AI agents praten met elkaar, maar wie luistert mee?

·5 min read
#ai-security#ai-agents#mcp
AI agent beveiliging — AI agents praten met elkaar, maar wie luistert mee?

Onderzoekers van Northeastern University publiceerden vorige week een systematische beveiligingsanalyse van vier AI-agent protocollen: MCP, A2A, Agora en ANP. Ze vonden twaalf protocol-niveau risico's. Tegelijkertijd ontdekte Palo Alto Networks' Unit 42 een nieuwe aanvalstechniek genaamd "agent session smuggling." Twee onafhankelijke bevindingen die hetzelfde vertellen: de manier waarop AI agents met elkaar communiceren, is nog lang niet veilig.

En dat is relevant. Want steeds meer bedrijven koppelen hun AI agents aan externe tools en andere agents. Met protocollen zoals MCP en A2A wordt dat technisch steeds makkelijker. Maar de beveiliging van die communicatie krijgt veel minder aandacht dan de functionaliteit.

Wat zijn MCP en A2A eigenlijk?

Even kort voor de context. MCP (Model Context Protocol) is het protocol waarmee AI agents verbinding maken met tools en databronnen. Denk aan: je AI agent koppelen aan je CRM, je e-mail, of een database. A2A (Agent2Agent) is het protocol waarmee agents onderling communiceren. Twee agents die samenwerken aan een taak, gebruiken A2A om informatie uit te wisselen.

Beide protocollen worden steeds populairder. Maar ze zijn ontworpen met functionaliteit als prioriteit, niet met beveiliging als uitgangspunt.

Twaalf risico's in vier protocollen

Het onderzoek van Northeastern University is de eerste systematische dreigingsanalyse van deze protocollen. De onderzoekers bekeken de architectuur, vertrouwensaannames en interactiepatronen van MCP, A2A, Agora en ANP. Wat ze vonden:

  • MCP mist verplichte validatie voor uitvoerbare componenten. Een kwaadwillende server kan tools aanbieden die zich anders gedragen dan geadverteerd.
  • A2A is kwetsbaar voor manipulatie via Agent Cards. LevelBlue SpiderLabs toonde aan dat aanvallers Agent Cards kunnen misbruiken om taken te onderscheppen.
  • Geen enkel protocol heeft een gestandaardiseerd dreigingsmodel. Er bestaat simpelweg nog geen framework om deze risico's systematisch te beoordelen.
  • Cross-protocol risico's ontstaan wanneer agents meerdere protocollen combineren, wat de aanvalsoppervlakte vergroot.

De onderzoekers evalueerden elk protocol op drie fases: creatie, operatie en updates. In elke fase vonden ze unieke kwetsbaarheden.

Agent session smuggling: een concrete aanval

Waar het Northeastern-onderzoek breed kijkt, gaat Unit 42 diep op een specifiek probleem. Ze ontdekten agent session smuggling: een techniek waarbij een kwaadaardige agent een bestaande communicatiesessie misbruikt om verborgen instructies naar een slachtoffer-agent te sturen.

Hoe werkt dat? A2A is stateful. Agents onthouden eerdere interacties om coherente gesprekken te voeren. Een kwaadaardige agent kan die eigenschap uitbuiten door schadelijke instructies te verstoppen tussen normale berichten. Het slachtoffer-agent vertrouwt de afzender omdat ze al in gesprek zijn.

Dit is fundamenteel anders dan de bekende prompt injection aanvallen. Bij prompt injection stuur je een keer een schadelijk document. Bij session smuggling bouwt de aanvaller actief vertrouwen op over meerdere interacties. Dat maakt detectie veel lastiger.

Waarom dit nu relevant is voor bedrijven

Dit klinkt misschien als een academisch probleem. Maar voor bedrijven die AI agents inzetten in hun processen, zijn de implicaties concreet.

Je agents vertrouwen andere agents standaard

Veel AI agent architecturen zijn gebouwd op het principe dat samenwerkende agents elkaar vertrouwen. Dat is handig voor de functionaliteit. Maar het betekent ook dat een gecompromitteerde agent toegang kan krijgen tot alles waar het slachtoffer-agent bij kan.

MCP-koppelingen zijn toegangspunten

Elke MCP-koppeling die je maakt tussen je AI agent en een tool is een potentieel toegangspunt. Zonder verplichte validatie kan een kwaadwillende MCP-server je agent manipuleren. En aangezien MCP steeds breder geadopteerd wordt, groeit die aanvalsoppervlakte mee.

Geen standaard AI agent beveiliging frameworks beschikbaar

Voor traditionele software heb je OWASP, penetratietests en security audits. Voor AI agent protocollen bestaat dat nog niet. Het Northeastern-onderzoek is een eerste stap, maar er is nog geen gestandaardiseerd framework dat bedrijven kunnen toepassen.

Wat kun je hier nu mee als bedrijf?

Het goede nieuws: je hoeft niet te wachten tot er standaarden zijn. Er zijn praktische stappen die je vandaag kunt nemen.

1. Beperk wat je agents mogen doen

Dit sluit aan bij de Agentic Development Lifecycle die we eerder bespraken. Definieer expliciet wat je agents niet mogen. Geen data verwijderen zonder bevestiging. Geen externe API-calls naar onbekende endpoints. Geen gevoelige informatie delen met andere agents.

2. Valideer elke MCP-server

Vertrouw niet blind op MCP-servers. Controleer welke tools ze aanbieden, wat die tools daadwerkelijk doen, en beperk de permissies tot het minimum. Behandel elke MCP-koppeling als een externe integratie die je beveiligt.

3. Monitor agent-communicatie

Log wat je agents doen en met wie ze communiceren. Bij AI agents in productie is observability net zo belangrijk als bij traditionele software. Maar dan moet je ook de inter-agent communicatie monitoren, niet alleen de output.

4. Gebruik het principe van least privilege

Geef agents alleen toegang tot wat ze nodig hebben. Niet meer. Een klantenservice-agent hoeft geen schrijftoegang tot je financiele systemen. Een research-agent hoeft geen e-mails te kunnen versturen.

5. Houd rekening met de Nederlandse context

Nederland heeft de hoogste AI-talentdichtheid in Europa, met 10,9 AI-professionals per 10.000 inwoners volgens Techleap. Maar die voorsprong in adoptie betekent ook dat Nederlandse bedrijven eerder met deze beveiligingsrisico's te maken krijgen. De EU AI Act stelt eisen aan transparantie en risicobeheer, wat direct raakt aan hoe je agent-protocollen beveiligt.

De kern van het probleem

AI agents worden steeds slimmer en zelfstandiger. De protocollen waarmee ze communiceren worden steeds krachtiger. Maar de beveiliging van die communicatie loopt achter. Dat is geen reden om geen AI agents te gebruiken. Wel een reden om het bewust te doen.

De twee onderzoeken van deze week maken een ding duidelijk: AI agent beveiliging is geen bijzaak meer. Het is een kernvereiste. Bedrijven die dat nu al serieus nemen, bouwen aan een voorsprong. De rest loopt straks achter de feiten aan.

Behandel AI agent beveiliging met dezelfde zorgvuldigheid als je API-beveiliging. Want uiteindelijk is het precies dat: een API waar een AI aan de andere kant zit. En die AI kan ook misleid worden.