De cyberveiligheidsautoriteiten van de Verenigde Staten en hun bondgenoten hebben onlangs gezamenlijk richtlijnen voor de implementatie van beveiliging voor ‘agent AI’ (agent AI) uitgegeven, waarbij ze benadrukken dat dergelijke AI-systemen die autonoom op het internet kunnen handelen, zeer gevoelige gebieden hebben betreden, zoals kritieke infrastructuur en defensie, maar dat de meeste organisaties hen toegangsrechten geven die hun eigen monitoring- en controlemogelijkheden ver te boven gaan. Het document roept verschillende organisaties op om autonome AI-agenten te beschouwen als kernproblemen op het gebied van cyberbeveiliging en prioriteit te geven aan veerkracht, omkeerbaarheid en risicobeheersing in plaats van simpelweg efficiëntieverbeteringen na te streven.

Volledige tekst downloaden:

https://cyberscoop.com/wp-content/uploads/sites/3/2026/05/CAREFUL-ADOPTION-OF-AGENTIC-AI-SERVICES_FINAL.pdf

De leidraad is gezamenlijk geschreven door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA), het Australian Cyber ​​Security Centre van de Australian Signals Agency, het Canadian Cyber ​​Security Center, het New Zealand National Cyber ​​Security Centre en het British National Cyber ​​Security Center, en werd vrijdag lokale tijd vrijgegeven. De ‘agent AI’ waarop de gids zich richt, is een softwaresysteem dat is gebouwd op een groot taalmodel en dat het vermogen heeft om autonoom te plannen, beslissingen te nemen en acties uit te voeren binnen de gevestigde autoriteit. Om complexe taken te voltooien, moeten dergelijke systemen vaak communiceren met externe tools, databases, geheugenmagazijnen en geautomatiseerde workflows om taken uit meerdere stappen uit te voeren zonder handmatige beoordeling van elke stap.

De gezamenlijke releasebureaus benadrukten in het document dat het inzetten van agent AI niet betekent dat een compleet beveiligingssysteem opnieuw moet worden opgebouwd, maar dat het moet worden geïntegreerd in het bestaande netwerkbeveiligingsframework en de bestuursstructuur. Suggesties zijn onder meer: ​​het systematisch toepassen van bestaande principes zoals zero trust, verdedigingsdiepte en minste privileges op AI-agenten; het behandelen van AI-agents als technische componenten met "zeer gevoelige, sterke machtigingen" voor governance in aspecten als identiteits- en toegangsbeheer, auditlogboeken en wijzigingsbeheer.

De richtlijnen vatten de risico’s van agentgebaseerde AI samen in vijf brede categorieën. De eerste is het ‘toestemmingsrisico’: zodra een AI-agent te hoge of te brede toegangsrechten heeft gekregen, kan een succesvolle inbraak schade veroorzaken die veel verder gaat dan de traditionele softwarekwetsbaarheden, zoals gecentraliseerd geknoei met kritieke configuraties of ontwrichting van grootschalige bedrijven. De tweede categorie is het risico op ontwerp- en configuratiefouten. Dat wil zeggen: voordat het systeem online gaat, als gevolg van een onjuist architectuurontwerp, een te losse standaardconfiguratie of een vage definitie van de beveiligingsgrenzen, zijn er inherente beveiligingslacunes die moeilijk te verhelpen zijn.

Het derde type risico wordt geclassificeerd als ‘gedragsrisico’, wat verwijst naar het feit dat agenten bij het nastreven van doelen paden kunnen bewandelen die de ontwerpers niet hadden voorzien, of zelfs nooit hadden voorzien, wat zou kunnen leiden tot beveiligings- of nalevingsincidenten. De vierde categorie is ‘structureel risico’. Wanneer meerdere agenten met complexe bedrijfssystemen in een netwerk zijn verweven, kan een fout of abnormaal gedrag binnen het systeem terechtkomen en zich verspreiden, waardoor een kettingreactie tussen systemen en afdelingen ontstaat.

Het vijfde type risico heeft betrekking op ‘verantwoording’. De gids wijst erop dat het besluitvormingsproces van agent AI vaak moeilijk volledig te onderzoeken is, en dat de operatielogboeken en beslissingsrecords die het genereert niet gemakkelijk te ontleden zijn, wat het uiterst uitdagend maakt om de hoofdoorzaak van het probleem te traceren en achteraf de verantwoordelijkheden te verduidelijken. Zodra zich een storing voordoet in een dergelijk systeem, zullen de gevolgen niet op ‘virtueel niveau’ blijven, maar worden weerspiegeld in specifieke IT-middelen, zoals het manipuleren van bestanden, het wijzigen van toegangscontroles, het verwijderen van audittrails, enz., wat rechtstreeks van invloed is op het verzamelen van bewijsmateriaal en het herstelwerk.

Het document waarschuwt ook specifiek voor het risico van aanvallen veroorzaakt door “prompt injection”. Aanvallers kunnen stilletjes instructies in gegevens of inhoud insluiten om de AI-agent te begeleiden om af te wijken van zijn oorspronkelijke missie en kwaadaardige handelingen uit te voeren. Hint-injectie is altijd beschouwd als een chronische ziekte in het grote ecosysteem van taalmodellen. Sommige bedrijven hebben publiekelijk toegegeven dat dit probleem wellicht nog lange tijd niet volledig zal worden uitgeroeid. Dit maakt de potentiële schade van dit soort aanvallen ook bijzonder prominent in meer geautomatiseerde proxyscenario’s.

Op het niveau van specifieke beschermingsmaatregelen neemt identiteitsmanagement doorheen de gids een belangrijke plaats in. Het gezamenlijke agentschap beveelt aan dat elke AI-agent een verifieerbare onafhankelijke identiteit moet hebben, beschermd door cryptografie; de inloggegevens die het gebruikt moeten voor een korte periode geldig zijn; alle communicatie tussen de agent en andere agenten en diensten moet gecodeerde kanalen gebruiken. Voor elke operatie die een aanzienlijke impact kan hebben, zoals het wijzigen van kritieke configuraties, het verhogen van gebruikersrechten of het verwijderen van grootschalige gegevens, vereisen de richtlijnen duidelijk dat goedkeuring door mensen moet worden gedaan, en dat de systeemontwerper, en niet de agent zelf, definieert welke operaties ‘gedrag met grote impact’ zijn.

Tegelijkertijd gaf de uitgevende instantie ook toe dat de bestaande praktijken in de beveiligingsindustrie de ontwikkelingssnelheid van agent-gebaseerde AI nog niet volledig hebben ingehaald. Sommige risico’s met kenmerkende ‘AI-agentkarakteristieken’ worden niet volledig afgedekt door het bestaande veiligheidskader, en er is dringend behoefte aan meer onderzoek en samenwerking tussen instanties en bedrijfstakken. De gids wijst erop dat voordat beveiligingsmethodologieën, beoordelingsmethoden en gerelateerde standaarden nog onvolwassen zijn, organisaties moeten aannemen dat agent AI ‘onverwacht gedrag kan vertonen’ en dienovereenkomstig implementatieplannen moeten maken, waarbij prioriteit moet worden gegeven aan het waarborgen van veerkracht, omkeerbaarheid en risicobeheersbaarheid in het systeemontwerp, in plaats van blindelings de efficiëntiedividenden na te streven die automatisering met zich meebrengt.