CX-platforms verwerken miljarden ongestructureerde interacties per jaar: enquêteformulieren, beoordelingssites, sociale feeds, callcentertranscripties, die allemaal in AI-engines terechtkomen die geautomatiseerde workflows activeren die betrekking hebben op salaris-, CRM- en betalingssystemen. Geen enkel hulpmiddel in de stapel van een leider van een beveiligingsoperatiecentrum inspecteert wat de AI-engine van een CX-platform opneemt, en aanvallers hebben dit ontdekt. Ze vergiftigen de gegevens die deze voeden, en de AI doet de schade voor hen.
De Salesloft/Drift-breuk in augustus 2025 bewees precies dit. Aanvallers heeft de GitHub-omgeving van Salesloft gecompromitteerdDrift-chatbot OAuth-tokens gestolen, en toegang tot Salesforce-omgevingen in meer dan 700 organisaties, waaronder Cloudflare, Palo Alto Networks en Zscaler. Het dan gescande gestolen gegevens voor AWS-sleutels, Snowflake-tokens en leesbare wachtwoorden. En er is geen malware ingezet.
Die kloof is groter dan de meeste beveiligingsleiders zich realiseren: 98% van de organisaties beschikt over een dataverliespreventieprogramma (DLP), maar slechts 6% beschikt over specifieke middelenDat blijkt uit het Voice of the CISO-rapport uit 2025 van Proofpoint, waarin 1.600 CISO’s in 16 landen werden ondervraagd. En 81% van de interactieve inbraken gebruik nu legitieme toegang in plaats van malware, volgens CrowdStrike’s Threat Hunting Report 2025. Het aantal cloudinbraken is in de eerste helft van 2025 met 136% gestegen.
“De meeste beveiligingsteams classificeren platformen voor ervaringsbeheer nog steeds als ‘enquêtetools’, die in hetzelfde risiconiveau vallen als een app voor projectbeheer”, vertelde Assaf Keren, chief security officer bij Qualtrics en voormalig CISO bij PayPal, in een recent interview aan VentureBeat. “Dit is een enorme verkeerde categorisering. Deze platforms maken nu verbinding met HRIS, CRM en compensatiemotoren.” Alleen Qualtrics verwerkt Jaarlijks 3,5 miljard interactieseen cijfer dat volgens het bedrijf sinds 2023 is verdubbeld. Organisaties kan het zich niet veroorloven om stappen over te slaan op invoerintegriteit zodra AI de workflow binnenkomt.
VentureBeat heeft enkele weken lang veiligheidsleiders geïnterviewd die deze kloof proberen te dichten. In elk gesprek kwamen zes controlefouten naar voren.
Zes blinde vlekken tussen de beveiligingsstack en de AI-engine
1. DLP kan niet zien dat ongestructureerde sentimentgegevens vertrekken via standaard API-aanroepen
Het meeste DLP-beleid classificeert gestructureerde persoonlijk identificeerbare informatie (PII): namen, e-mails en betalingsgegevens. CX-reacties in open tekst bevatten salarisklachten, gezondheidsverklaringen en kritiek van leidinggevenden. Geen komt overeen met standaard PII-patronen. Wanneer een AI-tool van derden die gegevens ophaalt, ziet de export eruit als een routinematige API-aanroep. De DLP vuurt nooit.
2. Zombie API-tokens van voltooide campagnes zijn nog steeds live
Een voorbeeld: Marketing voerde zes maanden geleden een CX-campagne uit, en de campagne eindigde. Maar de OAuth-tokens die het CX-platform verbinden met HRIS-, CRM- en betalingssystemen zijn nooit ingetrokken. Dat betekent dat elk een zijdelings bewegingspad is dat open zit.
JPMorgan Chase CISO Patrick Opet signaleerde dit risico in zijn rapport Open brief april 2025waarin wordt gewaarschuwd dat SaaS-integratiemodellen ‘expliciet vertrouwen van één factor tussen systemen’ creëren via tokens die ‘onvoldoende beveiligd zijn … kwetsbaar voor diefstal en hergebruik’.
3. Openbare invoerkanalen hebben geen botbeperking voordat gegevens de AI-engine bereiken
Een webapp-firewall inspecteert HTTP-payloads voor een webapplicatie, maar deze dekking strekt zich niet uit tot een Trustpilot-review, een Google Maps-beoordeling of een open-text enquêtereactie die een CX-platform opneemt als legitieme input. Frauduleus sentiment dat deze kanalen overspoelt, is onzichtbaar voor de perimetercontroles. VentureBeat vroeg beveiligingsleiders en leveranciers of iemand de integriteit van het invoerkanaal voor openbare gegevensbronnen die CX AI-engines voeden, bestrijkt; het blijkt dat de categorie nog niet bestaat.
4. Zijwaartse beweging vanaf een gecompromitteerd CX-platform loopt via goedgekeurde API-aanroepen
“Tegenstanders breken niet in, ze loggen in”, vertelde Daniel Bernard, chief business officer bij CrowdStrike, aan VentureBeat in een exclusief interview. “Het is een geldige login. Dus vanuit een ISV-perspectief van derden heb je een inlogpagina en heb je tweefactorauthenticatie. Wat wil je nog meer van ons?”
De dreiging strekt zich uit tot zowel menselijke als niet-menselijke identiteiten. Bernard beschreef het volgende: “Plotseling worden er terabytes aan gegevens geëxporteerd. Het is niet-standaard gebruik. Het gaat naar plaatsen waar deze gebruiker voorheen niet kwam.” A beveiligingsinformatie en evenementenbeheer (SIEM) systeem ziet de authenticatie slagen. Het ziet die gedragsverandering niet. Zonder wat Bernard ‘softwarehoudingsbeheer’ voor CX-platforms noemde, loopt de zijwaartse beweging via verbindingen die het beveiligingsteam al heeft goedgekeurd.
5. Niet-technische gebruikers hebben beheerdersrechten die niemand beoordeelt
Marketing-, HR- en klantsuccesteams configureren CX-integraties omdat ze snelheid nodig hebben, maar het SOC-team ziet ze misschien nooit. Beveiliging moet een faciliterende rol spelen, zegt Keren, anders kunnen teams er omheen. Elke organisatie die geen actuele inventaris kan maken van elke CX-platformintegratie en de beheerdersreferenties erachter, heeft te maken met schaduwbeheerders.
6. Open-tekstfeedback komt in de database terecht voordat PII wordt gemaskeerd
In medewerkersonderzoeken worden klachten over managers op naam, salarisgrieven en gezondheidsverklaringen vastgelegd. Feedback van klanten is net zo zichtbaar: accountgegevens, aankoopgeschiedenis, servicegeschillen. Niets van dit alles raakt een gestructureerde PII-classificator omdat het als vrije tekst arriveert. Als een inbreuk dit blootlegt, krijgen aanvallers ontmaskerde persoonlijke informatie langs het zijwaartse bewegingspad.
Niemand is eigenaar van dit gat
Deze zes mislukkingen delen een hoofdoorzaak: SaaS-beveiligingspostuurbeheer is volwassener geworden voor Salesforce, ServiceNow en andere bedrijfsplatforms. CX-platforms hebben nooit dezelfde behandeling gekregen. Niemand controleert de gebruikersactiviteit, machtigingen of configuraties binnen een ervaringsbeheerplatform, en beleidshandhaving op AI-workflows die die gegevens verwerken, bestaat niet. Wanneer botgestuurde invoer of afwijkende gegevensexporten de CX-applicatielaag bereiken, worden deze door niets gedetecteerd.
Beveiligingsteams reageren met wat ze hebben. Sommige breiden SSPM-tools uit om CX-platformconfiguraties en -machtigingen te dekken. API-beveiligingsgateways bieden een ander pad, waarbij tokenscopes en gegevensstromen tussen CX-platforms en downstream-systemen worden geïnspecteerd. Identiteitsgerichte teams passen CASB-achtige toegangscontroles toe op CX-beheerdersaccounts.
Geen van deze benaderingen levert wat CX-layer-beveiliging eigenlijk vereist: continue monitoring van wie toegang heeft tot ervaringsgegevens, realtime inzicht in verkeerde configuraties voordat deze laterale bewegingspaden worden, en geautomatiseerde bescherming die beleid afdwingt zonder te wachten op een driemaandelijkse beoordelingscyclus.
De eerste integratie die speciaal voor dat gat is gebouwd, verbindt postuurbeheer rechtstreeks met de CX-laag, waardoor beveiligingsteams dezelfde dekking krijgen over programma-activiteiten, configuraties en gegevenstoegang die ze al verwachten voor Salesforce of ServiceNow. CrowdStrike’s Falcon Shield en het Qualtrics XM Platform zijn de combinatie erachter. De geïnterviewde beveiligingsleiders van VentureBeat zeiden dat dit de controle is die ze handmatig hebben opgebouwd – en waar ze hun slaap over hebben verloren.
De beveiligingsteams van de explosieradius zijn niet aan het meten
De meeste organisaties hebben de technische explosieradius in kaart gebracht. ‘Maar niet de bedrijfsexplosie,’ zei Keren. Wanneer een AI-engine een compensatieaanpassing activeert op basis van vergiftigde gegevens, is de schade geen veiligheidsincident. Het is een verkeerde zakelijke beslissing die met machinesnelheid wordt uitgevoerd. Die kloof ligt tussen de CISO, de CIO en de eigenaar van de businessunit. Tegenwoordig is niemand de eigenaar ervan.
“Als we data gebruiken om zakelijke beslissingen te nemen, moeten die data kloppen”, zegt Keren.
Voer de audit uit en begin met de zombiefiches. Dat is waar de inbreuken op driftschaal beginnen. Begin met een validatieperiode van 30 dagen. De AI zal niet wachten.
