Edward Roozenboom: AI-agents als droomdoelwit voor hackers
Door Edward Roozenburg, Senior Risk Management Consultant, Probability & Partners
Als je niet oplet met AI‑agents, geef je ze de sleutels van het pensioenfonds en laat je ze meteen de kluiscode noteren. Handig voor de hacker!
Even een kleine stap naar de nabije toekomst: een pensioenfonds zet een AI‑agent in om controltesten uit te voeren op processen rondom toekenningen en uitbetalingen. De agent leest dossiers, doorloopt logbestanden, vergelijkt besluiten met beleid, interpreteert de uitkomsten van de tests en geeft een oordeel over het restrisico. Dit gaat sneller en foutlozer dan de controltester dit tot nu toe deed. Dit is precies het type ontwikkeling dat we zien bij organisaties die AI serieuzer inzetten: van assistent naar actor.
Daar begint de verleiding. Wie controltesten serieus wil automatiseren, moet erkennen dat afwijkingen zich zelden in nette, afgebakende datasets bevinden. Ze ontstaan juist in de randen van het proces: uitzonderingen, correcties, historische besluiten en handmatige workarounds. Een agent die slechts een deel van de werkelijkheid ziet, mist precies waar het misgaat. Al snel komt dan de vraag op: kunnen we de agent niet nét iets meer toegang geven?
Die stap voelt logisch. Om afwijkingen goed te kunnen interpreteren, heeft een agent immers context nodig. Dat betekent inzicht in het volledige proces, toegang tot historische data en de mogelijkheid om verbanden te leggen tussen datasets. En daar komt nog iets bij: deze agent voert niet alleen controles uit, maar maakt ook een inschatting van het restrisico. Dan wil je voorkomen dat die inschatting gebaseerd is op een beperkt beeld. Immers, hoe meer data, hoe beter de analyse. AI is sterk in het verwerken van grote hoeveelheden ruwe data en het herkennen van patronen die voor mensen lastig zichtbaar zijn.
Voor je het weet groeit de scope. Eerst een beperkte dataset, daarna extra bronnen ‘voor betere context’, vervolgens koppelingen met andere systemen. De agent krijgt toegang tot deelnemersadministraties, uitkeringsbestanden, audittrails, en soms zelfs tot communicatie en interne notities. Niet omdat iemand roekeloos is, maar omdat het helpt om betere analyses te maken. De logica is consistent. De uitkomst ook: een agent met brede toegangsrechten.
Daarmee ontstaat een risico dat wezenlijk anders is dan we gewend zijn. Het vergroot de aanvalsmogelijkheden niet alleen, het centraliseert ze ook. Waar gegevens en bevoegdheden normaal gesproken verspreid zijn over systemen en rollen, worden ze nu samengebracht in één component die bedoeld is om alles te overzien. Precies dat maakt zo’n agent enerzijds zeer aantrekkelijk voor de organisatie en anderzijds bijzonder aantrekkelijk voor de hacker.
Het laat zich raden wat er gebeurt als deze agent in verkeerde handen valt door een kwetsbaarheid in een gebruikte tool, een lek in een API‑koppeling of een verkeerd geconfigureerd account. Een hacker hoeft zich dan niet langer stap voor stap door de organisatie heen te bewegen. De agent doet dat al: legaal, efficiënt en met de juiste rechten. In plaats van verschillende systemen afzonderlijk te moeten binnendringen, krijgt een aanvaller via één ingang toegang tot precies die informatie die normaal gesproken gefragmenteerd en afgeschermd is: persoonsgegevens van deelnemers, details over uitkeringen, uitzonderingsdossiers en auditinformatie. Niet omdat alles centraal zonder ‘tussenmuren’ is opgeslagen, maar omdat één agent de verbindingen legt én de rechten heeft om ze te gebruiken.
Dit is in de praktijk geen uitzonderlijk scenario. We zien juist dat toepassingen van AI zich organisch ontwikkelen. Eerst een kleinschalige toepassing, vervolgens uitbreiding naar andere processen en uiteindelijk integratie in de kern van de organisatie. Governance en autorisatiebeleid lopen daarbij regelmatig achter op de technologische mogelijkheden. Dat is begrijpelijk. De waarde van AI is direct zichtbaar, terwijl de risico’s zich pas later manifesteren.
In het licht van deze ontwikkelingen is het nodig het autorisatiebeleid opnieuw te doordenken. Zeker nu AI‑agents steeds vaker zelfstandig acties kunnen uitvoeren en zelfs code kunnen genereren.
Waar kun je daarbij op sturen? In de eerste plaats moet toegang taakgericht en tijdelijk zijn. Niet ‘alles wat mogelijk relevant is’, maar alleen wat nodig is voor een specifieke controle, en alleen zolang dat nodig is. Daarnaast moet functiescheiding ook voor agents gelden. Een agent die controleert, analyseert én adviseert, combineert rollen die je bij mensen bewust uit elkaar zou houden. Verder moet elke actie van de agent inzichtelijk en herleidbaar zijn. Zonder duidelijke logging en auditability verliest de output al snel zijn bewijswaarde. Tot slot vraagt dit om technische maatregelen die de impact beperken wanneer het toch misgaat. Denk aan sandboxomgevingen en duidelijke grenzen aan wat een agent wel en niet mag.
Brede toegangsrechten voor agents versterken bovendien andere AI‑risico’s, zoals datalekken, prompt injection en problemen in de supply chain. Ze vergroten ook de gevolgen van het ontbreken van een human in the loop. AI kan uitstekend signaleren en analyseren, maar de interpretatie van restrisico’s blijft contextafhankelijk. Die verantwoordelijkheid volledig automatiseren is een stap té ver voor organisaties.
De oproep is dan ook om je autorisatiebeleid (en natuurlijk ook ander informatiebeveiliging) actief voor te bereiden op AI gebruik. Wat we in de praktijk zien, is dat de juiste beheersmaatregelen sterk afhangen van wat er al is ingericht en van de kenmerken van de organisatie. Er is geen standaardoplossing. En juist dat biedt ook veel mogelijkheden om AI precies zo in te zetten dat mogelijkheden worden benut en risico’s waar nodig worden beperkt.
Eén ding is zeker: hoe krachtiger de AI‑agent, hoe kritischer het wordt om te weten wat deze mag zien en vooral wat niet. En… hoe aantrekkelijker deze wordt voor de hacker.
