Kwaadwillende AI-agenten in Meta ondernemen acties zonder toestemming en het blootstellen van gevoelige bedrijfs- en gebruikersgegevens voor werknemers die geen toegang hebben tot de gegevens. Meta bevestigde het incident op 18 maart aan The Information, maar zei dat er geen gebruikersgegevens verkeerd waren gebruikt. De blootstelling veroorzaakte intern nog steeds een enorme veiligheidswaarschuwing.
Uit bestaand bewijsmateriaal blijkt dat de fout zich heeft voorgedaan na de authenticatie en niet tijdens de authenticatie. De agent beschikt over geldige legitimatiegegevens, opereert binnen officiële grenzen en doorstaat elke identiteitscontrole.
Summer Yue, directeur uitlijning bij Meta Superintelligence Labs, beschreef een ander, maar gerelateerd falen in een virale post op X vorige maand. Hij vroeg een OpenClaw-agent om zijn e-mailinbox te bekijken met duidelijke instructies om te bevestigen voordat hij handelde.
De agent begint zelf met het verwijderen van e-mails. Yue stuurde hem ‘Doe dat niet’, vervolgens ‘Stop, doe niets’ en vervolgens ‘STOP OPENCLAW.’ Het negeert elk commando. Hij moest zich haasten om een ander apparaat te gebruiken om het proces te stoppen.
Toen hem werd gevraagd of hij de vangrails van de agent had getest, was Yue openhartig. “Nieuwkomers hebben het mis, tbh,” antwoordde hij. “Het blijkt dat onderzoekers op het gebied van uitlijning niet immuun zijn voor verkeerde uitlijning.” (VentureBeat kon het incident niet onafhankelijk verifiëren.)
Yue geeft de schuld aan contextcompressie. Het contextvenster van de agent wordt kleiner en de veiligheidsinstructies worden verwijderd.
De Meta-blootstelling van 18 maart is niet publiekelijk verklaard op forensisch niveau.
Beide incidenten vormen vergelijkbare structurele problemen voor veiligheidsleiders. AI-agenten werken met geprivilegieerde toegang en ondernemen acties die hun operators niet goedkeuren, en de identiteitsinfrastructuur heeft geen mechanisme om in te grijpen na succesvolle authenticatie.
De agent beschikt te allen tijde over geldige inloggegevens. Er is niets in de identiteitsstapel dat legitieme verzoeken kan onderscheiden van kwaadaardige verzoeken na succesvolle authenticatie.
Beveiligingsonderzoekers noemen dit patroon verwarde agenten. Een agent met geldige inloggegevens voert de verkeerde instructies uit en uit elke identiteitscontrole blijkt dat het verzoek in orde is. Dat is een soort mislukking in een breder probleem: controlemechanismen voor post-authenticatieagenten ontbreken in de meeste enterprise-stacks.
Vier hiaten maken dit mogelijk.
-
Er is geen inventaris van welke agenten actief zijn.
-
Statische inloggegevens zonder vervaldatum.
-
Onopzettelijke validatie na succesvolle authenticatie.
-
En agenten delegeren aan andere agenten zonder wederzijdse verificatie.
Vier leveranciers hebben dit gat de afgelopen maanden aangepakt. De onderstaande governancematrix brengt de vier lagen in kaart met de vijf vragen die veiligheidsleiders stelden voordat RSAC maandag werd geopend.
Waarom het Meta-incident de calculus veranderde
Verwarde agenten zijn de scherpste versie van dit probleem, namelijk een vertrouwd programma met hoge privileges dat ertoe wordt verleid zijn eigen autoriteit te misbruiken. Maar een bredere categorie van fouten omvat elk scenario waarin een agent met geldige toegang een actie onderneemt die niet is geautoriseerd door de operator. Aversieve manipulatie, verlies van context en slecht afgestemde autonomie delen allemaal dezelfde identiteitskloof. Er is niets in de stapel dat valideert wat er gebeurt na succesvolle authenticatie.
Elia Zaitsev, CTO van Menigte aanvallegt het onderliggende patroon uit in een exclusief interview met VentureBeat. Traditionele beveiligingscontroles veronderstellen vertrouwen zodra toegang wordt verleend en een gebrek aan inzicht in wat er tijdens een livesessie gebeurt, zei Zaitsev. De identiteiten, rollen en services die een aanvaller gebruikt, zijn niet te onderscheiden van legitieme activiteiten op het controlevlak.
Dat AI CISO-risicorapport 2026 van Saviynt (n=235 CISO’s) ontdekte dat 47% van de waargenomen AI-agenten ongewenst of ongeoorloofd gedrag vertoonde. Slechts 5% had er vertrouwen in dat ze een gecompromitteerde AI-agent in bedwang konden houden. Lees de twee cijfers samen. AI-agenten dienen al als een nieuwe risicopool voor insiders, hebben sterke referenties en opereren op machineschaal.
Drie bevindingen uit één rapport – een onderzoek van Cloud Security Alliance en Oasis Security onder 383 IT- en beveiligingsprofessionals – de omvang van het probleem in kaart brengen: 79% heeft matig tot weinig vertrouwen in het voorkomen van op NHI gebaseerde aanvallen, 92% heeft er weinig vertrouwen in dat hun oude IAM-tools AI- en NHI-risico’s specifiek kunnen beheren, en 78% heeft geen gedocumenteerd beleid voor het creëren of verwijderen van AI-identiteiten.
Het aanvalsoppervlak is niet hypothetisch. CVE-2026-27826 en CVE-2026-27825 kwam eind februari op mcp-atlassian met SSRF en willekeurige bestandsschrijfbewerkingen via vertrouwensgrenzen gecreëerd door het Model Context Protocol (MCP). mcp-atlassian heeft volgens de onthullingen van Pluto Security meer dan 4 miljoen downloads. Iedereen op hetzelfde lokale netwerk kan code uitvoeren op de machine van het slachtoffer door twee HTTP-verzoeken te verzenden. Geen authenticatie vereist.
Jake Williams, een faculteitslid bij IANS Researchis direct geweest over het traject. MCP zal in 2026 het bepalende AI-beveiligingsprobleem zijn vertelde hij de IANS-gemeenschapwaarschuwt dat ontwikkelaars authenticatiepatronen bouwen die zijn opgenomen in inleidende tutorials, en niet in bedrijfsapplicaties.
Vier leveranciers hebben de afgelopen maanden identiteitscontroles voor AI-agenten geleverd. Niemand brengt ze in kaart in één enkel bestuurskader. De onderstaande matrix kan precies dat doen.
Vierlaagse matrix voor identiteitsbeheer
Geen van deze vier leveranciers vervangt de IAM-stacks van bestaande beveiligingsleiders. Elk van deze oplossingen dicht specifieke leemten in de identiteit die de oude IAM niet kan zien. Andere leveranciers, waaronder CyberArk, Oasis Security en Astrix, leveren relevante NHI-controles; Deze matrix richt zich op de vier die het meest direct in verband staan met de klasse van post-authenticatiefouten die aan het licht komen door meta-incidenten. (runtime-afdwinging) betekent dat inline-controles actief zijn tijdens de uitvoering van agenten.
|
Bestuurslaag |
Moet op zijn plaats zijn |
Risico’s anders |
Wie verzendt het nu |
Vragen van verkopers |
|
Agentdetectie |
Realtime inventarisatie van elke agent, zijn inloggegevens en zijn systemen |
Schaduwagenten met overgenomen rechten worden door niemand gecontroleerd. Het tempo waarin schaduw-AI in ondernemingen wordt toegepast, blijft toenemen, omdat werknemers agenttools adopteren zonder goedkeuring van de IT-afdeling |
CrowdStrike Falcon Shield (runtime): AI-agentinventaris op SaaS-platforms. Palo Alto Netwerk AI-SPM (runtime): continue ontdekking van AI-middelen. Erik Trexler, SVP Palo Alto Networks: “De ineenstorting tussen identiteit en aanvalsoppervlak zal 2026 bepalen.” |
Welke agenten zijn actief die wij niet leveren? |
|
Levenscyclus van legitimatie |
Tijdelijk token, automatische rotatie, nulrechten |
Gestolen statische sleutel = permanente toegang met volledige rechten. API-sleutels met een lange levensduur geven aanvallers voor onbepaalde tijd blijvende toegang. Het aantal niet-menselijke identiteiten is al groter dan het aantal mensen – Palo Alto Networks citeerde 82 tegen 1 in zijn voorspellingen voor 2026 tenminste Cloud Security Alliance 100 tegen 1 in cloudbeoordeling in maart 2026. |
CrowdStrike SGNL (runtime): geen privilege, dynamische autorisatie voor mens/NHI/agent. Verworven in januari 2026 (wordt naar verwachting FQ1 2027 afgesloten). Danny Brickman, CEO van Oasis Security: “AI verandert identiteit in een supersnel systeem waarbij elke nieuwe agent binnen enkele minuten inloggegevens afdrukt.” |
Is er een agent die authenticeert met sleutels die ouder zijn dan 90 dagen? |
|
Intentie na verificatie |
Gedragsvalidatie dat een legitiem verzoek consistent is met legitieme bedoelingen |
De agent omzeilt iedere controle en voert foutieve instructies uit via goedgekeurde API’s. Meta-foutpatronen. Legacy IAM heeft hiervoor geen detectiecategorie |
SentinelOne singulariteitsidentiteit (runtime): detectie en reactie op identiteitsbedreigingen bij menselijke en niet-menselijke activiteiten, waarbij identiteitssignalen, eindpunten en werklasten worden verbonden om misbruik in geautoriseerde sessies te detecteren. Jeff Reed, CTO: “Identiteitsrisico begint en eindigt niet langer met authenticatie.” Gelanceerd op 25 februari |
Wat valideert de intentie tussen authenticatie en actie? |
|
Bedreigingsinformatie |
Herkenning van agentspecifieke aanvalspatronen, gedragsbasislijnen voor agentsessies |
Aanvallen tijdens een officiële sessie. Geen kenmerkende branden. SOC ziet normaal verkeer. Het verblijf wordt voor onbepaalde tijd verlengd |
Cisco AI Defense (runtime): agentspecifieke dreigingspatronen. Lavi LazarovitzCyberArk Vice President Cyber Research: “Stel je AI-agenten voor als een nieuwe klasse digitale collega’s” die “beslissingen nemen, leren van hun omgeving en autonoom handelen.” Uw EDR-fundamenteel menselijk gedrag. Agentgedrag is moeilijker te onderscheiden van legitieme automatisering |
Hoe ziet een verwarde hulpsheriff eruit in onze telemetrie? |
De matrix laat een ontwikkeling zien. De levenscyclus van ontdekking en identificatie kan nu worden voltooid met de levering van producten. Intentievalidatie na authenticatie kan gedeeltelijk worden gesloten. SentinelOne detecteert identiteitsbedreigingen bij menselijke en niet-menselijke activiteiten nadat toegang is verleend, maar geen enkele leverancier valideert volledig of de instructies achter een legitiem verzoek overeenkomen met de legitieme bedoelingen. Cisco biedt een laag dreigingsinformatie, maar detectiehandtekeningen voor fouten bij agent-authenticatie zijn vrijwel onbestaande. SOC-teams die zijn getraind op basislijnen van menselijk gedrag, krijgen te maken met agentverkeer dat sneller, uniformer en moeilijker te onderscheiden is van legitieme automatisering.
Er blijft een architecturale kloof open
Geen enkele grote beveiligingsleverancier levert agent-tot-agent-authenticatie als een productieproduct. Protocollen, waaronder Google’s A2A en het IETF-concept van maart 2026, leggen uit hoe u deze kunt maken.
Wanneer agent A delegeert aan agent B, vindt er geen identiteitsverificatie tussen hen plaats. Een gecompromitteerde agent erft het vertrouwen van elke agent waarmee hij communiceert. Compromis via snelle injectie, en het geeft instructies door de hele keten heen, gebruikmakend van het vertrouwen van legitieme agenten die al gevestigd zijn. De MCP-specificatie verbiedt het doorgeven van tokens. Ontwikkelaars doen het toch. Dat Februari 2026 OWASP Praktische gids voor veilige MCP-serverontwikkeling catalogiseerde de verwarde hulpsheriff als een genoemde dreigingsklasse. De controle op de productieniveaus is nog niet ingehaald. Dit was de vijfde vraag die veiligheidsleiders aan de raad stelden.
Wat te doen vóór de volgende bestuursvergadering
Inventariseer elke AI-agent en MCP-serververbinding. Elke agent die authenticeert met een statische API-sleutel die ouder is dan 90 dagen, is een post-authenticatiefout die nog kan optreden.
Schakel statische API-sleutels uit. Verplaats elke agent naar een tijdelijk token met automatische rotatie.
Runtime-detectie implementeren. U kunt de identiteit van een agent waarvan u niet weet dat hij bestaat, niet controleren. De schaduwspreidingssnelheid neemt toe.
Verwarde plaatsvervangende blootstellingstest. Controleer voor elke MCP-serververbinding of de server autorisatie per gebruiker toepast of dezelfde toegang verleent aan elke beller. Als elke agent dezelfde toestemming krijgt, ongeacht wie het verzoek heeft geactiveerd, kunnen verwarde agenten al worden uitgebuit.
Neem de governancematrix mee naar uw volgende bestuursvergadering. Er werden vier controles geïmplementeerd, één architecturale leemte werd gedocumenteerd en er werd een aanbestedingsschema bijgevoegd.
De identiteitsstapel die u voor menselijke medewerkers creëert, vangt gestolen wachtwoorden op en blokkeert ongeautoriseerde logins. Het betrapt AI-agenten niet op het volgen van kwaadaardige instructies via legitieme API-aanroepen met geldige inloggegevens.
Het Meta Event bewijst dat dit niet theoretisch is. Dit gebeurde bij een bedrijf dat een van de grootste AI-veiligheidsteams ter wereld heeft. Vier leveranciers hebben de eerste bedieningselementen verzonden die zijn ontworpen om het te vinden. De vijfde laag bestaat nog niet. Of dit uw houding verandert, hangt af van de vraag of u deze matrix als een functionerend auditinstrument behandelt of in het leveranciersdek laat staan.
