De integratie van kunstmatige intelligentie in bedrijfsomgevingen maakt een snelle overgang door van statische Large Language Models (LLM’s) naar autonome, agentgebaseerde systemen. In tegenstelling tot oudere LLM-toepassingen die één enkel, lineair en reactief antwoord geven, zijn agentische toepassingen autonoom en proactief. Ze splitsen doelen zelfstandig op in subtaken, roepen externe tools aan, behouden persistent geheugen tussen sessies en coördineren met collega-agenten.
Zoals John Sotiropoulos, mede-leider van OWASP ASI, verklaarde: „Toen AI eenmaal acties begon te ondernemen, veranderde de aard van beveiliging voorgoed”. Momenteel gebruikt 84% van de ontwikkelaars AI-codeertools (Stack Overflow). Aangezien 35% van de AI-incidenten echter wordt veroorzaakt door eenvoudige prompts, introduceert deze architecturale verschuiving een fundamenteel nieuw dreigingsmodel.
Om dit aan te pakken, heeft Lares, de afdeling van Damovo die zich bezighoudt met adversarial en cybersecurity-advies, heeft de opkomende OWASP Agentic Top 10-standaarden in kaart gebracht aan de hand van echte Common Vulnerabilities and Exposures (CVE's) en defensieve baselines.
De verschuiving in bedreigingen: chatbots versus medewerkers
Standaardbeveiligingsmaatregelen die zijn ontworpen voor conversatie-AI, volstaan niet voor agentische systemen. De autonome cyclus van plannen, ophalen en uitvoeren creëert dynamische nieuwe aanvalsvectoren.
Elk hulpmiddel waartoe een agent toegang heeft, vormt een potentieel misbruikpad; elke geheugenwaarde kan blijvend worden gemanipuleerd; en elk bericht tussen agenten is een potentieel aanvalsvector die strikte controles vereist.
De OWASP Agentic Top 10: volledig overzicht van bedreigingen
Om agentgebaseerde implementaties effectief te kunnen modelleren vanuit het oogpunt van bedreigingen, moeten beveiligingsteams de kloof overbruggen tussen AI-specifiek gedrag en traditioneel kwetsbaarheidsbeheer. Hieronder vindt u een volledig overzicht van de risico’s uit het OWASP Agentic Security Initiative (ASI), in combinatie met concrete CVE’s en exploitpaden die zijn geïdentificeerd door het adversarial onderzoek van Lares.
Fase 1: Doelen, hulpmiddelen en identiteiten
Deze categorie zorgt ervoor dat teams eerlijk blijven over wat agenten daadwerkelijk kunnen en wie ze beweren te zijn.
ASI01: Kaping van het doel van de agent
De toegangspoort tot alle andere kwetsbaarheden. Aanvallers manipuleren doelwitten omdat agents niet op betrouwbare wijze legitieme instructies kunnen onderscheiden van door aanvallers gecontroleerde inhoud.
-
De exploit: Aanvallers verwerken verborgen instructies om de doelstellingen van een agent ongemerkt te overschrijven, wat leidt tot zero-click-gegevensdiefstal.
-
CVE-koppeling: CVE-2025-64660 (GitHub Copilot) en CVE-2025-61590 (Cursor).
ASI02: Misbruik en oneigenlijk gebruik van tools
Gebruikers die binnen hun toegestane bevoegdheden handelen, kunnen legitieme tools op onveilige manieren gebruiken.
-
De exploit: Een agent koppelt PowerShell- en cURL-opdrachten aan elkaar onder geldige inloggegevens, waardoor gegevens kunnen worden gestolen zonder dat dit door EDR-detectie wordt opgemerkt.
-
CVE-koppeling: CVE-2025-8217 (Amazon Q).
ASI03: Misbruik van identiteit en bevoegdheden
Een architectonische discrepantie tussen gebruikersgerichte identiteitssystemen en agentgericht ontwerp. Agenten opereren in een attributiegat dat het onmogelijk maakt om het principe van 'least privilege' daadwerkelijk af te dwingen.
-
De aanval: Aanvallers maken misbruik van dynamisch vertrouwen om hun toegang te escaleren met behulp van Non-Human Identities (NHI's).
-
CVE-koppeling: CVE-2025-32711 (Microsoft 365 Copilot).
Fase 2: Toeleveringsketen en geheugen
De toeleveringsketen en het geheugen zijn altijd bij de gang van zaken betrokken. Beveiligingsteams moeten alles controleren.
ASI04: Kwetsbaarheden in de toeleveringsketen veroorzaakt door kwaadwillende actoren
Agentgebaseerde ecosystemen laden tijdens de uitvoering dynamisch externe tools en agentprofielen. Dit creëert een live supply chain die kwetsbaarheden doorgeeft.
-
Incidenten in kaart brengen: De Postmark MCP aanval op de toeleveringsketen, waarbij een kwaadaardige server die zich voordeed als een legitieme tool tijdens de uitvoering werd geladen om in het geheim e-mails in BCC naar een aanvaller te sturen.
ASI05: Onverwachte uitvoering van code (RCE)
Vibe-codeertools en agentische systemen genereren en voeren code in realtime uit.
-
De kwetsbaarheid: Aanvallers omzeilen de sandboxing om op afstand code uit te voeren. Om de gevolgen te beperken, is een verbod nodig
eval()functies en onveilige deserialisatoren. -
CVE-koppeling: CVE-2025-53773 (GitHub Copilot).
ASI06: Geheugen- en contextvergiftiging
Tegenstanders manipuleren de opgeslagen context, waardoor toekomstige redeneringen vertekend raken.
-
De exploit: aanvallers plaatsen kwaadaardige gegevens. De beschadigde context blijft bestaan na het resetten van de sessie, waardoor cryptografische herkomsttracering nodig is om dit te detecteren.
-
CVE-koppeling: CVE-2025-54136 (Cursor IDE).
Fase 3: Gedrag op systeemniveau
Wanneer agenten met elkaar communiceren, ontstaan er op grote schaal kettingreacties van storingen.
ASI07: Onveilige communicatie tussen agents
Multi-agent-systemen zijn afhankelijk van voortdurende communicatie. Zonder semantische validatie of wederzijdse authenticatie onderscheppen en manipuleren aanvallers berichten.
-
CVE-koppeling: CVE-2025-52882 (Claude Code).
ASI08: Opeenvolgende storingen:
Eén enkele storing verspreidt zich en leidt tot schade in het hele systeem. Omdat agents zelfstandig taken delegeren, omzeilen fouten de stapsgewijze menselijke controles en is het nodig om de digitale tweeling te testen om de gevolgen veilig te beperken.
Fase 4: Mensen en bestuur
Mensen en starre beleidsmechanismen weer centraal stellen.
ASI09: Misbruik van het vertrouwen tussen mens en agent
Agenten bouwen een sterk vertrouwen op door hun vloeiende gebruik van natuurlijke taal en antropomorfisme. Aanvallers maken misbruik van deze automatiseringsbias om mensen te manipuleren zodat ze de laatste gecontroleerde handeling uitvoeren, waardoor de rol van de agent onzichtbaar blijft voor forensisch onderzoek.
ASI10: Afvallige agenten
Gecompromitteerde agents wijken af van hun beoogde toepassingsgebied, waardoor er een lacune ontstaat in de beveiliging voor traditionele, op regels gebaseerde bewakingssystemen. Om malafide agents te beperken zijn gedragscertificaten en onafhankelijke watchdog-agents nodig.
Het 5-stappenplan voor agentgerichte actie
Om de kloof tussen de snelle invoering van AI en beveiliging op bedrijfsniveau te overbruggen, raden wij aan uw beveiligingsmaatregelen af te stemmen op het kernprincipe van Zero Trust: ontwerpen met fouttolerantie, waarbij wordt uitgegaan van het falen of misbruik van elk onderdeel.
Organisaties moeten onmiddellijk het volgende 5-stappenplan uitvoeren:
-
Ontdekken & inventariseren: Breng alle AI-agenten, MCP-servers, niet-menselijke identiteiten (NHI's) en tools in kaart.
-
Bedreigingsmodel met ASI: Gebruik ASI01 tot en met ASI10 als checklist voor de implementatie van specifieke agents voordat u naar productie gaat.
-
Het principe van minimale bemoeienis toepassen: Verleen alleen de minimaal benodigde autonomie. Gebruik kortlopende inloggegevens en Just-In-Time (JIT)-toegang.
-
Zorg voor noodstopschakelaars: Implementeer stroomonderbrekers tussen workflows, limieten voor de explosieradius en noodstopmechanismen die regelmatig worden getest.
-
Monitoren en reageren: Zorg voor diepgaande inzichtelijkheid in het gedrag van agents met behulp van watchdog-agents, gedistribueerde tracering en AI-specifieke incidentrespons-playbooks.
Beoordeel uw AI-aanvalsoppervlak
Voor het inzetten van autonome agents is een verschuiving nodig van het filteren van output naar het valideren van intenties en het hanteren van strikte uitvoeringsgrenzen. Als uw organisatie agentische AI-systemen ontwikkelt of test, neem dan contact op met het adviesteam van Damovo. Wij kunnen u helpen bij het implementeren van ‘least-agency’-governance, het testen van noodstopmechanismen om kettingreacties te voorkomen, en het plannen van een verkennend gesprek om de juiste testfase voor uw omgeving te bepalen.