Drie kwart van organisaties heeft geen zicht op wat hun AI-agents doen
AI-agents worden sneller uitgerold dan de beveiligingsframeworks die ze zouden moeten beheersen.
U heeft AI-agents uitgerold om productiviteit te verhogen. Maar weet u ook wat ze doen, welke systemen ze benaderen en met welke rechten? Uit meerdere onderzoeken van begin 2026 blijkt dat de meeste organisaties dat niet weten — en dat aanvallers dat al weten.
De cijfers die het probleem definiëren
| Bevinding | Cijfer | Bron |
|---|---|---|
| Organisaties met volledig beveiligde agent-fleet | 14,4% | Gravitee State of AI Agent Security 2026 |
| Agents actief gemonitord of beveiligd | 47,1% gemiddeld | Gravitee 2026 |
| Executives die vertrouwen hebben in bestaande policies | 82% | Gravitee 2026 |
| Organisaties met bevestigd AI-agent security incident | 88% | Gravitee 2026 |
| Organisaties die AI-agent van menselijke activiteit kunnen onderscheiden | 32% | Cloud Security Alliance, maart 2026 |
| Organisaties die een misbehaving agent snel kunnen stoppen | 40% | Kiteworks 2026 |
| Fortune 500-bedrijven met actieve AI-agents | 80% | Microsoft Cyber Pulse 2026 |
Adoptie is ver voor op governance
De kern van het probleem is simpel: AI-agents worden sneller uitgerold dan de beveiligingsframeworks die ze zouden moeten beheersen.
Uit het Gravitee State of AI Agent Security 2026 rapport, gebaseerd op onderzoek onder meer dan 900 executives en practitioners, blijkt dat 80,9% van technische teams inmiddels voorbij de planningsfase is en actief AI-agents in productie heeft draaien. Maar slechts 14,4% van die agents ging live met volledige beveiligings- of IT-goedkeuring.
Microsoft's Cyber Pulse Report bevestigt het beeld: 80% van de Fortune 500 heeft actieve AI-agents gebouwd via low-code of no-code tools. Tegelijkertijd beschrijft Microsoft veel van die agents als "unsanctioned, unobserved, or over-privileged."
De conclusie is ongemakkelijk: de meeste organisaties hebben een productie-infrastructuur uitgerold die ze niet volledig kunnen zien, controleren of stoppen.
Het governance-gat: executives vs. realiteit
Het gevaarlijkste getal in de onderzoeken is niet het percentage onbeveiligde agents — het is de kloof tussen wat executives denken en wat er werkelijk gebeurt.
82% van executives is er zeker van dat hun bestaande policies bescherming bieden tegen ongeautoriseerde agent-acties. Maar slechts 21% heeft daadwerkelijk volledig zicht op agent-permissies, tool-gebruik en data-toegangspatronen.
Dit is geen kenniskloof — het is een handhavingskloof. Policies op papier zijn geen runtime-controles. Een firewall stopt geen prompt injection. Een API-gateway voorkomt niet dat een over-geprivilegieerde agent data exfiltreert via een legitieme tool-aanroep.
Wat u niet kunt zien, kunt u niet beveiligen
De Cloud Security Alliance ondervroeg in januari 2026 228 IT- en security-professionals. De uitkomst: 68% van organisaties kan menselijke en AI-agent-activiteit niet duidelijk van elkaar onderscheiden in hun logs en monitoring.
Dat heeft directe beveiligingsgevolgen. Als een aanvaller een agent comprometteert via prompt injection — zoals beschreven in onze vorige post — en die agent voert acties uit, ziet uw SOC dat als normale agent-activiteit. Er is geen afwijkende gebruiker om op te alerteren. Er is geen onbekende sessie. Alles ziet er legitiem uit.
Meer dan de helft van alle agents draait zonder enige beveiligingsmonitoring of logging. Beveiligingsteams kunnen niet beschermen wat ze niet kunnen zien.
Shadow AI: de onzichtbare aanvalsvector
Het Gravitee-rapport introduceert de term "Shadow AI" voor agents die in productie draaien zonder beveiligingsgoedkeuring. Slechts 14,4% van organisaties heeft volledige goedkeuring voor hun gehele agent-fleet. De rest heeft een variatie aan agents draaien die buiten het zichtvenster van security vallen.
Shadow AI is niet per definitie kwaadaardig — het zijn vaak agents die door ontwikkelaars of business-teams zijn uitgerold zonder formeel proces. Maar de beveiligingsgevolgen zijn identiek aan kwaadaardige toegang: agents met toegang tot productiedata, zonder logging, zonder toezicht, buiten het beveiligingsbeleid.
Kiteworks' 2026 rapport voegt een praktische dimensie toe: 60% van organisaties kan een misbehaving agent niet snel stoppen. Als een agent begint te misbehaven — door compromittatie, door een fout, of door een aanval — heeft de meerderheid van organisaties geen kill-switch.
Het aanvalsoppervlak van een AI-agent
Een traditionele applicatie heeft een voorspelbaar gedragspatroon: dezelfde inputs leiden tot dezelfde outputs. Een AI-agent niet. Agents nemen autonome beslissingen, roepen externe tools aan en kunnen worden gemanipuleerd via hun inputs op manieren die traditionele software niet kan.
Wat een over-geprivilegieerde, onbewaakte agent in handen van een aanvaller kan doen:
- Bestanden lezen en exfiltreren via legitieme tool-aanroepen
- E-mails versturen namens de gebruiker
- API-calls uitvoeren naar externe systemen
- Databaserecords aanpassen of verwijderen
- Andere agents aansturen of manipuleren
Dit zijn geen theoretische risico's. Het Gravitee-rapport documenteert meerdere praktijkgevallen van agents die ongeautoriseerde schrijftoegang tot databases verkregen en pogingen deden om gevoelige informatie te exfiltreren.
Wat kunt u doen?
1. Inventariseer uw agent-fleet
Weet welke AI-agents er in uw organisatie draaien — inclusief de agents die business-teams zelf hebben uitgerold via low-code tools. U kunt niet beveiligen wat u niet kent.
2. Implementeer minimale rechten consequent
Elke agent krijgt alleen de rechten die strikt noodzakelijk zijn voor de specifieke taak. Een samenvattingsagent heeft geen schrijftoegang nodig. Een zoekagent heeft geen e-mailrechten nodig.
3. Logging en monitoring als vereiste
Geen agent gaat live zonder logging van acties, tool-aanroepen en data-toegang. Behandel agent-activiteit als een aparte categorie in uw SIEM.
4. Onderscheid mens van machine in uw logs
Zorg dat agent-activiteit duidelijk te onderscheiden is van menselijke activiteit. 68% van organisaties kan dit nu niet — dat is een blinde vlek die aanvallers actief misbruiken.
5. Kill-switch als standaard
Elke agent heeft een mechanisme om snel te stoppen, te isoleren of terug te draaien. Dit is geen optionele feature — het is een beveiligingsvereiste.
6. Governance vóór uitrol
Laat geen agent in productie gaan zonder formele beveiligingsbeoordeling. De snelheid van uitrol is precies wat aanvallers uitbuiten.
Het verband met eerdere posts
In onze post over prompt injection beschreven we hoe aanvallers AI-agents kunnen manipuleren via kwaadaardige instructies in verwerkte content. De governance-problemen uit dit rapport versterken dat risico: een agent zonder monitoring die wordt gecompromitteerd via prompt injection voert aanvaller-instructies uit — volledig onzichtbaar voor uw security-team.
De combinatie van snelle adoptie, minimale governance en geen zichtbaarheid creëert precies de omstandigheden waarin aanvallers het meest effectief zijn.
Bronnen
- Gravitee – State of AI Agent Security 2026 Report
- Microsoft Cyber Pulse Report 2026
- Cloud Security Alliance – More Than Two-Thirds of Organizations Cannot Clearly Distinguish AI Agent from Human Actions
- Kiteworks – 2026 Forecast Report
- AGAT Software – AI Agent Security In 2026: What Enterprises Are Getting Wrong
- Beam.ai – AI Agent Security in 2026: The Risks Most Enterprises Still Ignore