Het agentische aanvalsoppervlak, vertaald voor AI Officers

Dit is onderdeel van het element Agentic AI van de GovCompass-7.

Waarom het aanvalsoppervlak anders is

Klassieke LLM-beveiliging gaat over de tekst die een model produceert. Agentische beveiliging gaat over de acties die een agent onderneemt. De OWASP Agentic Security Initiative maakt het punt direct: het beveiligen van agentic AI is een verschuiving van het beveiligen van outputs naar het besturen van autonome acties. Een agentisch risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → combineert vaak meerdere klassieke LLM-kwetsbaarheden en versterkt ze, omdat autonomie betekent dat een kwetsbaarheid op schaal kan worden misbruikt zonder mens in het pad. Goal hijackinggoal hijackingEen aanval die het doel van een agent omleidt zodat hij een doel nastreeft dat jij niet hebt gesteld. Prompt injection gecombineerd met autonomie: het verandert wat de agent doet, niet alleen wat hij zegt. Zie prompt injection, agentische AI.Open full entry →, bijvoorbeeld, is prompt injectionprompt injectionTegenwerkende instructies de invoer van een generatief systeem binnensmokkelen (rechtstreeks of via opgehaalde inhoud) om het beoogde gedrag te overschrijven. Zie goal hijacking, beveiliging en robuustheid.Open full entry → gecombineerd met excessieve autonomie: de injectie verandert niet langer alleen wat het model zegt, het verandert wat de agent doet.

De tien risico's, als governance-problemen

De OWASP Top 10 for Agentic Applications identificeert tien risicocategorieën. Gelezen als governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry →-problemen in plaats van exploits, vertalen ze als volgt.

Agent goal hijacking. Een aanvaller verlegt het doel van de agent zodat het een doel nastreeft dat jij niet hebt gesteld. Governance-respons: ingeperkte doelen, controls op de herkomstherkomstDe gedocumenteerde oorsprong en geschiedenis van data of inhoud, gebruikt om vast te stellen waar ze vandaan komt en of ze betrouwbaar of rechtmatig te gebruiken is. Zie trainingsdata, datasheet.Open full entry → van input, en detectieve monitoring die signaleert wanneer het gedrag van een agent afwijkt van zijn mandaat. Zet beveiliging en menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → onder druk.

Tool misusetool misuseEen agent die een toegestane tool aanroept op een manier die een onbedoeld effect in de echte wereld oplevert. Tegengegaan met afgebakende tooltoegang en goedkeuringspoorten op aanroepen met grote gevolgen. Zie least-privilege, escalatietrigger.Open full entry → en unintended execution. De agent roept een tool aan op een manier die je niet bedoelde, en voert een actie uit met effect in de echte wereld. Governance-respons: ingeperkte tool-toegang, least-privilegeleast-privilegeElke agent alleen de toegang geven die zijn taak vereist, zonder gedeelde inloggegevens en met afgebakende, in de tijd begrensde rechten. Een kern-preventieve control voor agentische beveiliging. Zie tool misuse, agentische AI.Open full entry → tool-rechten, en goedkeuringspoorten op tool-calls met grote gevolgen. Zet beveiliging en verantwoordelijkheid onder druk.

Identity- en privilege-misbruik. De agent opereert met meer toegang dan zijn taak vereist, of zijn identiteit wordt nagebootst. Governance-respons: least-privilege identiteiten per agent, geen gedeelde credentials over agents, en ingeperkte, in tijd begrensde toegang. Zet beveiliging en privacy onder druk.

Agentische supply chain compromittering. Een component, een tool, een model, een sub-agentsub-agentEen agent die door een andere agent of een orchestrator wordt aangeroepen om een deel van een taak uit te voeren. Zijn handelingen erven nog steeds de verplichtingen van de stack waartoe hij behoort. Zie orchestrator, agentische stack.Open full entry →, wordt stroomopwaarts gecompromitteerd. Governance-respons: supply chain assurance voor elke tool en elk model dat een agent kan bereiken, en een inventaris van het volledige afhankelijkheidsoppervlak van de agent. Zet beveiliging en verantwoordelijkheid onder druk.

Onverwachte code-uitvoering. De agent voert code uit, direct of via een tool, met effecten die je niet voorzag. Governance-respons: sandboxing, uitvoeringsgrenzen, en een deny-by-default houding op code-uitvoering. Zet beveiliging en veiligheid onder druk.

Memory- en context-poisoning. Het persistente geheugen van de agent wordt gecorrumpeerd zodat toekomstig gedrag wordt gevormd door geplante inhoud. Governance-respons: integriteitscontrols op geheugen, herkomst op opgeslagen context, en detectieve monitoring op geheugendrift. Zet beveiliging, veiligheid en fairness onder druk.

Resource exhaustion. De agent verbruikt middelen, rekenkracht, API-calls, budget, in een ontspoorde lus. Governance-respons: rate limits, budgetplafonds, en circuit breakers die een ontspoorde keten stoppen. Zet betrouwbaarheid en verantwoordelijkheid onder druk.

Advanced prompt injection. Injectietechnieken op maat van agents, inclusief injectie via tool-outputs en opgehaalde inhoud. Governance-respons: input-sanitisatie over elk kanaal waar de agent uit leest, niet alleen de gebruikersprompt. Zet beveiliging en transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → onder druk.

Lekken van gevoelige data. De agent lekt data waartoe het legitieme toegang had, via een actie of output. Governance-respons: output-filtering, handhaving van databeleid op actieniveau, en least-privilege datatoegang. Zet privacy en beveiliging onder druk.

Te grote afhankelijkheid van autonome besluitvorming. De organisatie verleent de agent meer autonomie dan zijn betrouwbaarheid rechtvaardigt. Governance-respons: progressieve autonomieprogressieve autonomieEen agent de minste autonomie geven die hem laat werken, en zijn reikwijdte pas verbreden naarmate bewijs van betrouwbaar gedrag zich opbouwt. Autonomie wordt verdiend, niet ingesteld. Zie autonomieniveau, over-reliance.Open full entry →, escalatietriggers, en een gedocumenteerd autonomieniveauautonomieniveauDe gedocumenteerde mate van autonomie die een uitgerolde agent is toegestaan, afgestemd op zijn aangetoonde betrouwbaarheid en de aanwezige controls; bewust verhoogd, niet standaard. Zie progressieve autonomie, beslissingsbevoegdheid.Open full entry → afgestemd op aangetoonde betrouwbaarheid. Zet menselijk toezicht en verantwoordelijkheid onder druk.

Hoe een AI Officer dit gebruikt

Deze lijst is geen security-checklist om te delegeren. Het is een controlcontrolDe concrete, toetsbare maatregel die een specifiek risico vermindert en daarmee het achterliggende principe beschermt. Ook wel risicobeheersmaatregel, risicorespons of risicobehandeling genoemd. Altijd herleidbaar tot het risico dat het adresseert: onder EU AI Act Art. 9 moet elke control terug te voeren zijn op een specifiek risico, en controls die los van hun risico's worden vastgelegd vormen een erkende compliance-fout. Het werkt in een van drie typen: preventief, detectief of correctief. Zie risico, control-typen, bewijs.Open full entry →-inventaris voor de beveiligings- en toezichtsdimensies van agentic AI. De praktische beweging is om elke agent in je inventaris tegen deze tien risico's te leggen, en voor elk te vragen: welke preventieve control reduceert het, welke detectieve control legt het bloot, welke correctieve control beheerst het. De gaten in dat raster zijn de agentische security-backlog, en die horen in hetzelfde risicoregisterrisicoregisterHet levende overzicht van de geïdentificeerde risico's van een AI-systeem, hun inschatting, respons, eigenaren en herzieningsdata, actueel gehouden van ontwerp tot uitfasering. Zie risico, control, governance-keten.Open full entry → als de rest van je GovCompass-7 programma, niet in een apart security-silo dat de governance-functie nooit ziet.

Het framework-landschap

OWASP staat niet alleen. Het MAESTRO threat-modelling framework van de Cloud Security Alliance biedt een gestructureerde manier om het agentische aanvalsoppervlak op te sommen, en NIST en CAISI openden begin 2026 een formeel proces over AI-agentAI-agentEen systeem dat zijn omgeving waarneemt, beslist en handelingen verricht richting een doel, tools aanroept, plannen uitvoert. Autonomie van handelen vereist allowlists, goedkeuringspoorten, sandboxing, logging en een kill switch. Zie agentische AI, kill switch.Open full entry → security. Deze convergeren op hetzelfde inzicht: agentische beveiliging heeft een eigen threat model nodig omdat het single-inference model van klassieke LLM-beveiliging probabilistisch gedrag, runtime tool-compositie, persistent geheugen, en multi-agent delegatie niet vangt. Voor een AI Officer zit de waarde niet in het kiezen van het ene framework boven het andere, maar in het zorgen dat de controls waar ze allemaal naar wijzen aanwezig, belegd en aantoonbaar zijn.