AI-beveiliging loopt achter bij snelle adoptie door organisaties

Dit blijkt uit het State of AI Security 2026-rapport van Cisco. “De snelle adoptie van AI en agentic AI protocollen heeft een nieuw en onbewaakt aanvalsoppervlak gecreëerd”, waarschuwt Jan Heijdra, Field CTO Security van Cisco Nederland.

Uit de AI Readiness Index van vorig jaar bleek dat 83% van de organisaties plannen had om AI-agents in bedrijfsprocessen te integreren, maar slechts 29% zich voorbereid voelde om dit veilig te doen. In 2026 zijn AI-modellen en -applicaties niet alleen hulpmiddelen, maar ook doelwitten geworden. Dagelijkse aanvallen zoals jailbreaks en prompt injections tonen de kwetsbaarheden aan. Het OpenClaw-incident illustreerde hoe autonome agents zonder adequate beveiliging de integriteit van het volledige AI-ecosysteem kunnen ondermijnen.

Snelle adoptie, onvoldoende beveiliging

Het Model Context Protocol (MCP), een standaard voor het koppelen van modellen aan tools en data, is snel geadopteerd, maar de beveiliging kon niet bijbenen. In 2025 werden kwetsbaarheden blootgelegd, zoals MCP tool poisoning, waarmee WhatsApp-gesprekken werden buitgemaakt, en supply-chain-aanvallen via malafide MCP-servers die e-mails van AI-agents onderschepten. Organisaties die grote taalmodellen in kritieke workflows integreerden, slaan mogelijk traditionele beveiligingsstappen over om snelheid te behouden.

“Organisaties moeten MCP-servers, agent tool registries (een soort catalogus van tools en functies die een AI-agent mag gebruiken) en context brokers (of het verbindingsstuk tussen modellen, tools en databronnen) even streng behandelen als een klassieke API-gateway of database. Ze hebben best practices voor MCP-beveiliging nodig en doen er ook goed aan om openbronscanners te gebruiken die MCP dreigingen herkennen en isoleren”, zegt Heijdra.

Nieuwe dreigingen vereisen nieuw kader

Cisco heeft 14 dreigingstypen opgenomen in de MCP-taxonomie en 17 in de classificatie van agent-to-agent-dreigingen (A2A). Het Integrated AI Security and Safety Framework identificeert 19 aanvalsdoelen en meer dan 150 technieken waarmee AI-systemen kunnen worden gecompromitteerd. Cybercriminelen richten zich niet alleen op het omzeilen van beveiligingen in generatieve AI-modellen, maar ook op agents die namens gebruikers processen uitvoeren.

Deze aanpak, excessive agency genoemd, vormt een groeiende kwetsbaarheid nu AI-systemen zonder toezicht kritieke bedrijfsfuncties beheren. Uit onderzoek naar acht veelgebruikte open-weight taalmodellen bleek dat multi-turn jailbreak-aanvallen een slagingspercentage van bijna 93% hadden, wat een structurele zwakte in huidige modellen aantoont.

Staatsactoren verergeren dreiging

De dreiging wordt concreter door betrokkenheid van statelijke actoren. In China werd Anthropics Claude Code gekraakt om 90% van een spionagecampagne te automatiseren. Russische groepen gebruikten grote taalmodellen voor malwareontwikkeling, terwijl Noord-Koreaanse actoren deepfakes inzetten voor financiële diefstal. Iran gebruikte AI voor zowel de ontwikkeling van exploits als voor het richten op fysieke doelen. Cisco verwacht dat hackers in de toekomst dieper in het geheugen van modellen zullen doordringen, onder meer via vector embedding attacks, waarbij vectordatabases worden gemanipuleerd.

“In een onduidelijk en onzeker AI-beveiligingslandschap raden we aan om AI te benaderen met een defence-in-depth-strategie en een Zero Trust-architectuur: kies modellen met een sterke basisweerbaarheid tegen aanvallen, implementeer gelaagde bescherming om afwijkende of risicovolle activiteit te detecteren en te blokkeren, geef prioriteit aan dreigingsspecifieke mitigaties en zet continue evaluatie in op AI-assets”, besluit Jan Heijdra.