AI-agenten veroveren de wereld: wie controleert nog wie toegang krijgt tot je systemen?

AI ontdekt lekken die decennialang onopgemerkt bleven

Anthropic, een toonaangevend AI-bedrijf, heeft besloten het krachtigste model tot nu toe, Mythos, niet vrij te geven aan het publiek. De reden? Mythos ontdekte duizenden onbekende softwarelekken die al tientallen jaren onopgemerkt bleven in belangrijke besturingssystemen en webbrowsers. Het bedrijf waarschuwt dat de capaciteiten die Mythos in staat stellen om zwakke plekken te vinden en te herstellen, ook door aanvallers kunnen worden misbruikt.

Autonome agenten veranderen de regels van cybersecurity

Een enkel AI-agent kan zwakke plekken sneller en grondiger scannen dan honderden menselijke hackers samen. Tegelijkertijd worden deze systemen door bedrijven ingezet als autonome assistenten: ze plannen afspraken, schrijven code en beheren workflows. Maar de beveiligingsmodellen die we gebruiken, stammen uit een tijdperk waarin elk toetsenbord door een mens werd bediend.

Stel je voor: een gebouw waar elke deur een slot heeft, ontworpen om menselijke handen te herkennen. Nu stromen er robots doorheen – sommige zijn geautoriseerde koeriers, andere indringers – maar de sloten kunnen het verschil niet maken.

De illusie van menselijke controle

Vroeger logde je in met een gebruikersnaam en wachtwoord, typte ze in en kon je ondertussen een kop koffie halen. Elke volgende beveiligingslaag – van wachtwoorden tot tweefactorauthenticatie – is gebouwd op één fundamentele aanname: er zat een mens achter het scherm. AI-agenten doorbreken die aanname op twee manieren tegelijk.

Legitieme agenten hebben toegang nodig tot je identiteit om namens jou te handelen. Voorbeelden:

• OpenAI’s Operator: Navigeert websites op jouw verzoek.
• Google’s Gemini: Plant je volgende vakantie terwijl je slaapt.
• Visa’s Intelligence Commerce Connect: Laat AI-agenten boodschappen doen voor consumenten.

Deze systemen zijn geen experimentele prototypes meer; ze zijn producten die namens echte mensen handelen – en daarvoor hebben ze jouw identiteit nodig.

Malafide agenten kunnen menselijkheid perfect nabootsen. De technologie die een behulpzame assistent creëert, kan ook worden ingezet voor kwaadaardige doeleinden. Ze loggen niet in door sloten te forceren, maar door gebruik te maken van gedeelde inloggegevens, wervingsportalen, leveranciersaccounts en samenwerkingstools.

Identiteit wordt het nieuwe slagveld

De meeste organisaties behandelen identiteit nog steeds als een loginprobleem. IT-teams proberen het op te lossen met sterkere wachtwoorden, extra authenticatiestappen of multifactorauthenticatie. Maar de echte uitdaging ligt ergens anders: hoe weet je wie – of wat – je al toegang hebt gegeven?

Die grens tussen mens en machine vervaagt precies op het moment dat digitale systemen steeds autonomer worden. Wanneer die grens verdwijnt, zijn de gevolgen direct merkbaar:

• Een inkoopworkflow kan niet meer onderscheiden tussen een menselijke manager en een AI-impostor. Dit leidt tot valse bestelorders onder verkeerde autoriteit.
• Compliancelogs kunnen niet meer achterhalen hoe een transactie tot stand is gekomen.
• Bedrijven lopen het risico op financiële fraude, datalekken en reputatieschade.

Een fundamentele herziening van cybersecurity is noodzakelijk

De traditionele benadering van identiteitsbeheer is ontoereikend voor het tijdperk van AI. Bedrijven moeten niet alleen nadenken over hoe iemand toegang krijgt, maar ook waarom en waarvoor. Dit vereist een combinatie van:

• Dynamische toegangcontrole: Systemen die continu monitoren of een actie past bij het profiel van de gebruiker of agent.
• Contextuele authenticatie: Niet alleen wie iemand is, maar ook wat diegene probeert te doen, wordt meegenomen in de beslissing.
• Real-time detectie: Het vermogen om ongebruikelijke patronen direct te herkennen, zoals een AI-agent die plotseling honderden transacties uitvoert.

De komst van AI-agenten markeert het einde van een tijdperk waarin identiteit synoniem was met menselijkheid. Het is tijd om onze beveiligingsstrategieën te herzien voordat de risico’s ons inhalen.

"De grootste bedreiging voor cybersecurity is niet langer de hacker die sloten forceert, maar de technologie die ons doet geloven dat we veilig zijn terwijl we dat niet zijn."