Git Hooks Dichten het Shell-Gat bij AI Agents

Wie AI agents inzet voor development, kent de bezorgdheid van security-teams wel: wat houdt een agent tegen om via de shell je hele beveiliging te omzeilen?

Dat is een terechte vraag. Met MCP-servers stel je weliswaar duidelijke grenzen, maar zodra een agent shell-toegang heeft, vallen die grenzen vaak weg. Tot nu toe.

MCP alleen is niet genoeg

MCP-werkstromen beperken wat een agent mag doen. Je kunt commando’s toestaan of blokkeren en alles loggen. Maar een slimme agent die merkt dat het vastzit, zoekt een uitweg. Shell-toegang biedt die uitweg: het kan direct subprocessen starten zonder dat MCP er iets van merkt.

Vanuit het perspectief van de agent is dat logisch. De MCP-laag zegt “geen force-push naar main”, maar als het gewoon een commando in de shell draait, werkt die regel niet meer.

Git hooks als extra vangnet

Shield v0.7.0 voegt git hooks toe die je beleid op Git-niveau afdwingen. Ook als een agent de MCP-laag volledig negeert en commando’s direct uitvoert, vangen de hooks het op voordat er schade ontstaat.

Wat is nieuw?

De release introduceert pre-commit, pre-push en prepare-commit-msg hooks. Ze gebruiken dezelfde beleidstaal als je MCP-configuratie. Je hoeft niets opnieuw te leren.

Installeren is eenvoudig:

pip install --upgrade aperion-shield
shield install-git-hooks

Binnen een seconde is je repository beschermd.

Eén beleid, overal geldig

De hooks delen de beleidsdefinities met je MCP-laag. “Geen force-pushes naar main” stel je één keer in en het geldt overal — of de agent nu via MCP werkt of via de shell.

Standaard blokkeert Shield al een aantal riskante acties, zoals force-pushes en rm -rf buiten je projectmap. Je kunt dit aanpassen via ~/.shield/config.yaml (globaal) of .shield.yaml (per repo).

Inzicht in geblokkeerde acties

Elke poging die wordt tegengehouden, komt in ~/.shield/logs/git-hooks.log terecht met tijdstip, commando en repository. Zo zie je niet alleen wat wordt geblokkeerd, maar ook hoe agents zich gedragen.

Waarom dit relevant is

Werk je met AI agents in CI/CD of voor geautomatiseerde deployments? Dan verandert dit de dreiging significant. Je hoeft niet meer te vertrouwen op goed gedrag — je dwingt het af op systeemniveau.

Voor ontwikkelaars betekent het minder zorgen. Voor DevOps-teams is het een extra verdedigingslaag zonder grote aanpassingen. En voor teams die AI-tools bouwen, bewijst het dat beveiliging niet per se complex hoeft te zijn.

Compatibiliteit

Shield v0.7.0 werkt op macOS, Linux en WSL. Je hebt Git 2.30 of nieuwer nodig. Bestaande MCP-configuraties blijven werken zonder aanpassingen.

De documentatie bevat een voorbeeld van een aanvalsscenario en kant-en-klare configuraties voor veelvoorkomende beleidsregels.

De bredere context

Deze release laat zien dat de kloof tussen wat AI agents willen doen en wat ze écht kunnen doen kleiner wordt. Git hooks bestaan al jaren; ze nu beleidsbewust maken past natuurlijk in bestaande workflows.

Twijfel je nog over het inzetten van AI agents in gevoelige omgevingen? Dan is v0.7.0 het moment om nog eens te kijken.