Beveiliging van de softwaretoeleveringsketen was al moeilijk genoeg. Vervolgens sloot AI zich aan bij de build-pijplijn.
Vijf jaar lang betekende ‘software supply chain security’ één vraag: wat zit er in uw code? Welke open-sourcepakketten, welke versies, welke transitieve afhankelijkheden van drie lagen diep die niemand expres heeft gekozen?
SolarWinds, Log4Shell en XZ Utils ze leerden allemaal dezelfde les: het risico schuilt minder in de code die een team schrijft, maar meer in alles wat deze code produceert. Shai-Hulud, de zichzelf verspreidende campagne voor kwaadaardige pakketten die zich dit jaar via toolchains van ontwikkelaars verspreidde, leerde de volgende: weten wat er in je code zit is nog steeds noodzakelijk, maar het is niet langer voldoende.
In de ongeveer twintig maanden sinds de lancering van het Model Context Protocol zijn AI-tools, -modellen en de infrastructuur eromheen dragende onderdelen geworden van de manier waarop software wordt gebouwd, geïmplementeerd en uitgevoerd. Code wordt geschreven door agenten. Pakketten worden binnengehaald door autonome tools die besluiten dat ze nodig zijn. Prompts zijn een echte input voor de build geworden, wat betekent dat ze een echte manier zijn om er compromissen in te sluiten. Niets van dit alles was binnen de reikwijdte toen de meeste beveiligingsprogramma’s werden ontworpen.
Waar het risico zich feitelijk verplaatste
Het is verleidelijk om door AI gegenereerde code te behandelen als gewoon meer code, deze door dezelfde scanners te laten lopen en deze gedekt te noemen. Dat geeft een verkeerde interpretatie van waar het risico zich verplaatste.
De herkomstvraag die altijd de beveiliging van de toeleveringsketen heeft gedefinieerd – waar komt dit vandaan en kan ik erop vertrouwen – is nu van toepassing op het model, de agent en de tool, en niet alleen op het artefact. Een AI-coderingsassistent suggereert een afhankelijkheid en een ontwikkelaar accepteert deze zonder dat het pakket ooit het dreigingsmodel van een mens overschrijdt. Een autonome agent reikt via MCP naar een tool om een taak te voltooien, en die tool reikt naar een andere. Een prompt, gemaakt door een aanvaller en ergens geplaatst waar het model het kan lezen, stuurt wat er wordt geschreven of wat erin wordt getrokken.
Het valideren van door AI gegenereerde code voordat deze wordt vastgelegd, is een tafelinzet. Het moeilijkere probleem is het beheersen van de agenten die het schrijven doen en de tools die ze gebruiken.
Hoe een programma eruit ziet als AI binnen bereik is
De teams waarmee we samenwerken komen niet tekort aan bevindingen. Ze verdrinken erin. Door “scan ook de AI-uitvoer” toe te voegen aan een toch al overbelaste wachtrij wordt de stapel waarschuwingen groter, en niet het programma sterker. Er veranderen twee dingen als AI echt van toepassing is.
Ten eerste moet lineage zich uitstrekken tot alles wat in de pijplijn komt, inclusief de modellen en agenten. Eén benadering is het uitbreiden van lineage naar de pijplijn zelf: het traceren van activiteit, herkomst en configuratieveranderingen vanaf de eerste commit tot runtime, en het toepassen van dezelfde nauwkeurigheid op modellen en agenten als op elke andere afhankelijkheid.
Ten tweede moet de prioriteitstelling gebaseerd zijn op werkelijke exploiteerbaarheid, niet op volume. Het correleren van bevindingen met runtimecontext en wat daadwerkelijk bereikbaar is, is het verschil tussen een lijst met kwetsbaarheden en een werkbare keten van exploits. Dat verschil wordt belangrijker, niet minder, zodra een agent vóór de lunch duizend regels plausibele code kan genereren.
Dit is de kloof die Gartner in juni heeft geformaliseerd toen het het inaugurele Magic Quadrant for Software Supply Chain Security publiceerde: de erkenning door de markt dat een probleem dat teams hebben verdedigd zonder een budgetlijn, is nu iets dat de moeite waard is om systematisch te evalueren.
Op 22 juli organiseren OX-onderzoekers een webinar – How AI Is Reshaping Supply Chain Security As We Know It – om samen met beveiligingsleiders die dit werk van binnenuit doen, door nieuw onderzoek te lopen. We bespreken hoe AI-integratie het aanvalsoppervlak heeft veranderd, bevindingen uit de eerste systematische blik op MCP-servers in het wild, en hoe een supply chain-beveiligingsprogramma er feitelijk uitziet als AI binnen de reikwijdte is in plaats van erna te worden vastgeschroefd.
Registreer hier. Breng moeilijke vragen mee.
