Het agentische aanvalsoppervlak, vertaald voor AI Officers
De OWASP Agentic Security Initiative Top 10 catalogiseert de beveiligingsrisico's die autonome AI introduceert. Het is geschreven voor security engineers, maar de risico's zijn governance-problemen, omdat ze beschrijven wat een agent kan worden gemaakt te doen in plaats van wat het kan worden gemaakt te zeggen. Dit artikel vertaalt het agentische aanvalsoppervlak naar de taal van controls die een AI Officer bezit, en mapt elk risico op het GovCompass-element dat het onder druk zet.
Dit is onderdeel van het element Agentic AI van de GovCompass-7.
Waarom het aanvalsoppervlak anders is
Klassieke LLM-beveiliging gaat over de tekst die een model produceert. Agentische beveiliging gaat over de acties die een agent onderneemt. De OWASP Agentic Security Initiative maakt het punt direct: het beveiligen van agentic AIagentic AISystems where a model takes actions — calling tools, executing multi-step plans — amplifying both capability and every failure mode; governed with action allowlists, approvals and full logging.Open full entry → is een verschuiving van het beveiligen van outputs naar het besturen van autonome acties. Een agentisch risico combineert vaak meerdere klassieke LLM-kwetsbaarheden en versterkt ze, omdat autonomie betekent dat een kwetsbaarheid op schaal kan worden misbruikt zonder mens in het pad. Goal hijackinggoal hijackingAn attack that redirects an agent's objective so it pursues a goal you did not set. Prompt injection combined with autonomy: it changes what the agent does, not just what it says.Open full entry →, bijvoorbeeld, is prompt injectionprompt injectionSmuggling adversarial instructions into a generative system's input (directly or via retrieved content) to override its intended behaviour.Open full entry → gecombineerd met excessieve autonomie: de injectie verandert niet langer alleen wat het model zegt, het verandert wat de agent doet.
De tien risico's, als governance-problemen
De OWASP Top 10 for Agentic Applications identificeert tien risicocategorieën. Gelezen als governance-problemen in plaats van exploits, vertalen ze als volgt.
Agent goal hijacking. Een aanvaller verlegt het doel van de agent zodat het een doel nastreeft dat jij niet hebt gesteld. Governance-respons: ingeperkte doelen, controls op de herkomst van input, en detectieve monitoring die signaleert wanneer het gedrag van een agent afwijkt van zijn mandaat. Zet beveiliging en menselijk toezicht onder druk.
Tool misusetool misuseAn agent calling a permitted tool in a way that produces an unintended real-world effect. Countered with scoped tool access and approval gates on high-consequence calls.Open full entry → en unintended execution. De agent roept een tool aan op een manier die je niet bedoelde, en voert een actie uit met effect in de echte wereld. Governance-respons: ingeperkte tool-toegang, least-privilegeleast-privilegeGranting each agent only the access its task requires, with no shared credentials and scoped, time-bound permissions. A core preventive control for agentic security.Open full entry → tool-rechten, en goedkeuringspoorten op tool-calls met grote gevolgen. Zet beveiliging en verantwoordelijkheid onder druk.
Identity- en privilege-misbruik. De agent opereert met meer toegang dan zijn taak vereist, of zijn identiteit wordt nagebootst. Governance-respons: least-privilege identiteiten per agent, geen gedeelde credentials over agents, en ingeperkte, in tijd begrensde toegang. Zet beveiliging en privacy onder druk.
Agentische supply chainsupply chainThe layered chain behind an AI product — foundation models, datasets, labelling services, integrators — each layer adding risk the buyer never contracted for directly.Open full entry → compromittering. Een component, een tool, een model, een sub-agentsub-agentAn agent invoked by another agent or an orchestrator to carry out part of a task. Its actions still inherit the obligations of the stack it belongs to.Open full entry →, wordt stroomopwaarts gecompromitteerd. Governance-respons: supply chain assurance voor elke tool en elk model dat een agent kan bereiken, en een inventaris van het volledige afhankelijkheidsoppervlak van de agent. Zet beveiliging en verantwoordelijkheid onder druk.
Onverwachte code-uitvoering. De agent voert code uit, direct of via een tool, met effecten die je niet voorzag. Governance-respons: sandboxing, uitvoeringsgrenzen, en een deny-by-default houding op code-uitvoering. Zet beveiliging en veiligheid onder druk.
Memory- en context-poisoning. Het persistente geheugen van de agent wordt gecorrumpeerd zodat toekomstig gedrag wordt gevormd door geplante inhoud. Governance-respons: integriteitscontrols op geheugen, herkomst op opgeslagen context, en detectieve monitoring op geheugendrift. Zet beveiliging, veiligheid en fairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry → onder druk.
Resource exhaustion. De agent verbruikt middelen, rekenkracht, API-calls, budget, in een ontspoorde lus. Governance-respons: rate limits, budgetplafonds, en circuit breakers die een ontspoorde keten stoppen. Zet betrouwbaarheid en verantwoordelijkheid onder druk.
Advanced prompt injection. Injectietechnieken op maat van agents, inclusief injectie via tool-outputs en opgehaalde inhoud. Governance-respons: input-sanitisatie over elk kanaal waar de agent uit leest, niet alleen de gebruikersprompt. Zet beveiliging en transparantie onder druk.
Lekken van gevoelige data. De agent lekt data waartoe het legitieme toegang had, via een actie of output. Governance-respons: output-filtering, handhaving van databeleid op actieniveau, en least-privilege datatoegang. Zet privacy en beveiliging onder druk.
Te grote afhankelijkheid van autonome besluitvorming. De organisatie verleent de agent meer autonomie dan zijn betrouwbaarheid rechtvaardigt. Governance-respons: progressieve autonomie, escalatietriggers, en een gedocumenteerd autonomieniveau afgestemd op aangetoonde betrouwbaarheid. Zet menselijk toezicht en verantwoordelijkheid onder druk.
Hoe een AI Officer dit gebruikt
Deze lijst is geen security-checklist om te delegeren. Het is een control-inventaris voor de beveiligings- en toezichtsdimensies van agentic AI. De praktische beweging is om elke agent in je inventaris tegen deze tien risico's te leggen, en voor elk te vragen: welke preventieve control reduceert het, welke detectieve control legt het bloot, welke correctieve control beheerst het. De gaten in dat raster zijn de agentische security-backlog, en die horen in hetzelfde risicoregister als de rest van je GovCompass-7 programma, niet in een apart security-silo dat de governance-functie nooit ziet.
Het framework-landschap
OWASP staat niet alleen. Het MAESTRO threat-modelling framework van de Cloud Security Alliance biedt een gestructureerde manier om het agentische aanvalsoppervlak op te sommen, en NIST en CAISI openden begin 2026 een formeel proces over AI-agent security. Deze convergeren op hetzelfde inzicht: agentische beveiliging heeft een eigen threat model nodig omdat het single-inference model van klassieke LLM-beveiliging probabilistisch gedrag, runtime tool-compositie, persistent geheugen, en multi-agent delegatie niet vangt. Voor een AI Officer zit de waarde niet in het kiezen van het ene framework boven het andere, maar in het zorgen dat de controls waar ze allemaal naar wijzen aanwezig, belegd en aantoonbaar zijn.