AI-agent security: waarom guardrails tekortschieten

dinsdag, 9 juni 2026 (09:26) - Techzine

In dit artikel:

83% van de organisaties heeft geen volledig overzicht van hun AI‑agents, terwijl deze systemen steeds meer toegang krijgen tot bedrijfskritische data en processen. In een gesprek met Filip Verloy (CTO EMEA & APJ bij Rubrik) worden de belangrijkste risico’s en mogelijke verdedigingslijnen voor deze autonome softwareagenten besproken.

AI‑agents verschillen wezenlijk van traditionele systemen: ze werken probabilistisch en nemen autonome beslissingen die niet altijd in vaste regels zijn te vatten. Veel bedrijven testen agents in afgeschermde pilots met bekende datasets, maar zodra die agents in productie met echte gebruikers en data komen, ontstaan onvoorspelbare risico’s. Bovendien is er binnen organisaties vaak druk van het management om snel te adopteren zonder duidelijke, meetbare securityplannen.

Een groot knelpunt is zichtbaarheid. Er bestaan gesanctioneerde agent‑platforms (zoals Copilot Studio of M365 Agent Builder) waar centraal toezicht mogelijk is, maar daarnaast duiken “shadow AI”-oplossingen en agents van derde partijen op die moeilijk te inventariseren zijn. Cruciaal is niet alleen weten welke agents er zijn, maar welke tools en data zij kunnen benaderen — een agent die alleen een agenda kan lezen is minder risicovol dan een agent die meetings verplaatst, externen uitnodigt of e‑mails doorstuurt.

Traditionele beveiligingsmaatregelen schieten tekort. Lokale guardrails of statische AI‑gateways vertrouwen op instructies die door het LLM worden geïnterpreteerd — en dat model en de context veranderen continu. Verloy vat het kernprobleem samen als: agents zijn “probabilistisch, niet deterministisch.” Daardoor kunnen keyword‑blocks en vaste regels omzeild worden, en ontstaan nieuwe aanvalsvectoren zoals prompt‑injection waarbij een agent heimelijk gevoelige informatie doorspeelt.

Rubrik stelt een andere aanpak voor: SAGE (Semantic AI Governance Engine), een klein language model dat bij elke stap de intentie van een agent beoordeelt tegen een vooraf gedefinieerd governance‑framework. SAGE kan tijdens runtime ingrijpen en acties blokkeren die buiten beleidslijnen vallen, en is daardoor beter in staat om context en intent te interpreteren dan statische rules. Rubrik Agent Cloud monitort ook agent‑sessies, inclusief orchestrator‑ en subagent‑communicatie. Verloy uit kritiek op protocollen als Anthropic’s MCP omdat security daar onvoldoende in gebakken zou zijn.

Als laatste verdedigingslinie biedt Rubrik Agent Rewind herstelmogelijkheden: automatische terugzetting van data na destructieve acties via schema’s, log‑backups of continuous data protection. Verloy benadrukt dat dit een noodoplossing is; het doel blijft runtime governance gecombineerd met zichtbaarheid en veerkracht in de dataketen.

Kortom: organisaties moeten zicht krijgen op agents, governance en runtime‑controle implementeren en dataresilience waarborgen om de risico’s van steeds autonomere AI‑agents te beheersen.