Vier afzonderlijke keynotes van RSAC 2026 kwamen zonder coördinatie tot dezelfde conclusie. Vasu Jakkal van Microsoft vertelde de aanwezigen dat zero trust zich moet uitstrekken tot AI. Jeetu Patel van Cisco riep op tot een verschuiving van toegangscontrole naar actiecontrole. zegt in een exclusief interview met VentureBeat dat agenten zich ‘meer als tieners gedragen, uiterst intelligent, maar zonder angst voor consequenties’. George Kurtz van CrowdStrike identificeerde AI-governance als de grootste kloof in bedrijfstechnologie. John Morgan van Splunk riep op tot een agentisch vertrouwens- en bestuursmodel. Vier bedrijven. Vier fasen. Eén probleem.
Matt Caulfield, VP Product for Identity en Duo bij Cisco, zei het botweg in een exclusief VentureBeat-interview bij RSAC. “Hoewel het concept van zero trust goed is, moeten we nog een stap verder gaan”, zei Caulfield. “Het gaat niet alleen om één keer authenticeren en vervolgens de agent de vrije loop laten. Het gaat om het voortdurend verifiëren en onderzoeken van elke actie die de agent probeert te ondernemen, omdat die agent op elk moment een schurkenstaat kan worden.”
Volgens cijfers maakt 79 procent van de organisaties al gebruik van AI-agents PwC’s AI-agentonderzoek 2025. Slechts 14,4% rapporteerde volledige veiligheidsgoedkeuring voor hun gehele agentenvloot Gravitee State of AI Agent Security 2026-rapport van 919 organisaties in februari 2026. A CSA-enquête gepresenteerd op RSAC bleek dat slechts 26% een AI-governancebeleid heeft. Het Agentic Trust Framework van CSA beschrijft de resulterende kloof tussen de implementatiesnelheid en de gereedheid voor beveiliging als een bestuurlijke noodsituatie.
Leiders op het gebied van cyberbeveiliging en leidinggevenden uit de sector bij RSAC waren het over het probleem eens. Vervolgens brachten twee bedrijven architecturen op de markt die de vraag verschillend beantwoorden. De kloof tussen hun ontwerpen laat zien waar het echte risico zit.
Het monolithische agentprobleem dat beveiligingsteams erven
Het standaard enterprise-agentpatroon is een monolithische container. Het model redeneert, roept tools aan, voert de gegenereerde code uit en bewaart inloggegevens in één proces. Elk onderdeel vertrouwt elk ander onderdeel. OAuth-tokens, API-sleutels en git-referenties bevinden zich in dezelfde omgeving waar de agent code uitvoert die hij seconden geleden heeft geschreven.
Een snelle injectie geeft de aanvaller alles. Tokens zijn exfiltreerbaar. Sessies zijn spawnbaar. De explosieradius is niet het middel. Het is de hele container en elke aangesloten dienst.
De CSA- en Aembit-onderzoek van de 228 IT- en beveiligingsprofessionals kwantificeert hoe vaak dit nog steeds voorkomt: 43% gebruikt gedeelde serviceaccounts voor agenten, 52% vertrouwt op werklastidentiteiten in plaats van agentspecifieke inloggegevens, en 68% kan in hun logboeken geen onderscheid maken tussen agentactiviteit en menselijke activiteit. Geen enkele functie claimde eigenaar te zijn van de toegang tot AI-agenten. De beveiliging zei dat het de verantwoordelijkheid van een ontwikkelaar was. Ontwikkelaars zeiden dat het een veiligheidsverantwoordelijkheid was. Niemand was eigenaar ervan.
CrowdStrike CTO Elia Zaitsev zei in een exclusief VentureBeat-interview dat het patroon er bekend uit moet zien. “Veel van hoe beveiligingsagenten eruit zien, lijkt erg op hoe het eruit ziet om zeer bevoorrechte gebruikers te beveiligen. Ze hebben een identiteit, ze hebben toegang tot onderliggende systemen, ze redeneren, ze ondernemen actie”, zei Zaitsev. “Er zal zelden één enkele oplossing zijn die de wondermiddel is. Het is een diepgaande verdedigingsstrategie.”
CrowdStrike CEO George Kurtz benadrukte ClawHavoc (een supply chain-campagne gericht op het OpenClaw-agentische raamwerk) bij RSAC tijdens zijn hoofdnoot. Koi-beveiliging noemde de campagne op 1 februari 2026. Antiy CERT bevestigde 1.184 kwaadaardige vaardigheden die verband hielden met 12 uitgeversaccounts, volgens meerdere onafhankelijk analyses van de campagne. Snyk’s ToxicSkills-onderzoek ontdekte dat 36,8% van de 3.984 gescande ClawHub-vaardigheden beveiligingsfouten bevatten op elk ernstniveau, waarbij 13,4% als kritiek werd beoordeeld. De gemiddelde uitbraaktijd is gedaald naar 29 minuten. Snelst waargenomen: 27 seconden. (CrowdStrike 2026 Wereldwijd dreigingsrapport)
Anthropic scheidt de hersenen van de handen
De beheerde agenten van Anthropicgelanceerd op 8 april in de publieke bèta, splitste elke agent op in drie componenten die elkaar niet vertrouwen: een brein (Claude en het harnas sturen zijn beslissingen), handen (wegwerpbare Linux-containers waarin code wordt uitgevoerd) en een sessie (een alleen-toevoegen-gebeurtenislogboek buiten beide).
Het scheiden van instructies en uitvoering is een van de oudste patronen in software. Microservices, serverloze functies en berichtenwachtrijen.
Inloggegevens komen nooit in de sandbox terecht. Anthropic slaat OAuth-tokens op in een externe kluis. Wanneer de agent een MCP-tool moet aanroepen, verzendt deze een sessiegebonden token naar een speciale proxy. De proxy haalt echte inloggegevens op uit de kluis, voert de externe oproep uit en retourneert het resultaat. De agent ziet nooit het daadwerkelijke token. Git-tokens worden tijdens de sandbox-initialisatie aangesloten op de lokale afstandsbediening. Duw en trek werk zonder dat de agent de identificatie aanraakt. Voor beveiligingsdirecteuren betekent dit dat een gecompromitteerde sandbox niets oplevert dat een aanvaller opnieuw kan gebruiken.
De beveiligingswinst was een neveneffect van een prestatieverbetering. Anthropic ontkoppelde de hersenen van de handen, zodat de gevolgtrekking kon beginnen voordat de container opstartte. Mediane tijd tot eerste token daalde ongeveer 60%. Het zero-trust ontwerp is ook het snelste ontwerp. Dat maakt een einde aan het bezwaar van de onderneming dat beveiliging latentie toevoegt.
Sessieduurzaamheid is de derde structurele winst. Een containercrash volgens het monolithische patroon betekent totaal staatsverlies. In Managed Agents blijft het sessielogboek buiten de hersenen en handen bestaan. Als het harnas crasht, wordt er een nieuw harnas opgestart, wordt het gebeurtenislogboek gelezen en wordt het hervat. Geen enkele verloren staat verandert in de loop van de tijd in een productiviteitswinst. Managed Agents omvatten ingebouwde sessietracering via de Claude Console.
Prijzen: $ 0,08 per sessie-uur actieve runtime, exclusief inactieve tijd, plus standaard API-tokenkosten. Beveiligingsdirecteuren kunnen nu de kosten per sessie-uur van agenten modelleren ten opzichte van de kosten van de architecturale controles.
Nvidia vergrendelt de sandbox en controleert alles daarin
Nvidia’s NemoClawuitgebracht op 16 maart als vroege preview, hanteert de tegenovergestelde aanpak. Het scheidt de agent niet van zijn uitvoeringsomgeving. Het wikkelt de hele agent in vier op elkaar gestapelde beveiligingslagen en houdt elke beweging in de gaten. Anthropic en Nvidia zijn op het moment van schrijven de enige twee leveranciers die zero-trust agent-architecturen publiekelijk hebben uitgebracht; andere zijn in ontwikkeling.
NemoClaw stapelt vijf handhavingslagen tussen de agent en de host. Uitvoering in een sandbox maakt gebruik van Landlock-, seccomp- en netwerknaamruimte-isolatie op kernelniveau. Het standaard weigeren van uitgaande netwerken dwingt elke externe verbinding af via expliciete goedkeuring van de operator via Op YAML gebaseerd beleid. Toegang wordt uitgevoerd met minimale rechten. Een privacyrouter stuurt gevoelige vragen naar lokaal draaiende Nemotron-modellen, waardoor de tokenkosten en het lekken van gegevens tot nul worden teruggebracht. De laag die voor beveiligingsteams het belangrijkst is, is intentieverificatie: de beleidsengine van OpenShell onderschept elke agentactie voordat deze de host raakt. De afweging voor organisaties die NemoClaw evalueren is eenvoudig. Een beter inzicht in de runtime kost meer personeel van operators.
De agent weet niet dat het in NemoClaw zit. Acties die binnen het beleid vallen, keren normaal terug. Acties die buiten het beleid vallen, krijgen een configureerbare weigering.
Waarneembaarheid is de sterkste laag. Een realtime terminalgebruikersinterface registreert elke actie, elk netwerkverzoek en elke geblokkeerde verbinding. Het audittraject is voltooid. Het probleem zijn de kosten: de belasting van de operator schaalt lineair met de activiteit van de agent. Elk nieuw eindpunt vereist handmatige goedkeuring. De kwaliteit van de observatie is hoog. De autonomie is laag. Die verhouding wordt snel duur in productieomgevingen met tientallen agenten.
Duurzaamheid is de kloof waar niemand het over heeft. De agentstatus blijft bestaan als bestanden in de sandbox. Als de sandbox faalt, gaat de staat mee. Er bestaat geen extern sessieherstelmechanisme. Langdurige agenttaken brengen een duurzaamheidsrisico met zich mee dat beveiligingsteams moeten verdisconteren in de implementatieplanning voordat ze in productie gaan.
De kloof in de nabijheid van referenties
Beide architecturen zijn een echte stap vooruit ten opzichte van de monolithische standaard. Waar ze uiteenlopen is de vraag die voor beveiligingsteams het belangrijkst is: hoe dicht staan de inloggegevens bij de uitvoeringsomgeving?
Anthropic verwijdert de inloggegevens volledig uit de explosieradius. Als een aanvaller de sandbox compromitteert door snelle injectie, krijgt hij een wegwerpcontainer zonder tokens en zonder persistente status. Voor het exfiltreren van inloggegevens is een aanval van twee stappen nodig: beïnvloed de redenering van de hersenen en overtuig deze vervolgens om te handelen via een container die niets bevat dat de moeite waard is om te stelen. Single-hop-exfiltratie wordt structureel geëlimineerd.
NemoClaw beperkt de straal van de explosie en bewaakt elke actie daarbinnen. Vier beveiligingslagen beperken de zijdelingse beweging. Standaard weigeren netwerken blokkeert ongeautoriseerde verbindingen. Maar de agent en de gegenereerde code delen dezelfde sandbox. De privacyrouter van Nvidia bewaart inferentiereferenties op de host, buiten de sandbox. Maar berichten- en integratietokens (Telegram, Slack, Discord) worden in de sandbox geïnjecteerd als runtime-omgevingsvariabelen. Inference API-sleutels worden via de privacyrouter verzonden en niet rechtstreeks in de sandbox doorgegeven. De blootstelling varieert per referentietype. Inloggegevens zijn beleidsafhankelijk en worden niet structureel verwijderd.
Dat onderscheid is het belangrijkst bij indirecte directe injectie, waarbij een tegenstander instructies insluit in de inhoud die de agent opvraagt als onderdeel van legitiem werk. Een vergiftigde webpagina. Een gemanipuleerde API-reactie. De intentieverificatielaag evalueert wat de agent voorstelt te doen, niet de inhoud van gegevens die door externe tools worden geretourneerd. Geïnjecteerde instructies komen de redeneringsketen binnen als vertrouwde context. Met nabijheid van uitvoering.
In de antropische architectuur kan indirecte injectie de redenering beïnvloeden, maar kan de kluis van de inloggegevens niet worden bereikt. In de NemoClaw-architectuur bevindt de geïnjecteerde context zich naast zowel de redenering als de uitvoering in de gedeelde sandbox. Dat is de grootste kloof tussen de twee ontwerpen.
David Brauchler van NCC Group, technisch directeur en hoofd AI/ML-beveiliging, pleitbezorgers voor gated agent-architecturen op gebouwd beginselen van vertrouwenssegmentatie waarbij AI-systemen het vertrouwensniveau erven van de gegevens die ze verwerken. Niet-vertrouwde invoer, beperkte mogelijkheden. Zowel Anthropic als Nvidia gaan in deze richting. Geen van beide komt volledig aan.
De zero-trust architectuuraudit voor AI-agenten
Het auditraster omvat drie leverancierspatronen verspreid over zes beveiligingsdimensies, vijf acties per rij. Het komt neer op vijf prioriteiten:
-
Controleer elke geïmplementeerde agent op het monolithische patroon. Markeer elke agent die OAuth-tokens in zijn uitvoeringsomgeving heeft. De CSA gegeven laat zien dat 43% gedeelde serviceaccounts gebruikt. Dat zijn de eerste doelstellingen.
-
Isolatie van inloggegevens vereisen in RFP’s voor de implementatie van agenten. Geef op of de leverancier inloggegevens structureel verwijdert of via beleid doorgeeft. Beide verminderen het risico. Ze verminderen het met verschillende hoeveelheden met verschillende faalwijzen.
-
Herstel van testsessie vóór productie. Dood een sandbox halverwege een taak. Controleer of de staat overleeft. Als dat niet het geval is, brengt werken op een lange horizon een risico met zich mee dat gegevens verloren gaan, wat nog groter wordt met de taakduur.
-
Personeel voor het observeerbaarheidsmodel. De consoletracering van Anthropic kan worden geïntegreerd met bestaande observatieworkflows. De TUI van NemoClaw vereist een operator-in-the-loop. De personeelsberekening is anders.
-
Volg routekaarten voor indirecte promptinjecties. Geen van beide architectuur lost deze vector volledig op. Anthropic beperkt de straal van een succesvolle injectie. NemoClaw vangt kwaadaardige voorgestelde acties op, maar geen kwaadaardige geretourneerde gegevens. Vereisen dat leveranciers roadmaptoezeggingen doen over dit specifieke hiaat.
Nul vertrouwen voor AI-agenten was geen onderzoeksonderwerp meer vanaf het moment dat twee architecturen werden uitgebracht. Het monolithische verzuim is een verplichting. Het verschil van 65 punten tussen de implementatiesnelheid en de goedkeuring van de beveiliging is waar de volgende klasse van inbreuken zal beginnen.
