AI-agenten versnellen de manier waarop werk wordt gedaan. Ze plannen vergaderingen, hebben toegang tot gegevens, activeren workflows, schrijven code en ondernemen in realtime actie, waardoor de productiviteit in de hele onderneming verder gaat dan menselijke snelheid.
Dan komt het moment waarop elk beveiligingsteam uiteindelijk toeslaat:
“Wacht… wie heeft dit goedgekeurd?”
In tegenstelling tot gebruikers of applicaties worden AI-agents vaak snel ingezet, breed gedeeld en brede toegangsrechten verleend, waardoor eigendom, goedkeuring en verantwoordelijkheid moeilijk te traceren zijn. Wat ooit een eenvoudige vraag was, is nu verrassend moeilijk te beantwoorden.
AI-agenten doorbreken traditionele toegangsmodellen
AI-agenten zijn niet zomaar een type gebruiker. Ze verschillen fundamenteel van zowel mensen als traditionele serviceaccounts, en die verschillen zijn wat de bestaande toegangs- en goedkeuringsmodellen doorbreekt.
Menselijke toegang is opgebouwd rond een duidelijke intentie. Machtigingen zijn gebonden aan een rol, periodiek beoordeeld en beperkt door tijd en context. Serviceaccounts zijn weliswaar niet-menselijk, maar zijn doorgaans speciaal gebouwd, hebben een beperkte reikwijdte en zijn gekoppeld aan een specifieke toepassing of functie.
AI-agenten zijn anders. Ze werken met gedelegeerde bevoegdheden en kunnen namens meerdere gebruikers of teams optreden zonder dat daarvoor voortdurende menselijke betrokkenheid nodig is. Eenmaal geautoriseerd, zijn ze autonoom en persistent en werken ze vaak op verschillende systemen, waarbij ze zich tussen verschillende systemen en gegevensbronnen verplaatsen om taken van begin tot eind te voltooien.
In dit model automatiseert gedelegeerde toegang niet alleen gebruikersacties, maar breidt deze ook uit. Menselijke gebruikers worden beperkt door de toestemmingen die ze expliciet krijgen, maar AI-agenten krijgen vaak bredere, krachtigere toegang om effectief te kunnen opereren. Hierdoor kan de agent acties uitvoeren waartoe de gebruiker zelf nooit bevoegd was. Zodra die toegang bestaat, kan de agent actie ondernemen. Zelfs als de gebruiker nooit de bedoeling had de actie uit te voeren, of zich er niet van bewust was dat dit mogelijk was, kan de agent deze nog steeds uitvoeren. Als gevolg hiervan kan de agent blootstelling creëren – soms per ongeluk, soms impliciet, maar vanuit technisch oogpunt altijd legitiem.
Dit is hoe toegangsdrift ontstaat. Agenten verzamelen stilletjes machtigingen naarmate hun bereik groter wordt. Integraties worden toegevoegd, rollen veranderen, teams komen en gaan, maar de toegang van de agent blijft. Ze worden een krachtige tussenpersoon met brede, langlopende bevoegdheden en vaak zonder duidelijke eigenaar.
Het is geen wonder dat de bestaande IAM-aannames niet werken. IAM gaat uit van een duidelijke identiteit, een gedefinieerde eigenaar, statische rollen en periodieke beoordelingen die aansluiten bij menselijk gedrag. AI-agenten volgen deze patronen niet. Ze passen niet netjes in de categorieën gebruikers- of serviceaccounts, ze werken continu en hun effectieve toegang wordt bepaald door de manier waarop ze worden gebruikt, niet hoe ze oorspronkelijk zijn goedgekeurd. Zonder deze aannames te heroverwegen, wordt IAM blind voor het echte risico dat AI-agenten met zich meebrengen.
De drie soorten AI-agenten in de onderneming
Niet alle AI-agents dragen hetzelfde risico in bedrijfsomgevingen. Het risico varieert afhankelijk van wie de eigenaar is van de agent, hoe breed deze wordt gebruikt en welke toegang deze heeft, wat resulteert in verschillende categorieën met zeer verschillende implicaties op het gebied van beveiliging, aansprakelijkheid en explosieradius:
Persoonlijke agenten (eigendom van gebruiker)
Persoonlijke agenten zijn AI-assistenten die door individuele werknemers worden gebruikt om te helpen bij dagelijkse taken. Ze stellen inhoud op, vatten informatie samen, plannen vergaderingen of helpen bij het coderen, altijd in de context van één enkele gebruiker.
Deze agenten werken doorgaans binnen de machtigingen van de gebruiker die er eigenaar van is. Hun toegang wordt geërfd, niet uitgebreid. Als de gebruiker de toegang verliest, verliest de agent dat ook. Omdat het eigendom duidelijk is en de reikwijdte beperkt is, is de explosieradius relatief klein. Risico’s zijn rechtstreeks verbonden met de individuele gebruiker, waardoor persoonlijke agenten het gemakkelijkst te begrijpen, te beheren en te verhelpen zijn.
Externe agenten (eigendom van de leverancier)
Agenten van derden zijn ingebed in SaaS- en AI-platforms, die door leveranciers worden aangeboden als onderdeel van hun product. Voorbeelden hiervan zijn AI-functies die zijn ingebed in CRM-systemen, samenwerkingstools of beveiligingsplatforms.
Deze agenten worden bestuurd via leverancierscontroles, contracten en modellen voor gedeelde verantwoordelijkheid. Hoewel klanten misschien beperkt inzicht hebben in de manier waarop ze intern werken, is de verantwoordelijkheid duidelijk gedefinieerd: de leverancier is eigenaar van de agent.
De voornaamste zorg hier is het risico van de AI-toeleveringsketen: erop vertrouwen dat de leverancier zijn agenten op de juiste manier beveiligt. Maar vanuit ondernemingsperspectief worden eigendom, goedkeuringstrajecten en verantwoordelijkheid doorgaans goed begrepen.
Organisatorische agenten (gedeeld en vaak zonder eigenaar)
Organisatorische agenten worden intern ingezet en gedeeld tussen teams, workflows en gebruiksscenario’s. Ze automatiseren processen, integreren systemen en treden op namens meerdere gebruikers. Om effectief te zijn, krijgen deze agenten vaak brede, permanente machtigingen die verder gaan dan de toegang van één enkele gebruiker.
Dit is waar het risico zich concentreert. Organisatorische agenten hebben vaak geen duidelijke eigenaar, geen enkele goedkeurder en geen gedefinieerde levenscyclus. Als er iets misgaat, is het onduidelijk wie verantwoordelijk is of zelfs wie volledig begrijpt wat de agent kan doen.
Als gevolg hiervan vertegenwoordigen organisatorische agenten het hoogste risico en de grootste explosieradius, niet omdat ze kwaadaardig zijn, maar omdat ze op grote schaal opereren zonder duidelijke verantwoordelijkheid.
Het Agent Authorization Bypass-probleem
Zoals we in ons artikel hebben uitgelegd, voeren agenten die autorisatie-bypass-paden creëren, AI-agents niet alleen taken uit, ze fungeren ook als toegangsbemiddelaars. In plaats van dat gebruikers rechtstreeks met systemen communiceren, opereren agenten namens hen, met behulp van hun eigen inloggegevens, tokens en integraties. Dit verschuift waar autorisatiebeslissingen daadwerkelijk plaatsvinden.
Wanneer agenten namens individuele gebruikers opereren, kunnen ze de gebruiker toegang en mogelijkheden bieden die verder gaan dan de goedgekeurde machtigingen van de gebruiker. Een gebruiker die niet direct toegang heeft tot bepaalde gegevens of specifieke acties kan uitvoeren, kan toch een agent activeren die dat wel kan. De agent wordt een proxy, waardoor acties mogelijk worden gemaakt die de gebruiker nooit zelfstandig zou kunnen uitvoeren.
Deze acties zijn technisch geautoriseerd: de agent heeft geldige toegang. Ze zijn echter contextueel onveilig. Traditionele toegangscontroles veroorzaken geen waarschuwing omdat de inloggegevens legitiem zijn. Dit is de kern van de agentische autorisatie-bypass: toegang wordt correct verleend, maar gebruikt op een manier waarop beveiligingsmodellen nooit zijn ontworpen.
Risico opnieuw bekijken: wat er moet veranderen
Het beveiligen van AI-agenten vereist een fundamentele verandering in de manier waarop risico’s worden gedefinieerd en beheerd. Agenten kunnen niet langer worden behandeld als verlengstukken van gebruikers of als achtergrondautomatiseringsprocessen. Ze moeten worden behandeld als gevoelige, potentieel risicovolle entiteiten met hun eigen identiteit, machtigingen en risicoprofielen.
Dit begint met duidelijk eigenaarschap en verantwoordelijkheid. Elke agent moet een gedefinieerde eigenaar hebben die verantwoordelijk is voor het doel, de reikwijdte van de toegang en de voortdurende beoordeling. Zonder eigendom is goedkeuring zinloos en blijft het risico onbeheerd.
Het is van cruciaal belang dat organisaties ook in kaart brengen hoe gebruikers omgaan met agenten. Het is niet voldoende om te begrijpen waartoe een agent toegang heeft; beveiligingsteams hebben inzicht nodig in welke gebruikers een agent kunnen aanroepen, onder welke omstandigheden en met welke effectieve machtigingen. Zonder deze user-agent-verbindingskaart kunnen agenten in stilte autorisatie-bypass-paden worden, waardoor gebruikers indirect acties kunnen uitvoeren die ze niet direct mogen uitvoeren.
Ten slotte moeten organisaties de toegang, integraties en datapaden van agenten tussen systemen in kaart brengen. Alleen door gebruiker → agent → systeem → actie met elkaar te correleren kunnen teams de straal van de explosie accuraat inschatten, misbruik opsporen en op betrouwbare wijze verdachte activiteiten onderzoeken als er iets misgaat.
De kosten van ongecontroleerde AI-agenten van organisaties
Ongecontroleerde AI-agenten in de organisatie zetten productiviteitswinst om in systeemrisico. Deze agenten worden gedeeld door teams en krijgen brede, permanente toegang en opereren zonder duidelijke eigenaarschap of verantwoordelijkheid. Na verloop van tijd kunnen ze worden gebruikt voor nieuwe taken, nieuwe uitvoeringspaden creëren en worden hun acties moeilijker te traceren of te beheersen. Als er iets misgaat, is er geen duidelijke eigenaar die kan reageren, herstellen of zelfs maar de volledige straal van de ontploffing kan begrijpen. Zonder zichtbaarheid, eigendom en toegangscontrole worden organisatorische AI-agenten een van de gevaarlijkste en minst gecontroleerde elementen in het bedrijfsbeveiligingslandschap.
Ga voor meer informatie naar https://wing.security/
