling aan de hulpsheriff. Controleer voor elke MCP-serververbinding of de server autorisatie per gebruiker afdwingt of identieke toegang verleent aan elke beller. Als elke agent dezelfde machtigingen krijgt, ongeacht wie het verzoek heeft geactiveerd, kan de verwarde hulpsheriff al worden misbruikt.
Neem de governancematrix mee naar uw volgende bestuursvergadering. Vier controles geïmplementeerd, één architecturale leemte gedocumenteerd en een aanbestedingstijdlijn bijgevoegd.
De identiteitsstapel die u voor menselijke werknemers heeft gebouwd, vangt gestolen wachtwoorden op en blokkeert ongeautoriseerde logins. Het betrapt geen AI-agent die een kwaadaardige instructie volgt via een legitieme API-aanroep met geldige inloggegevens.
Het Meta-incident bewees dat dit niet theoretisch is. Het gebeurde bij een bedrijf met een van de grootste AI-veiligheidsteams ter wereld. Vier leveranciers hebben de eerste bedieningselementen verzonden die zijn ontworpen om het te vinden. De vijfde laag bestaat nog niet. Of dat uw houding verandert, hangt af van de vraag of u deze matrix als een werkend auditinstrument beschouwt of er in het leveranciersdeck aan voorbijgaat.
