AI-agenten hebben nu meer toegang tot en verbindingen met bedrijfssystemen dan welke andere software in de omgeving dan ook. Dit maakt ze tot een groter aanvalsoppervlak dan alles waar beveiligingsteams eerder mee te maken hebben gehad, en de industrie beschikt nog niet over een raamwerk om dit te doen. “Als deze aanvalsvectoren worden uitgebuit, kan dit resulteren in een datalek, of zelfs erger”, zei Spiros Xanthos, oprichter en CEO van Resolve AI, tijdens een recent evenement. VentureBeat AI Impact Series-evenement. Traditionele beveiligingsframeworks zijn gebaseerd op menselijke interactie. Er is nog geen deal voor een AI-agent die een persoonlijkheid heeft en autonoom kan werken, zei Jon Aniano, SVP CRM-producten en -applicaties bij Zendesk, op hetzelfde evenement. Agent AI beweegt sneller dan bedrijven vangrails kunnen bouwen – en Modelcontextprotocol (MCP)Behalve dat het de complexiteit van de integratie vermindert, maakt het het probleem zelfs erger. “Op dit moment is het probleem nog niet opgelost, omdat dit het wilde Westen is”, zei Aniano. “We hebben niet eens een technisch protocol tussen agenten waar alle bedrijven het over eens zijn. Hoe balanceer je de verwachtingen van gebruikers en wat houdt je platform veilig?”
MCP nog steeds “zeer tolerant”
Bedrijven maken steeds vaker verbinding met MCP-servers omdat ze de integratie tussen agenten, tools en gegevens vereenvoudigen. MCP-servers zijn echter vaak “zeer tolerant”, zei hij. Ze “kunnen zelfs slechter zijn dan API’s”, betoogt hij, omdat API’s in ieder geval meer controle hebben om agenten op te leggen. Agenten handelen tegenwoordig namens mensen op basis van expliciete toestemming, waardoor menselijke verantwoordelijkheid ontstaat. “Maar in de toekomst kun je tientallen, honderden agenten hebben met hun eigen identiteit en hun eigen toegang”, zei Xanthos. “Het wordt een heel complexe matrix.” Zelfs nu zijn startup autonome AI-agents ontwikkelt voor site betrouwbaarheidsengineering (SRE) en systeembeheer, geeft hij toe dat de industrie “volledig geen raamwerk” heeft voor autonome agenten. “Het is volledig onze verantwoordelijkheid en degene die het agentschap opbouwt, om te bepalen welke grenzen eraan moeten worden gesteld”, zei hij. En klanten moeten op die beslissingen kunnen vertrouwen. Sommige bestaande beveiligingstools bieden betere toegang – Splunk heeft bijvoorbeeld methoden ontwikkeld om toegang te bieden tot bepaalde indexen in de onderliggende dataopslag, zei hij – maar de meeste zijn breder en mensgerichter. “We proberen dit probleem op te lossen met bestaande hulpmiddelen”, zei hij. “Maar ik denk niet dat dat genoeg is voor het agententijdperk.”
Wie is verantwoordelijk als AI een gebruiker onjuist authenticeert?
Bij Zendesk en andere leveranciers van CRM-platforms (Customer Relationship Management) is AI betrokken bij een aantal gebruikersinteracties, zegt Aniano. Sterker nog, AI heeft vandaag de dag een volume en een schaal die wij als bedrijf en als samenleving nog nooit eerder hebben overwogen.
Dit kan ingewikkeld worden als AI menselijke agenten assisteert; Audittrails kunnen een doolhof zijn. “Dus nu praten mensen met mensen die met AI praten”, zegt Aniano. “Mensen vertellen AI om actie te ondernemen. Wie heeft de schuld als de actie verkeerd is?” Dit wordt ingewikkelder als er “veel AI en veel mensen” met elkaar gecombineerd zijn. Om te voorkomen dat agenten ontsporen, is Zendesk vaak “zeer streng” als het gaat om toegang en dekking; klanten kunnen echter hun eigen vangrails bepalen op basis van hun behoeften. In de meeste gevallen heeft AI toegang tot kennisbronnen, maar ze schrijven geen code en voeren geen opdrachten uit op servers, zei Aniano. Als de AI toch een API aanroept, wordt de API ‘declaratief ontworpen’ en bestraft, en worden er specifiek acties gevraagd. De vraag van klanten is in dit scenario echter overweldigend en “we zijn momenteel terughoudend”, zei hij. De industrie moet concrete normen ontwikkelen voor interacties tussen agenten. “We betreden een wereld waarin we, met zaken als MCP’s die automatisch tools kunnen ontdekken, nieuwe beveiligingsmethoden moeten creëren om te beslissen met welke tools bots kunnen communiceren”, aldus Aniano. Op het gebied van veiligheid moeten bedrijven zich zorgen maken als AI authenticatietaken overneemt, zoals het verzenden en verwerken van eenmalige wachtwoorden (OTP’s), sms-codes of andere tweestapsverificatiemethoden, zei hij. Wat gebeurt er als AI iemand ten onrechte authenticeert of verkeerd identificeert? Dit kan leiden tot het lekken van gevoelige gegevens of de deur openen voor aanvallers. “Nu is er een spectrum, en het einde van dat spectrum zijn op dit moment de mensen,” zei Aniano. Echter, “het einde van dat spectrum van morgen kunnen gespecialiseerde agenten zijn die zijn ontworpen om soortgelijke ingevingen of interacties op menselijk niveau uit te voeren.” Klanten vallen zelf in een spectrum van adoptie en gemak. In bepaalde bedrijven – vooral financiële dienstverlening of andere sterk gereguleerde omgevingen – moeten mensen nog steeds betrokken zijn bij authenticatie, zei Aniano. In andere gevallen vertrouwen oude bedrijven of de oude garde alleen op mensen om andere mensen te authenticeren. Hij merkte op dat Zendesk experimenteert met nieuwe AI-agents die “iets meer verbonden zijn met het systeem”, en met een selecte groep klanten rond de vangrails werkt.
Er volgt nog steeds een vergunning
In de toekomst zullen agenten wellicht meer vertrouwd worden dan mensen om bepaalde taken uit te voeren, en zullen zij toestemming krijgen “ver boven” wat mensen vandaag de dag hebben, zei Xanthos. Maar daar zijn we nog ver van verwijderd, en voor het grootste deel is het de angst dat er iets misgaat wat bedrijven tegenhoudt. “Dat is een goede angst, toch? Ik zeg niet dat dat een slechte zaak is”, zei hij. Veel bedrijven voelen zich nog niet op hun gemak als agenten alle workflowstappen uitvoeren of de cirkel alleen sluiten. Ze willen nog steeds menselijke beoordeling. Resolve AI zal agenten permanente autorisatie verlenen in sommige “over het algemeen veilige” gevallen, zoals bij het coderen; van daaruit zullen ze overstappen op meer open en minder risicovolle scenario’s, legt Xanthos uit. Maar hij erkende dat er altijd zeer risicovolle situaties zullen zijn waarin een AI-fout ‘de toestand van het productiesysteem zou kunnen muteren’, zei hij. Maar uiteindelijk: “Er is zeker geen weg meer terug; dit gaat sneller dan mogelijk is op mobiele apparaten. Dus de vraag is: wat moeten we doen?”
Wat beveiligingsteams nu kunnen doen
Beide sprekers wezen op voorlopige maatregelen die beschikbaar zijn binnen de bestaande instrumenten. Xanthos merkt op dat sommige tools – waaronder Splunk – al granulaire toegangscontrole op indexniveau bieden die op agenten kan worden toegepast. Aniano beschrijft de aanpak van Zendesk als een praktisch uitgangspunt: declaratief ontworpen API-aanroepen met expliciet overeengekomen acties, strikte toegangs- en reikwijdtebeperkingen, en menselijke beoordeling voordat de machtigingen van agenten worden uitgebreid.
Het basisprincipe, zoals Aniano zegt: “We controleren altijd die poorten en kijken hoe we de mazen in de wet kunnen vergroten” – wat betekent dat je geen permanente toestemmingen verleent totdat je elke uitbreiding hebt gevalideerd.
