Blog

Wat de eerste grote AI-agent-incidenten ons leren over veilig bouwen

Peer-reviewed onderzoek ontleedt de eerste grote AI-agent-incidenten: 900+ open gateways, 32.000 gelekte sleutels. Wat dit betekent voor veilig bouwen met AI.

16 juli 2026 · Victor Angelier

Eind april verscheen een peer-reviewed survey die iedereen zou moeten lezen die AI-agents inzet of overweegt: Towards trustworthy agentic AI (Academia AI and Applications, april 2026), van onderzoekers van The Chinese University of Hong Kong en Fudan University. Zesendertig pagina's over veiligheid, robuustheid, privacy en systeembeveiliging van autonome AI-systemen. Het is geen theoretisch stuk: de auteurs sluiten af met een casestudy van incidenten die zich de afgelopen maanden voor onze ogen afspeelden.

Wat er gebeurde

OpenClaw, een open-source AI-assistent met volledige systeemtoegang — bestanden lezen en schrijven, shell-commando's uitvoeren, credentials beheren — groeide eind 2025 binnen weken naar honderdduizenden actieve installaties. Begin dit jaar volgden twee kritieke kwetsbaarheden, met CVSS-scores van 9,4 en 9,6. Internetbrede scans vonden ruim 900 gateways die zonder enige authenticatie aan het publieke internet hingen. API-sleutels, OAuth-tokens en complete gespreksgeschiedenissen lagen als platte tekst voor het oprapen, en malware-families pasten zich binnen dagen aan om precies die bestanden te stelen.

Moltbook, een sociaal netwerk exclusief voor AI-agents, lanceerde eind januari. Binnen dagen bleek de verkeerd geconfigureerde database volledig toegankelijk: de gegevens van ruim 32.000 geregistreerde agents, inclusief API-sleutels en privéberichten.

En misschien het meest veelzeggende cijfer uit het onderzoek: van 31.132 geanalyseerde agent-plugins bevatte 26,1 procent ten minste één kwetsbaarheid. Ruim een op de acht kon data exfiltreren.

Waarom dit structureel is

De survey haalt het werk van Simon Willison aan, die hiervoor de term lethal trifecta muntte. Een agent die drie dingen tegelijk kan — toegang tot privédata, verwerking van niet-vertrouwde content, en communicatie naar buiten — is structureel kwetsbaar. Eén geïnjecteerde instructie in een webpagina, e-mail of document, en de agent gebruikt zijn legitieme rechten als exfiltratiekanaal.

De onderzoekers zijn er expliciet over: dit los je niet op met betere prompts. Taalmodellen kunnen instructies en data niet betrouwbaar van elkaar onderscheiden. Zelfs Microsoft 365 Copilot bleek vatbaar voor een zero-click injectie — er was geen enkele gebruikersactie nodig.

Betrouwbaarheid is een systeemeigenschap

De belangrijkste conclusie van het onderzoek: betrouwbaarheid van AI-agents is een eigenschap van het hele systeem, niet van het model. In de OpenClaw-casus ging het op elke laag mis — geen inputvalidatie, geen controle op het plan, onbeperkte toegang tot tools, geen anomaliedetectie, geen toezicht op plugins. Geen enkele losse maatregel had het voorkomen.

De auteurs pleiten daarom voor gelaagde verdediging: minimale bevoegdheden per taak, fail-closed gedrag bij onzekerheid, alleen-lezen als conservatieve terugvaloptie, en volledige, controleerbare audit-trails. Hun slotsom: agentic AI moet worden behandeld als geprivilegieerde infrastructuur, niet als consumentensoftware.

Hoe wij deze principes in Vera hebben vertaald

Toen ik Vera bouwde, heb ik precies deze keuzes gemaakt — niet omdat een survey het voorschreef, maar omdat de doelgroep het afdwingt. Advocaten, notarissen en bedrijfsartsen kunnen zich de aannames van consumentensoftware niet veroorloven.

Concreet betekent dat drie dingen. Ten eerste: documenten worden op onze eigen infrastructuur binnen de Europese Unie geanonimiseerd vóórdat er ook maar iets naar een AI-model gaat — dat is de Semantic Privacy Shield. En die werkt fail-closed: als de beschermlaag niet beschikbaar is, blokkeert het systeem. Het schakelt niet stilletjes terug naar een onveiliger modus.

Ten tweede: lezen en schrijven zijn strikt gescheiden routes. Bij een ambigue opdracht is alleen-lezen de standaard — ook in Vera Office, waar documenten binnen dezelfde beveiligde omgeving worden bekeken en bewerkt, zonder dat het systeem autonoom wijzigingen doorvoert.

Ten derde: elke verificatiestap is zichtbaar en controleerbaar, inclusief wat er gecorrigeerd werd en waarom. We publiceren onze gedragstests met de ruwe data — ook de mislukkingen — op de evidence-pagina.

Eerlijk over de grenzen

Vera garandeert geen waarheid en elimineert geen fouten — wie dat wél belooft, heeft dit onderzoek niet gelezen. Wat een goed ontworpen systeem kan doen, is het risico op ónopgemerkte fouten en stille datalekken structureel verkleinen, en elke stap controleerbaar maken. Het professionele eindoordeel blijft altijd bij de gebruiker.

De agents komen er. De vraag is niet óf we ze gaan gebruiken, maar of we ze bouwen als infrastructuur of als speelgoed.

Bron: Qi, J., Li, M., Liu, J. e.a., Towards trustworthy agentic AI: a comprehensive survey of safety, robustness, privacy, and system security. Academia AI and Applications, 2026;2. DOI: 10.20935/AcadAI8260.

← Alle artikelen