AI-agents die autonoom acties uitvoeren in bedrijfsapplicaties brengen beveiligingsrisico’s met zich mee die vergelijkbaar zijn met die van een insider threat. Orange Cyberdefense identificeert vier specifieke risico’s en stelt dat de inzet van deze systemen in de praktijk te vaak ad hoc gebeurt. Bestaande beveiligingsprincipes als least privilege en zero trust zijn volgens het bedrijf toereikend, maar worden bij AI-agents onvoldoende consequent toegepast.
AI-agents onderscheiden zich van andere AI-systemen doordat ze zelfstandig acties uitvoeren in bedrijfsapplicaties, zoals data ophalen, combineren en taken afhandelen. Volgens Orange Cyberdefense loopt de beveiliging van deze systemen structureel achter op de snelheid waarmee organisaties ze implementeren.
Vier risico’s
Het bedrijf beschrijft vier categorieën van risico. Ten eerste hebben AI-agents vaak toegang tot meer informatie dan nodig is voor de taak die ze uitvoeren. Waar een medewerker nog een afweging maakt over wat hij deelt, ontbreekt bij een agent dat beoordelingsvermogen.
Ten tweede handelen agents op basis van de input die ze ontvangen, zoals e-mails, documenten en queries, zonder die input kritisch te beoordelen. Bij onvolledige of kwaadaardige invoer kan een agent extra data ophalen, veiligheidsprotocollen omzeilen of informatie op de verkeerde plek publiceren.
Een derde risico is dat fouten in een vroege stap van een geautomatiseerde keten ongemerkt doorwerken in latere acties. Doordat agents op een snelheid opereren die menselijke controle bemoeilijkt, kan een kleine fout uitgroeien tot een groter incident voordat iemand ingrijpt.
Tot slot stelt Orange Cyberdefense dat de beslissingslogica van AI-agents moeilijker te reconstrueren is dan die van menselijke medewerkers. Daardoor zijn incidenten lastiger te onderzoeken en is het moeilijker vast te stellen waar het misging.
Consequentere toepassing van bestaande principes
Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense, geeft aan dat de inzet van AI-agents geen volledig nieuwe beveiligingsaanpak vereist. Bestaande principes als least privilege, zero trust, logging en monitoring zijn volgens hem toereikend, maar moeten wel consequenter worden toegepast dan nu vaak het geval is.
Van der Wel-ter Weel wijst erop dat organisaties bij medewerkers en traditionele systemen doorgaans al duidelijke kaders hanteren, maar dat de inzet van AI-agents in de praktijk te vaak ad hoc plaatsvindt. Hij noemt drie concrete aandachtspunten.
Eerste punt: elke AI-agent verdient een duidelijke identiteit, rol en afbakening. Organisaties moeten vastleggen welke taak een agent heeft, welke data daarvoor nodig zijn en binnen welke grenzen de agent mag handelen. Zonder die afbakening ontstaat het risico dat een agent meer toegang of handelingsruimte krijgt dan de taak vereist.
Tweede punt: beslissingen van AI-agents moeten herleidbaar zijn. Traditionele logging legt vast wát een systeem heeft gedaan, maar niet waaróm een agent tot een bepaalde actie of beslissing kwam. Om incidenten te kunnen onderzoeken en verantwoordelijkheid te kunnen vaststellen, is inzicht nodig in de input, bronnen en context die een rol speelden.
Derde punt: voor acties met grote impact op de operatie, financiën of compliance is realtime controle en menselijke tussenkomst noodzakelijk. Denk aan het delen van gevoelige informatie, het aanpassen van rechten of het starten van externe communicatie. Van der Wel-ter Weel stelt dat de vraag niet alleen is of een agent toegang heeft, maar ook of een actie op dat moment verantwoord is.
AI-agent-sprawl als risico
Orange Cyberdefense waarschuwt voor wat het omschrijft als AI-agent-sprawl: een wildgroei aan agents zonder centraal overzicht, duidelijke grenzen of eigenaarschap. Van der Wel-ter Weel roept organisaties op nu beleid te ontwikkelen voor de inzet van AI-agents, inclusief governance, training, bewustwording en een centraal register van toepassingen, verantwoordelijkheden en risico’s. Dat beleid raakt volgens hem niet alleen aan techniek, maar ook aan ethiek, compliance en leiderschap.
