Gepresenteerd door 1Password
Het toevoegen van agentische mogelijkheden aan bedrijfsomgevingen hervormt het dreigingsmodel fundamenteel door een nieuwe klasse actoren in identiteitssystemen te introduceren. Het probleem: AI-agenten ondernemen actie binnen gevoelige bedrijfssystemen, loggen in, halen gegevens op, roepen LLM-tools aan en voeren workflows uit, vaak zonder de zichtbaarheid of controle die traditionele identiteits- en toegangssystemen moesten afdwingen.
AI-tools en autonome agenten verspreiden zich sneller binnen ondernemingen dan beveiligingsteams ze kunnen instrumenteren of besturen. Tegelijkertijd gaan de meeste identiteitssystemen nog steeds uit van statische gebruikers, serviceaccounts met een lange levensduur en grove roltoewijzingen. Ze waren niet ontworpen om gedelegeerd menselijk gezag, kortstondige executiecontexten of agenten die in nauwe besluitvormingscircuits opereren, te vertegenwoordigen.
Als gevolg hiervan moeten IT-leiders een stap terug doen en de vertrouwenslaag zelf heroverwegen. Deze verschuiving is niet theoretisch. NIST’s Zero Trust-architectuur (SP 800-207) stelt expliciet dat “alle onderwerpen – inclusief applicaties en niet-menselijke entiteiten – als niet-vertrouwd worden beschouwd totdat ze zijn geauthenticeerd en geautoriseerd.”
In een agentische wereld betekent dit dat AI-systemen een expliciete, verifieerbare eigen identiteit moeten hebben en niet moeten werken via geërfde of gedeelde inloggegevens.
“Enterprise IAM-architecturen zijn gebouwd om aan te nemen dat alle systeemidentiteiten menselijk zijn, wat betekent dat ze rekenen op consistent gedrag, duidelijke bedoelingen en directe menselijke verantwoordelijkheid om vertrouwen af te dwingen”, zegt Nancy Wang, CTO bij 1Password en Venture Partner bij Felicis. “Agentische systemen doorbreken deze aannames. Een AI-agent is geen gebruiker die je kunt trainen of periodiek kunt beoordelen. Het is software die kan worden gekopieerd, gevorkt, horizontaal kan worden geschaald en in strakke uitvoeringslussen over meerdere systemen kan worden uitgevoerd. Als we agenten als mensen of statische serviceaccounts blijven behandelen, verliezen we het vermogen om duidelijk weer te geven voor wie ze handelen, welke autoriteit ze hebben en hoe lang die autoriteit zou moeten duren. “
Hoe AI-agents ontwikkelomgevingen veranderen in veiligheidsrisicozones
Een van de eerste plaatsen waar deze identiteitsaannames kapot gaan is de moderne ontwikkelomgeving. De geïntegreerde ontwikkelaarsomgeving (IDE) is van een eenvoudige editor geëvolueerd naar een orkestrator die systemen kan lezen, schrijven, uitvoeren, ophalen en configureren. Met een AI-agent in het hart van dit proces zijn snelle injectie-overgangen niet slechts een abstracte mogelijkheid; ze worden een concreet risico.
Omdat traditionele IDE’s niet zijn ontworpen met AI-agents als kerncomponent, introduceert het toevoegen van AI-mogelijkheden op de aftermarket nieuwe soorten risico’s waarmee traditionele beveiligingsmodellen niet rekening konden houden.
AI-agenten schenden bijvoorbeeld onbedoeld de vertrouwensgrenzen. Een ogenschijnlijk onschuldige README kan verborgen richtlijnen bevatten die een assistent ertoe verleiden inloggegevens te onthullen tijdens standaardanalyse. Projectinhoud van onbetrouwbare bronnen kan het gedrag van agenten op onbedoelde manieren veranderen, zelfs als die inhoud geen duidelijke gelijkenis vertoont met een prompt.
Invoerbronnen reiken nu verder dan bestanden die opzettelijk worden uitgevoerd. Documentatie, configuratiebestanden, bestandsnamen en metagegevens van tools worden allemaal door agenten opgenomen als onderdeel van hun besluitvormingsprocessen, en beïnvloeden hoe zij een project interpreteren.
Het vertrouwen erodeert wanneer agenten zonder intentie of verantwoordelijkheid handelen
Wanneer je zeer autonome, deterministische agenten toevoegt die met verhoogde rechten werken en de mogelijkheid hebben om systemen te lezen, schrijven, uitvoeren of herconfigureren, wordt de dreiging groter. Deze agenten hebben geen context, geen mogelijkheid om te bepalen of een verzoek om authenticatie legitiem is, wie dat verzoek heeft gedelegeerd, of de grenzen die rond die actie moeten worden gesteld.
“Bij agenten kun je er niet van uitgaan dat ze het vermogen hebben om nauwkeurige oordelen te vellen, en ze missen zeker een morele code”, zegt Wang. “Al hun acties moeten op de juiste manier worden beperkt, en de toegang tot gevoelige systemen en wat ze daarin kunnen doen moet duidelijker worden gedefinieerd. Het lastige is dat ze voortdurend acties ondernemen, dus ze moeten ook voortdurend worden beperkt.”
Waar traditionele IAM faalt met agenten
Traditionele identiteits- en toegangsbeheersystemen werken op basis van verschillende kernaannames die door AI worden geschonden:
Statische privilegemodellen mislukken bij autonome agentworkflows: Conventionele IAM verleent machtigingen op basis van rollen die in de loop van de tijd relatief stabiel blijven. Maar agenten voeren reeksen acties uit die op verschillende momenten verschillende privilegeniveaus vereisen. Least privilege kan niet langer een set-it-and-forget-it-configuratie zijn. Nu moet het dynamisch bereik bij elke actie worden bereikt, met automatische verval- en vernieuwingsmechanismen.
De menselijke verantwoordelijkheid komt voor softwareagenten op het volgende neer: Legacy-systemen gaan ervan uit dat elke identiteit teruggaat tot een specifieke persoon die verantwoordelijk kan worden gehouden voor de ondernomen acties, maar agenten vervagen deze grens volledig. Nu is het onduidelijk wanneer een agent handelt en onder wiens gezag hij opereert, wat al een enorme kwetsbaarheid is. Maar wanneer die agent wordt gedupliceerd, gewijzigd of blijft bestaan lang nadat zijn oorspronkelijke doel is bereikt, wordt het risico groter.
Op gedrag gebaseerde detectie mislukt bij voortdurende agentactiviteit: Terwijl menselijke gebruikers herkenbare patronen volgen, zoals inloggen tijdens kantooruren, toegang krijgen tot bekende systemen en acties ondernemen die aansluiten bij hun functie, zijn agenten continu bezig, op meerdere systemen tegelijk. Dat vergroot niet alleen de kans op schade aan een systeem, maar zorgt er ook voor dat legitieme workflows als verdacht worden gemarkeerd door traditionele anomaliedetectiesystemen.
Agentidentiteiten zijn vaak onzichtbaar voor traditionele IAM-systemen: Traditioneel kunnen IT-teams min of meer identiteiten configureren en beheren die binnen hun omgeving opereren. Maar agenten kunnen op dynamische wijze nieuwe identiteiten bedenken, via bestaande serviceaccounts opereren of inloggegevens gebruiken op een manier die ze onzichtbaar maakt voor conventionele IAM-tools.
“Het gaat om het hele contextstuk, de intentie achter een agent, en traditionele IAM-systemen kunnen dat niet beheren”, zegt Wang. “Deze convergentie van verschillende systemen maakt de uitdaging breder dan identiteit alleen, en vereist context en waarneembaarheid om niet alleen te begrijpen wie handelde, maar ook waarom en hoe.”
Heroverweging van de beveiligingsarchitectuur voor agentische systemen
Het beveiligen van agentische AI vereist een heroverweging van de bedrijfsbeveiligingsarchitectuur van de grond af. Er zijn verschillende belangrijke verschuivingen nodig:
Identiteit als controlevlak voor AI-agenten: In plaats van identiteit te behandelen als één van de vele beveiligingscomponenten, moeten organisaties identiteit erkennen als het fundamentele controlevlak voor AI-agenten. Grote beveiligingsleveranciers gaan al in deze richting, waarbij identiteit in elke beveiligingsoplossing en -stack wordt geïntegreerd.
Contextbewuste toegang als vereiste voor agentische AI: Beleid moet veel gedetailleerder en specifieker worden, waarbij niet alleen wordt gedefinieerd waartoe een agent toegang heeft, maar ook onder welke voorwaarden. Dit betekent dat u moet overwegen wie de agent heeft aangeroepen, op welk apparaat deze draait, welke tijdsbeperkingen van toepassing zijn en welke specifieke acties binnen elk systeem zijn toegestaan.
Zero-knowledge-referentieverwerking voor autonome agenten: Een veelbelovende aanpak is om de inloggegevens volledig buiten het zicht van agenten te houden. Met behulp van technieken als automatisch aanvullen door agenten kunnen inloggegevens in authenticatiestromen worden geïnjecteerd zonder dat agenten deze ooit in platte tekst zien, vergelijkbaar met hoe wachtwoordmanagers voor mensen werken, maar dan uitgebreid tot softwareagenten.
Controleerbaarheidsvereisten voor AI-agenten: Traditionele auditlogboeken die API-aanroepen en authenticatiegebeurtenissen bijhouden, zijn onvoldoende. Voor de controleerbaarheid van agenten is het nodig om vast te leggen wie de agent is, onder wiens gezag hij opereert, welke reikwijdte van de autoriteit is verleend en de volledige keten van acties die zijn ondernomen om een workflow te voltooien. Dit weerspiegelt de gedetailleerde activiteitenregistratie die wordt gebruikt voor menselijke werknemers, maar moet worden aangepast voor software-entiteiten die honderden acties per minuut uitvoeren.
Het afdwingen van vertrouwensgrenzen tussen mensen, agenten en systemen: Organisaties hebben duidelijke, afdwingbare grenzen nodig die definiëren wat een agent kan doen wanneer hij door een specifieke persoon op een bepaald apparaat wordt aangeroepen. Dit vereist een scheiding tussen intentie en uitvoering: begrijpen wat een gebruiker wil dat een agent bereikt en wat de agent daadwerkelijk doet.
De toekomst van bedrijfsbeveiliging in een agentische wereld
Nu agentische AI ingebed raakt in de dagelijkse bedrijfsworkflows, is de beveiligingsuitdaging niet zozeer de vraag of organisaties agenten zullen adopteren; het gaat erom of de systemen die de toegang regelen, kunnen evolueren om gelijke tred te houden.
Het is onwaarschijnlijk dat het blokkeren van AI aan de rand schaalgrootte zal opleveren, maar het uitbreiden van bestaande identiteitsmodellen ook niet. Wat nodig is, is een verschuiving naar identiteitssystemen die in realtime rekening kunnen houden met context, delegatie en verantwoording, zowel voor mensen, machines als AI-agenten.
“De stapfunctie voor agenten in de productie zal niet alleen uit slimmere modellen komen”, zegt Wang. “Het zal voortkomen uit voorspelbare autoriteit en afdwingbare vertrouwensgrenzen. Bedrijven hebben identiteitssystemen nodig die duidelijk kunnen weergeven voor wie een agent handelt, wat hij mag doen en wanneer die autoriteit vervalt. Zonder dat wordt autonomie een onbeheerd risico. Daarmee worden agenten bestuurbaar.”
Gesponsorde artikelen zijn inhoud die is geproduceerd door een bedrijf dat voor de post betaalt of een zakelijke relatie heeft met VentureBeat, en deze is altijd duidelijk gemarkeerd. Voor meer informatie kunt u contact opnemen met sales@venturebeat.com.
