Agentic AI: het wapen dat niet langer een krijger nodig heeft

Cyberbeveiliging
Agentic AI: het wapen dat niet langer een krijger nodig heeft

Elk wapen begint als een verlengstuk van de hand die het vasthoudt. De speer verlengde het bereik van de arm. De boog stuurde de punt weg zonder de worp. Het geweer plaatste de dood van een man een kwart mijl buiten zijn zicht, en het vliegtuig droeg die dood over de oceanen. Bij elke bocht werd de afstand tussen de krijger en de wond groter, en toch bewoog één ding nooit: een mens koos het doelwit en een mens bracht de klap toe. Gedurende de hele geschiedenis van conflicten, inclusief de cyberwereld, is de hand op het wapen gebleven.

Offensieve AI is het moment waarop het wapen leert zichzelf te richten.

Al drie jaar lang is kunstmatige intelligentie (AI) een verlengstuk van de pen. Het stelde de phishing-e-mail op, stelde de exploit voor, schetste de kwaadaardige functie en gaf vervolgens, zoals elk hulpmiddel dat eraan voorafging, het werk terug aan een mens om het uit te voeren. In 2023 publiceerde ik een whitepaper bij het SANS Technology Institute waarin ik liet zien hoe iemand met vrijwel geen vaardigheden een chatbot kon overhalen om malware te produceren die langs de bedieningselementen liep die waren gebouwd om deze te stoppen. Dat was de leeftijd van de assistent: gevaarlijk, zeker, maar nog steeds aangelijnd aan de operator die hem vasthield. Agentische AI ​​verbreekt de riem. Het neemt het doel en loopt de stappen zelf. Deze enkele verandering, van een instrument dat tekent naar een instrument dat handelt, hervormt offensieve operaties sneller dan de verdedigingswerken die zijn gebouwd om ze te vangen, en snijdt in twee richtingen tegelijk. Het geeft echte mogelijkheden aan aanvallers die er nog nooit over beschikten, en het verleent woeste snelheid aan degenen die al dodelijk waren.

Als uw vak offensief werk is, is dit de grond waarop u nu staat. Het gereedschap dat een tegenstander zich tegen een doelwit keert, is het gereedschap dat je zelf moet kunnen gebruiken, en het is veel verder gegaan dan chatbots en heeft mooiere phishing-technieken bedacht. Het is de moeite waard om met heldere en onsentimentele ogen te bestuderen wat deze agenten tegenwoordig kunnen doen, hoe ze je laten opereren in een tempo dat de laatste tijd onmogelijk leek, en waar ze je stilletjes van een klif af zullen loodsen als je ze met te veel vertrouwen volgt.

De poort is gevallen

Denk aan de beginnende dreigingsactor, die historisch gezien beperkt werd door een gebrek aan technische expertise. Dergelijke individuen kunnen nu agenten inzetten om exploits te ontwikkelen en autonoom campagnes uit te voeren. Technisch meesterschap is niet langer een vereiste; intentie en toegang tot capabele hulpmiddelen zijn voldoende. Ik noem dit fenomeen ‘scriptkiddie as a service’, waarmee de opkomst wordt bedoeld van geavanceerde aanvallen van voorheen ongeschoolde acteurs.

Een verdere implicatie is dat de beperkingen van ongeschoolde aanvallers nu worden bepaald door de mogelijkheden van de door hen gekozen AI-modellen in plaats van door hun eigen expertise. Omdat talloze ongetrainde actoren vergelijkbare modellen op vergelijkbare manieren gebruiken, beginnen hun aanvalsmethoden te convergeren, wat resulteert in een gedragsmatige monocultuur. Hoewel dit het aantal competente aanvallen vergroot, creëert het ook herkenbare patronen, zoals gestandaardiseerde phishing- en exploitketens. Bekwame tegenstanders zullen zich verder dan deze standaarden aanpassen, maar de meerderheid niet. Bijgevolg kunnen verdedigers die dit standaardgedrag begrijpen, beter anticiperen op wijdverbreide bedreigingen en deze beperken.

Voor ervaren beoefenaars verbetert kunstmatige intelligentie niet noodzakelijkerwijs de vaardigheden, maar verhoogt het de operationele snelheid aanzienlijk. Het trainen van een agent in gevestigde vaardigheden maakt parallelle uitvoering van campagnes mogelijk, waardoor taken die voorheen weken in beslag namen, worden teruggebracht tot slechts enkele uren. Dit dubbele effect, meer aanvallers op instapniveau en versnelde aanvallen van experts, verbreedt het algehele dreigingslandschap. Voor degenen die geautoriseerde offensieve operaties uitvoeren, is dit nu de heersende norm. Tegenstanders maken al gebruik van deze instrumenten, en elke betrokkenheid die deze verwaarloost, is niet in staat de huidige bedreigingen te weerspiegelen.

De jacht voert zichzelf

Een van de meest voorkomende voorbeelden die ik mensen vaak geef is autonome social engineering. In dit scenario zet een aanvaller een agent in om openbaar beschikbare informatie over een doelwit te verzamelen, zoals LinkedIn-profielen, persberichten of opnames van conferenties, om zo een gedetailleerd profiel samen te stellen. Deze intelligentie wordt vervolgens gebruikt door een tweede agent, die gepersonaliseerde berichten genereert en verzendt, de reacties beheert en een doorlopend gesprek voert, waarbij stapsgewijs het doel wordt bereikt. Er is geen menselijke tussenkomst vereist in het communicatieproces.

Het gevaar hier is niet snelheid; het is de stille dood van de signalen die we vertrouwden. Jarenlang leunde onze phishing-verdediging op de signalen van massaproductie: de onhandige grammatica, het gerecyclede sjabloon, de identieke mail die tienduizend keer werd verzonden. Dat zijn precies de signalen die deze regeling uitwist. Elke boodschap komt vloeiend, uniek en gebaseerd op iets dat echt waar is over de boodschap ervan. Zeker, de infrastructuursignalen blijven bestaan; zaken als de reputatie van de afzender, authenticatie en dergelijke staan ​​nog steeds op de loer, maar nu moeten we als verdedigers harder dan ooit op hen leunen, en hoe lang zal het duren voordat die verdedigingen onder die druk breken? De informatie op taalkundig en sjabloonniveau vertelt ons dat een groot deel van onze detectie, waar we stilletjes op vertrouwden, verdwenen is.

En het is niet alleen social engineering. Dezelfde automatisering haalt de uitbuiting in. Naarmate grensmodellen steeds meer oefenen in het aan elkaar koppelen van tool calls en het corrigeren van zichzelf tegen de leefomgeving, wordt de lat voor het produceren van een werkende exploit met elke release lager. Zozeer zelfs dat de federale overheid er nu bij betrokken raakt en modellen als Fable 5 van Anthropic dwingt om van de markt te worden gehaald uit angst voor de mogelijkheden ervan. Maar dit is slechts het topje van de ijsberg. Door zelfs redelijk capabele modellen aan een database met bekende kwetsbaarheden te koppelen, zal deze zijn eigen verkenningen uitvoeren, beoordelen waar een doelwit waarschijnlijk aan wordt blootgesteld, de bijbehorende exploit van de plank halen en terugrapporteren als een hond die een geur heeft opgevangen: ik geloof dat dit zal werken, op basis van deze indicatoren. Zal ik het uitvoeren? Malware bewandelt dezelfde weg en wordt op zichzelf steeds agressiever, en we zien nu al dat agenten bestaande malware herschrijven tot stillere soorten die zijn ontwikkeld om voorbij de controles te glippen die de oudere vorm kenden. Dit begon jaren geleden met de introductie van het “Guided Network Access Weapon (GNAW)” dat ik debuteerde op de Hackers Teaching Hackers-conferentie.

Het vertrouwen van een vals orakel

Dit alles maakt de agenten zeer verleidelijk om op te leunen. Ze zijn snel, rennen zelf en spreken van begin tot eind met ononderbroken gezag. Die laatste eigenschap is de valstrik, en als je het liegen noemt, vlei je het met opzet. De agent is niet op zoek naar de waarheid. Het is zoeken naar een voltooide taak en naar een antwoord dat de schijn van gelijk heeft. Het biedt geen bevoorrecht zicht op de vraag of een gastheer werkelijk kwetsbaar is; het koppelt indicatoren aan een conclusie en levert die conclusie met dezelfde vaste stem, of de conclusie nu goed of hol is. Combineer het met een opslagplaats van kwetsbaarheden en de foutverbindingen, zodat het ophalen naar boven komt wat plausibel gerelateerd is, en niet wat werkelijk van toepassing is. Het controleert niet de versie, noch de configuratie, noch of de dienst überhaupt bereikbaar is.

Waar het bewijs wordt geleverd

Dat beoordelingsprobleem is precies de reden waarom de plaats die dit werk inneemt er toe doet. De SANS Secure AI Blueprint, geschreven door SANS Chief AI Officer Rob T. Lee, verdeelt de bredere uitdaging in drie sporen: Bescherm AI, Gebruik AI en Beheer AI. Het bestuur produceert het beleid en het toezicht dat deze systemen verantwoordelijk houdt. Bescherming verhardt de systemen die een organisatie feitelijk beheert. Gebruik maken is waar AI wordt ingezet voor zowel aanval als verdediging, en offensieve operaties zijn het scherpste voordeel ervan.

Het leiderschap hoort de woorden ‘AI-beveiliging’ en stelt beleidsmappen en een bestuurscommissie in een stille kamer voor. Toch is Utilize de enige van de drie die bewijs levert: de daadwerkelijke aanvallen zijn gericht tegen de daadwerkelijke systemen, waaruit blijkt of het beleid en de verharding stand houden wanneer ze worden getroffen. Een organisatie kan elke richtlijn schrijven die ze wil en elke verdediging die ze maar kan opkomen, maar totdat iemand dit instrument tegen haar eigen muren keert, weet ze nog niet wie van hen stand zal houden. Een verdediging is een theorie totdat deze contact maakt, en de operator is degene die deze daarheen brengt. Daarom zijn het steeds vaker de operators die het hele programma ter verantwoording roepen.

Waar de krijger voor is

Keer dan terug naar waar we begonnen. Gedurende de hele geschiedenis van de mensheid bleef de hand op het wapen gericht, omdat de keuze van het wapen niet vertrouwd kon worden, en zoveel is er niet veranderd. De machine kan nu zichzelf richten, maar kan u niet vertellen of er moet worden geschoten. Het zal een doelwit noemen dat er nooit is geweest en met dezelfde onbezorgde stem die het gebruikt als het goed is, om toestemming vragen om te schieten. Elk mechanisch onderdeel van dit vaartuig wordt doorgegeven aan de machine. Het enige deel dat dat niet is, het oordeel om de waarheid te onderscheiden van een zelfverzekerde leugen en je hand vast te houden totdat je het zeker weet, wordt het geheel van het werk. De krijger heeft nog nooit verder van de wond gestaan, en de keuze die hen verbindt heeft nog nooit zo zwaar gewogen. Het wapen heeft niet langer een krijger nodig om ermee te zwaaien, maar er is nooit meer dan nu een persoon nodig geweest om te beslissen of er überhaupt mee gezwaaid moet worden.

Leer offensieve AI op SANS San Antonio 2026

In augustus zal ik deze vragen diepgaand behandelen tijdens mijn SEC535: Offensive AI – Attack Tools and Techniques-cursus die wordt gegeven op SANS San Antonio 2026. Gedurende drie dagen van praktische labs werken we met de technieken die hier worden beschreven vanaf de kant van de operator: AI-ondersteunde verkenning en social engineering, deepfake- en voice-kloning-aanvallen, AI-ondersteunde ontdekking van kwetsbaarheden en het gebruik van AI bij de ontwikkeling en ontwijking van malware. Je bestuurt het gereedschap met je eigen handen en gaat weg met een goed gevoel van het bereik, de grenzen en de precieze punten waarop je het niet mag vertrouwen. Dat is de afstand tussen het weten dat deze aanvallen bestaan ​​en het kunnen uitvoeren ervan.

De machine zal het richten uitvoeren. Wees het oordeel achter het schot.

Schrijf je in voor SANS San Antonio 2026 hier.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Foster Nethercott, auteur van de SANS SEC535-cursus.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Schadelijke npm-pakketten doen zich voor als PostCSS-tools om Windows RAT te leveren

GitHub werkt acties/afrekenen bij om veelvoorkomende Pwn Request-aanvalspatronen te blokkeren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]