Op 30 maart, BeyondTrust bewees dat een vervaardigde GitHub-branchnaam het OAuth-token van Codex in leesbare tekst kon stelen. OpenAI classificeerde het als Critical P1. Twee dagen later de Claude Code-broncode van Anthropic terechtgekomen in het openbare npm-registeren binnen enkele uren, Nadelig ontdekte dat Claude Code stilletjes zijn eigen deny-regels negeerde zodra een commando meer dan 50 subcommando’s overschreed. Dit waren geen geïsoleerde bugs. Ze waren de laatste in een periode van negen maanden: zes onderzoeksteams onthulden exploits tegen Codex, Claude Code, Copilot en Vertex AI, en elke exploit volgde hetzelfde patroon. Een AI-codeeragent beschikte over een inloggegevens, voerde een actie uit en authenticeerde zich bij een productiesysteem zonder dat een menselijke sessie het verzoek verankerde.
Het aanvalsoppervlak werd voor het eerst gedemonstreerd tijdens Black Hat USA 2025, toen Zenity CTO Michael Bargury gekaapt ChatGPT, Microsoft Copilot Studio, Google Gemini, Salesforce Einstein en Cursor met Jira MCP op het podium zonder klikken. Negen maanden later hebben aanvallers deze inloggegevens bereikt.
Merritt Baer, CSO bij Enkrypt AI en voormalig plaatsvervangend CISO bij AWS, noemde de mislukking in een exclusief VentureBeat-interview. “Bedrijven denken dat ze AI-leveranciers hebben ‘goedgekeurd’, maar wat ze feitelijk hebben goedgekeurd is een interface, en niet het onderliggende systeem.” De inloggegevens onder de interface vormen de inbreuk.
Codex, waar een filiaalnaam GitHub-tokens heeft gestolen
BeyondTrust onderzoeker Tyler Jespersen vond samen met Fletcher Davis en Simon Stewart door Codex gekloonde repository’s met behulp van een GitHub OAuth-token ingebed in de externe URL van Git. Tijdens het klonen stroomde de parameter vertakkingsnaam onopgeschoond naar het installatiescript. Een puntkomma en een backtick-subshell veranderden de vertakkingsnaam in een exfiltratie-payload.
Stewart voegde de stealth toe. Door 94 Ideographic Space-tekens (Unicode U+3000) achter ‘main’ toe te voegen, leek de kwaadaardige tak identiek aan de standaard hoofdtak in het Codex-webportaal. Een ontwikkelaar ziet ‘main’. De schaal ziet krul hun token exfiltreren. OpenAI classificeerde het als Critical P1 en zorgde voor volledige herstel op 5 februari 2026.
Claude Code, waar twee CVE’s en een bypass van 50 subcommando’s de sandbox doorbraken
CVE-2026-25723 getroffen Claude Code’s bestandsschrijfbeperkingen. Doorgesluisde sed- en echo-opdrachten ontsnapten uit de projectsandbox omdat de opdrachtketen niet gevalideerd was. Gepatcht in 2.0.55. CVE-2026-33068 was subtieler. Claude Code heeft de machtigingsmodi van .claude/settings.json opgelost voordat het vertrouwensdialoogvenster voor de werkruimte werd weergegeven. Een kwaadaardige repository heeft permissies.defaultMode ingesteld om Permissions te omzeilen. De vertrouwensprompt is nooit verschenen. Gepatcht in 2.1.53.
De bypass met 50 subcommando’s landde als laatste. Adversa ontdekte dat Claude Code stilletjes de handhaving van de deny-rule liet vallen zodra een commando meer dan 50 subcommando’s overschreed. De ingenieurs van Anthropic hadden beveiliging ingeruild voor snelheid en stopten met controleren na de vijftigste. Gepatcht in 2.1.90.
“Een significante kwetsbaarheid in zakelijke AI is een verstoorde toegangscontrole, waarbij het platte autorisatievlak van een LLM de gebruikersrechten niet respecteert”, schreef Carter Rees, VP van AI en Machine Learning bij Reputatie en lid van de Utah AI Commission. De repository bepaalde welke rechten de agent had. Het symbolische budget besliste welke ontkennende regels bleven bestaan.
Copilot, waarbij een beschrijving van een pull-aanvraag en een GitHub-probleem beide root werden
Johann Rehberger gedemonstreerd CVE-2025-53773 tegen GitHub Copilot met Markus Vervier van Persistent Security als mede-ontdekker. Verborgen instructies in PR-beschrijvingen zorgden ervoor dat Copilot de automatische goedkeuringsmodus in .vscode/settings.json omschakelde. Dat schakelde alle bevestigingen uit en zorgde voor onbeperkte shell-uitvoering in Windows, macOS en Linux. Microsoft heeft het gepatcht in de Patch Tuesday-release van augustus 2025.
Dan, Orka-beveiliging gekraakt Copilot binnen GitHub Codespaces. Verborgen instructies in een GitHub-probleem manipuleerden Copilot om een kwaadaardige PR uit te checken met een symbolische link naar /workspaces/.codespaces/shared/user-secrets-envs.json. Een vervaardigde JSON $schema-URL exfiltreerde de bevoorrechte GITHUB_TOKEN. Volledige overname van de repository. Geen gebruikersinteractie behalve het openen van het probleem.
Mike Riemer, CTO bij Ivanti, vatte de snelheidsdimensie samen in een VentureBeat-interview: “Dreigingsactoren zijn reverse engineering-patches binnen 72 uur. Als een klant niet binnen 72 uur na de release een patch uitvoert, staat hij open voor misbruik.” Agenten comprimeren dat venster tot seconden.
Vertex AI, waarbij standaardbereiken Gmail, Drive en de eigen toeleveringsketen van Google bereikten
Eenheid 42 Onderzoeker Ofir Shaty ontdekte dat de standaard Google-service-identiteit die aan elke Vertex AI-agent was gekoppeld, overmatige rechten had. Gestolen P4SA-inloggegevens verleenden onbeperkte leestoegang tot elke Cloud Storage-bucket in het project en bereikten beperkte Artifact Registry-repository’s van Google die de kern vormen van de Vertex AI Reasoning Engine. Shaty beschreef de gecompromitteerde P4SA als functionerend als een ‘dubbelagent’, met toegang tot zowel gebruikersgegevens als de eigen infrastructuur van Google.
VentureBeat-verdedigingsraster
|
Beveiligingsvereiste |
Defensie verzonden |
Exploitatiepad |
De kloof |
|
Uitvoering van Sandbox AI-agent |
Codex voert taken uit in cloudcontainers; token opgeschoond tijdens runtime van de agent. |
Token aanwezig tijdens het klonen. Injectie van vertakkingsnaamopdracht uitgevoerd vóór het opschonen. |
Geen invoeropschoning van de configuratieparameters van de container. |
|
Beperk de toegang tot het bestandssysteem |
Claude Code sandboxes schrijft via de acceptatie-bewerkingsmodus. |
Sandbox met sed/echo-ontsnapping (CVE-2026-25723). Settings.json heeft het vertrouwensdialoogvenster omzeild (CVE-2026-33068). De keten van 50 subcommando’s liet de handhaving van de deny-regel vallen. |
Commandokoppeling niet gevalideerd. Instellingen geladen vóór vertrouwen. Weigerregels ingekort vanwege prestaties. |
|
Blokkeer promptinjectie in codecontext |
Copilot filtert PR-beschrijvingen voor bekende injectiepatronen. |
Verborgen injecties in PR’s, README-bestanden en GitHub-problemen veroorzaakten RCE (CVE-2025-53773 + Orca RoguePilot). |
Het matchen van statische patronen verliest het van ingebedde aanwijzingen in legitieme beoordelings- en coderuimtestromen. |
|
Reik de agentreferenties aan met de minste bevoegdheden |
Vertex AI Agent Engine maakt gebruik van een P4SA-serviceagent met OAuth-scopes. |
Standaardbereiken bereikten Gmail, Agenda, Drive. P4SA-inloggegevens lezen elke Cloud Storage-bucket en Google’s Artefact Registry. |
OAuth-bereiken kunnen standaard niet worden bewerkt. Minste privilege geschonden door ontwerp. |
|
Identiteiten van inventaris- en beheeragenten |
Geen enkele grote leverancier van AI-codeeragenten levert identiteitsdetectie of levenscyclusbeheer van agenten. |
Niet geprobeerd. Bedrijven inventariseren geen AI-codeeragenten, hun inloggegevens of hun machtigingsbereiken. |
AI-codeeragenten zijn onzichtbaar voor IAM-, CMDB- en activa-inventaris. Er bestaat geen bestuur. |
|
Detecteer referentie-exfiltratie uit de runtime van de agent |
Codex verbergt tokens in de webportaalweergave. Claude Code registreert subopdrachten. |
Tokens zichtbaar in leesbare tekst in containers. Unicode-verduistering verborg exfil-payloads. Het koppelen van subcommando’s verborg de bedoeling. |
Geen runtime-monitoring van netwerkoproepen van agenten. Logboekafkapping verborg de bypass. |
|
Controleer door AI gegenereerde code op beveiligingsfouten |
Antropisch gelanceerd Claude Code-beveiliging (februari 2026). OpenAI gelanceerd Codex-beveiliging (maart 2026). |
Beide scannen de gegenereerde code. Geen van beide scant de eigen uitvoeringsomgeving of de verwerking van inloggegevens van de agent. |
Beveiliging van code-uitvoer is geen runtime-beveiliging van agenten. De agent zelf is het aanvalsoppervlak. |
Elke exploit was gericht op runtime-referenties, niet op modeluitvoer
Elke leverancier heeft een verdediging verzonden. Elke verdediging werd omzeild.
De Sonar 2026 State of Code-enquête voor ontwikkelaars ontdekte dat 25% van de ontwikkelaars regelmatig AI-agents gebruikt, en 64% is er al mee begonnen. Veracode testte meer dan 100 LLM’s en ontdekte dat 45% van de gegenereerde codevoorbeelden OWASP Top 10-fouten introduceerde, een afzonderlijke fout die de kloof in runtime-referenties vergroot.
CrowdStrike CTO Elia Zaitsev formuleerde de regel in een exclusief VentureBeat-interview op RSAC 2026: ineenstorting agent identiteiten terug naar de mensomdat een agent die namens u handelt, nooit meer rechten mag hebben dan u. Codex beschikte over een GitHub OAuth-token voor elke repository die de ontwikkelaar had geautoriseerd. De P4SA van Vertex AI leest elke Cloud Storage-bucket in het project. Claude Code ruilde het afdwingen van de weigeringsregels in voor een tokenbudget.
Kayne McGladrey, een IEEE Senior Member die bedrijven adviseert over identiteitsrisico’s, stelde dezelfde diagnose in een exclusief interview met VentureBeat. “Het gebruikt veel meer rechten dan zou moetenmeer dan een mens zou doen, vanwege de snelheid van schaal en intentie.”
Riemer trok de operationele lijn in een exclusief VentureBeat-interview. “Het wordt: ik ken je pas als ik je valideer.” De vertakkingsnaam heeft vóór validatie met de shell gesproken. Het GitHub-probleem sprak met Copilot voordat iemand het las.
Actieplan beveiligingsdirecteur
-
Inventariseer elke AI-codeeragent (CIEM). Codex, Claude Code, Copiloot, Cursor, Gemini Code Assist, Windsurf. Vermeld de inloggegevens en OAuth-bereiken die elk bij de installatie zijn ontvangen. Als uw CMDB geen categorie voor AI-agentidentiteiten heeft, maakt u er een.
-
Controleer OAuth-bereiken en patchniveaus. Upgrade Claude Code naar 2.1.90 of hoger. Controleer de patch van augustus 2025 van Copilot. Migreer Vertex AI naar het ‘bring-your-own-service-account’-model.
-
Behandel vertakkingsnamen, beschrijvingen van pull-aanvragen, GitHub-problemen en repo-configuratie als niet-vertrouwde invoer. Monitor op Unicode-verduistering (U+3000), commandokoppelingen van meer dan 50 subcommando’s en wijzigingen in .vscode/settings.json of .claude/settings.json die de machtigingsmodi omdraaien.
-
Bestuur de identiteit van agenten zoals u menselijke bevoorrechte identiteiten (PAM/IGA) bestuurt. Rotatie van legitimatiegegevens. Scoping met de minste privileges. Scheiding van taken tussen de agent die code schrijft en de agent die deze implementeert. CyberArk, Delinea en elk PAM-platform dat niet-menselijke identiteiten accepteert, kunnen vandaag de dag OAuth-referenties voor agenten onboarden; Gravitee’s onderzoek uit 2026 ontdekte dat slechts 21,9% van de teams dit heeft gedaan.
-
Valideer voordat u communiceert. “Zolang we vertrouwen, controleren en valideren, vind ik het prima om AI het te laten onderhouden”, zei Riemer. Voordat een AI-codeeragent zich authenticeert bij GitHub, Gmail of een interne opslagplaats, verifieert u de identiteit, het bereik en de menselijke sessie waaraan de agent is gebonden.
-
Vraag elke leverancier schriftelijk vóór uw volgende verlenging. “Laat mij de beheercontroles voor de identiteitslevenscyclus zien voor de AI-agent die in mijn omgeving draait, inclusief referentiebereik, rotatiebeleid en toestemmingsaudittraject.” Als de leverancier niet kan antwoorden, is dat de auditbevinding.
De governancekloof in drie zinnen
De meeste CISO’s inventariseren elke menselijke identiteit en hebben geen inventaris van de AI-agenten die met gelijkwaardige inloggegevens draaien. Geen enkel IAM-framework regelt de escalatie van menselijke privileges en de escalatie van agentenprivileges met dezelfde nauwkeurigheid. De meeste scanners volgen elke CVE, maar kunnen niet waarschuwen wanneer een branchnaam een GitHub-token exfiltreert via een container die ontwikkelaars standaard vertrouwen.
Het advies van Zaitsev aan de aanwezigen van RSAC 2026 was bot: je weet al wat je moet doen. Agenten hebben de kosten alleen maar catastrofaal gemaakt als ze het niet deden.
