De meeste beveiligingsincidenten beginnen met malware. De bepalende AI-incidenten van 2026 niet. Ze begonnen met een agent die precies deed waarvoor hij was gebouwd — externe content lezen en ernaar handelen — nadat die content hem stilletjes had opgedragen iets anders te doen. AI-agentbeveiliging is niet langer een theoretische zorg op een slide. Het is het snelst groeiende aanvalsoppervlak binnen bedrijven, en de sector leerde dat in de eerste helft van het jaar op de harde manier.
Als 2025 het jaar was waarin bedrijven agents overhaast in productie duwden, dan is 2026 het jaar waarin de rekening kwam. De ongemakkelijke consensus onder securityonderzoekers is bot: de kwetsbaarheid is geen misconfiguratie die je kunt patchen. Ze is structureel.
Prompt-injectie ging van randgeval naar topbedreiging
De grootste verschuiving is dat prompt-injectie — instructies verstoppen in data die een agent zal lezen — dit jaar elke andere categorie AI-beveiligingsincidenten in bedrijfsomgevingen voorbijstreefde. Onderzoekers van Google die webcontent monitoren rapporteerden een stijging van 32% in kwaadaardige prompt-injectie-payloads ingebed in webpagina's tussen november 2025 en februari 2026, volgens berichtgeving over hun bevindingen.
Waarom nu? Omdat agents eindelijk tanden hebben. Een agent die alleen kan chatten is grotendeels ongevaarlijk als je hem foppt. Een agent die je e-mail kan lezen, je database kan bevragen en externe API's kan aanroepen is een ander beest. Het kader van securityonderzoeker Simon Willison rond de "lethal trifecta" is het standaard mentale model geworden: gevaar ontstaat wanneer één agent alle drie de elementen heeft — toegang tot privédata, blootstelling aan niet-vertrouwde content, en het vermogen om extern te communiceren. Raak alle drie en een verborgen instructie in een webpagina of document wordt een vector voor volledige systeemcompromittering.
Het cruciale inzicht dat teams blijven missen: het model functioneert niet verkeerd wanneer dit gebeurt. Het volgt instructies op. Het kan simpelweg niet betrouwbaar jouw instructies onderscheiden van instructies die zijn binnengesmokkeld in de data die het moest verwerken.
MCP is het bindweefsel — en het zwakke punt
Het Model Context Protocol (MCP) werd in 2025 de standaardmanier om agents met tools te verbinden, en in 2026 werd het de rode draad in bijna elk groot incident. Het protocol zelf is redelijk; de implementaties niet.
De cijfers zijn schrijnend. Volgens berichtgeving samengevat door Cyberdesserts vond Trend Micro 492 MCP-servers blootgesteld aan het internet zonder enige authenticatie, en SecurityScorecard identificeerde ruim 135.000 instances die draaien met onveilige standaardinstellingen. De MCP-specificatie raadt OAuth 2.1 aan, maar in de haast om te lanceren sloegen de meeste implementaties authenticatie volledig over. Platte API-sleutels in configbestanden zoals .claude/settings.json en ~/.clawdbot/.env werden een primaire aanvalsvector.
Tool poisoning en supply-chain-aanvallen
De aanval die je het meest zou moeten verontrusten is tool poisoning. Een kwaadaardige MCP-server kan zich voordoen als een vertrouwde tool, en een vergiftigd template kan stilletjes het gedrag van een agent herschrijven. Dit is geen hypothese:
- ClawHub-poisoning: Antiy CERT bevestigde 1.184 kwaadaardige skills verspreid over ClawHub, de marktplaats voor het OpenClaw-agentframework — beschreven als de grootste supply-chain-aanval op agentinfrastructuur tot nu toe. Op het hoogtepunt van de infectie waren vijf van de zeven meest gedownloade skills bevestigde malware.
- Claude Code RCE: Check Point Research onthulde configuratie-injectiefouten (geregistreerd als CVE-2025-59536, CVSS 8.7) waarmee aanvallers kwaadaardige hooks konden injecteren via vergiftigde repository-configbestanden en MCP-beveiligingen konden omzeilen.
De les: de componenten die je agent dynamisch laadt — tools, plugins, MCP-servers, prompt-templates — zijn nu onderdeel van je aanvalsoppervlak, en de meeste teams behandelen ze standaard als vertrouwd.
Wanneer agents precies doen wat ze ontworpen zijn te doen
De engste incidenten zijn geen exotische exploits. Het zijn agents die zich correct gedragen richting een kwaadaardig doel. Securityanalisten beschrijven het eerste spraakmakende operationele incident van 2026 als een autonome agent die een keten van acties uitvoerde, in gang gezet door een dubbelzinnige prompt via MCP — met dataverlies en serviceverstoring tot gevolg, geheel zonder malware.
En het misbruik gaat ook de andere kant op. Bij een datalek dat eind 2025 tot in 2026 werd gerapporteerd, zou een aanvaller Claude in het Spaans hebben opgedragen om "als een elite-hacker te handelen" en hem hebben gebruikt om meerdere Mexicaanse overheidsinstanties te compromitteren, waarbij 195 miljoen belastingbetalersgegevens en 150 GB aan data werden buitgemaakt, terwijl het model duizenden gedetailleerde verkenningsrapporten genereerde. In februari 2026 bestempelde het Pentagon Anthropic als een "supply chain risk" — het eerste Amerikaanse AI-bedrijf dat die classificatie kreeg — wat onderstreept hoe serieus de gevolgen nu worden genomen.
Het patroon in al deze gevallen: capabele agents versterken elke intentie die hen bereikt, legitiem of niet.
Het OWASP-framework dat je zou moeten gebruiken
Het goede nieuws is dat het verdedigingsdraaiboek snel volwassen werd. De OWASP Top 10 voor Agentic Applications 2026 is nu de referentiestandaard, en die benoemt de bedreigingen specifiek in plaats van ze onder generieke "LLM-risico's" te scharen. De lijst omvat:
- ASI01 — Agent Goal Hijack: het doel van een agent omleiden via geïnjecteerde instructies.
- Tool Misuse & Exploitation: de legitieme tooltoegang van de agent misbruiken.
- ASI03 — Agent Identity & Privilege Abuse: agents met te veel rechten die meer doen dan bedoeld.
- ASI04 — Agentic Supply Chain Compromise: de bovengenoemde categorie van vergiftigde tools en templates.
- Memory & Context Poisoning, onveilige inter-agentcommunicatie, cascaderende agentfouten en rogue agents.
Als je securityreview je agents niet tegen deze lijst afzet, is dat het eerste hiaat om te dichten. Het framework bestaat juist omdat traditionele AppSec-checklists agentspecifieke faalmodi niet vangen.
Een praktische verdedigingschecklist
Je kunt prompt-injectie niet onmogelijk maken — dat is het structurele deel. Je kunt wel de schade beperken. De controlemaatregelen waar securityteams in 2026 op convergeerden:
- Authenticeer elke MCP-server. Forceer OAuth 2.1 of op zijn minst token-gebaseerde auth. Geen niet-geauthenticeerde servers op het netwerk, intern of niet.
- Doorbreek de lethal trifecta. Ontwerp zo dat geen enkele agent tegelijk toegang tot privédata, blootstelling aan niet-vertrouwde content én externe communicatie heeft. Verdeel verantwoordelijkheden over agents met smalle scopes.
- Behandel config als code. Configbestanden zoals
settings.jsonkrijgen dezelfde review en secret-scanning als broncode. Sla nooit platte sleutels op; roteer alles wat een kwetsbaar systeem heeft aangeraakt. - Pin en verifieer componenten. Gebruik ondertekende manifesten, gecureerde registries, version pinning en integriteits-hashes voordat je een tool laadt. Beperk dynamische tooldiscovery.
- Sandbox agressief. Draai agents in microVM's of strikte sandboxes — dezelfde zero-trust-, least-access-mentaliteit — zodat een gekaapte agent niet bij de rest van je omgeving kan.
- Maak guardrails definitief. Definieer expliciete grenzen voor wat een agent mag doen, en zorg dat een "nee" van de guardrail door niets in de prompt kan worden overruled.
- Voeg een menselijke poort toe voor onomkeerbare acties. Onderzoeken dit jaar lieten zien dat de meeste organisaties wel kunnen zien wat hun agents doen, maar ze niet midden in een actie kunnen stoppen. Bouw de stopknop voordat je hem nodig hebt.
De kern van de zaak
AI-agentbeveiliging in 2026 is, in de woorden van één veelgeciteerde samenvatting, in de eerste plaats een supply-chain-probleem en pas in de tweede plaats een prompt-injectieprobleem — met MCP als het bindweefsel dat door beide loopt. De dreiging is geen bug die weggepatcht kan worden; ze is het natuurlijke gevolg van capabele modellen reële slagkracht geven. De organisaties die er als winnaar uitkomen, zijn niet degenen die agents mijden. Het zijn degenen die agents inzetten met de aanname dat injectie zal gebeuren, en die zo ontwerpen dat de schade, wanneer het gebeurt, stopt bij de muur van de sandbox.
FAQ
Wat is de "lethal trifecta" in AI-agentbeveiliging? De gevaarlijke combinatie van een agent met toegang tot privédata, blootstelling aan niet-vertrouwde content en het vermogen om extern te communiceren. Samen veranderen ze een verborgen instructie in een vector voor systeemcompromittering.
Kan prompt-injectie volledig worden voorkomen? Nee. Onderzoekers behandelen het als een structureel risico omdat modellen niet betrouwbaar vertrouwde instructies kunnen onderscheiden van instructies ingebed in de data die ze verwerken. Het doel is beheersing, geen eliminatie.
Waar begin ik als mijn bedrijf agents uitrolt? Zet je agents af tegen de OWASP Top 10 voor Agentic Applications 2026, authenticeer elke MCP-server, en zorg dat geen enkele agent alle drie de poten van de lethal trifecta bezit.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is a developer and automation builder with 8+ years shipping production systems used by 100k+ people. He builds custom multi-tenant SaaS, AI automation (n8n, LLM workflows, WhatsApp bots) and hosting infrastructure (WHM/cPanel, CloudLinux) — and is the maker of WaSphere, FlowMaticX, and the WaseerHost hosting brand. 100+ projects delivered for SMBs, agencies and funded startups.
