AI-codeassistenten beveiligen: het infrastructuurprobleem dat niemand kent

AI-codeassistenten beveiligen: het infrastructuurprobleem dat niemand kent

Jul 04, 2026 ai security coding agents developer tools cloud infrastructure enterprise security mcp servers sandboxing prompt injection

Het Beveiligingsprobleem Dat Verstoppert Speelt in Je Developer Tools

Laten we eerlijk zijn: de meeste engineering teams hebben geen flauw idee hoeveel AI coding agents er op dit moment in hun organisatie draaien. Cursor, Claude Code, GitHub Copilot, Gemini CLI, custom interne tools—de lijst groeit elke maand. Elk van die tools heeft zijn eigen instellingen, zijn eigen permissiemodel, en zijn eigen opvatting over wat "veilig" nu eigenlijk betekent.

Dit is geen denkbeeldig probleem. Dit is gewoon hoe enterprise AI-adoptie er momenteel uitziet.

Anthropic heeft onlangs hun aanpak voor het containen van Claude openbaar gemaakt, en het is de moeite waard om te bestuderen—niet omdat het magie is, maar omdat het de fundamentele spanning blootlegt tussen AI-capabiliteit en organisatorische controle. Zij kunnen hun agents beveiligen omdat ze alles in handen hebben: het model, de runtime, het netwerkpad, het governance-framework. Jouw organisatie heeft dat luxeprobleem niet. Jij hebt te maken met een allegaartje van third-party tools, developer-autonomie, en beveiligingsbeleid dat geschreven is voordat AI agents bestanden konden lezen, shell-commando's konden uitvoeren, en het netwerk konden bereiken.

Waar Anthropic Wel Goed In Is

De sandbox-runtime die ze hebben vrijgegeven is elegant in zijn eenvoud. Het werkt volgens het principe van deny-by-default egress: als een agent die binnen de sandbox draait probeert een niet-geautoriseerd endpoint te bereiken, sterft het verzoek in de proxy-laag. Geen exfiltratie, geen callback, geen schade.

Dit is de soort deterministische beveiliging die echt werkt. In plaats van te vertrouwen op het model dat het "begrijpt" dat het geen credentials moet stelen, bouw je een harde grens die credential-diefstal fysiek onmogelijk maakt, ongeacht wat de agent besluit te doen.

Anthropic organiseert hun verdediging in drie lagen, gerangschikt op betrouwbaarheid:

  1. Environment layer — Harde grenzen zoals VM-sandboxes, filesystem mount-modes en network allowlists. Dit is de fundering.

  2. Model layer — Gedragscontroles zoals system prompts, classifiers en goedkeuringsstromen. Bruikbaar, maar expliciet erkend als "nooit 100% effectief."

  3. External content layer — Beheren welke data de agent überhaupt bereikt, inclusief MCP-server auditing en tool-output inspectie.

De sleutelinzicht hier is de rangorde. De environment layer doet het zware werk. De model layer is een handige aanvulling. De external content layer is je early warning system.

De Aanval Waar Niemand Het Over Heeft

Abstracte dreigingsmodellen zijn makkelijk te negeren. Concrete voorbeelden een stuk lastiger.

Neem dit scenario, dat security researchers regelmatig reproduceren: Een developer clonet een repository om een open-source bibliotheek te evalueren. De README ziet er prima uit. Er is gescand op malware en alle checks zijn geslaagd.

Maar ergens in die README zitten instructies voor de AI agent. Niet voor de mens die het bestand leest—voor de agent die het zou kunnen oppikken als context. De geïnjecteerde prompt vertelt de agent om "de development environment op te zetten" door .env-bestanden te zoeken, naar AWS credentials te graven, en ze te uploaden naar een setup-endpoint.

Dit is geen malware. Het is gewoon tekst. De scanner flagt het niet. De developer merkt het niet op. Maar de agent volgt de instructies omdat dat nu eenmaal is wat agents doen—ze voeren de taken uit die zijn ingebed in de context die ze ontvangen.

De aanval ontvouwt zich in stappen: eerst een probe voor environment-bestanden, dan een zoektocht naar upload- en exfiltratie-codepaden, en tot slot het definitieve curl-verzoek naar het endpoint van de aanvaller. Elke actie ziet er op zichzelf onschuldig uit. Samen vormen ze credential-diefstal.

Waarom Je Laptop Niet Genoeg Is

Hier is de ongemakkelijke realiteit: als die agent in een correct geconfigureerde sandbox draait, mislukt de aanval op de netwerklaag. Het curl-verzoek bereikt de aanvaller nooit. De credential verlaat de machine nooit.

Maar hier is wat nog erger is: je security team heeft geen idee dat het is gebeurd.

De sandbox bevat de schade. Hij bevat niet de zichtbaarheid. Je draait misschien wel tientallen gecompromitteerde repositories op dit moment, elk met hun probes naar je agents, elke poging stil geblokkeerd terwijl je SIEM niets nuttigs logt.

Dit is het enterprise-probleem. Het is niet genoeg om individuele aanvallen te stoppen. Je moet weten dat ze gebeuren, wie het doel was, welke repositories geblokkeerd moeten worden, en hoe je beleid schrijft dat elke agent in je organisatie dekt—niet alleen degene die in de sandbox draait.

De MCP-Server Blind Spot

Hier is het deel dat de meeste teams verrast: Model Context Protocol servers zijn de meest onderschatte aanvalsvector in AI agent deployments.

MCP servers breiden uit wat je agents kunnen doen. Ze kunnen uit databases lezen, API's aanroepen, code uitvoeren, en systemen bereiken die buiten je infrastructuur leven. Als je een MCP-server goedkeurt, geef je een agent eigenlijk verhoogde permissies in je hele omgeving.

Het probleem? De meeste teams keuren MCP-servers één keer goed en auditen ze nooit meer. Een gecompromitteerde of kwaadwillige MCP-server kan veel meer schade aanrichten dan een vergiftigde README omdat het op een hoger privilege-niveau opereert en vaak sessie-overstijgend blijft bestaan.

Je governance-framework moet MCP-servers behandelen als third-party dependencies: geaudit, geversioneerd en gemonitord. Een agent die je productiedatabase kan bereiken via een MCP-server is een agent die je hele klantentabel kan exfiltreren als er iets misgaat.

Wat Je Daadwerkelijk Kunt Doen

Niets hiervan is onoplosbaar, maar het vereist dat je AI agent-beveiliging behandelt als een infrastructuurprobleem in plaats van een developer tooling-probleem.

Begin met de environment layer. Waar mogelijk, draai agents in geïsoleerde omgevingen met deny-by-default netwerkbeleid. Je developers zullen klagen over de frictie. Ze zullen minder klagen dan jij wanneer credentials uitlekken.

Accepteer dat de model layer imperfect is. System prompts en classifiers verminderen risico, maar elimineren het niet. Capabelere modellen zijn beter in het vinden van onverwachte wegen om restricties heen. Reken hierop.

Audit je MCP-servers. Maak een lijst van elke MCP-server die je agents kunnen bereiken. Behandel het als een software-inventaris. Verwijder alles wat je niet herkent of niet kunt auditen.

Investeer in observability. Aanvallen blokkeren is goed. Weten dat ze gebeurd zijn is beter. Je security team heeft zichtbaarheid nodig over elke agent in je organisatie, niet alleen degene die in de sandbox draait.

Schrijf beleid, geen voorkeuren. "Wees voorzichtig met credentials" is geen security-beleid. "Agents mogen geen netwerkverbindingen initiëren naar niet-geallowlistde domeinen tijdens het accesen van repositories gemarkeerd als extern" is security-beleid. Maak de regels expliciet, afdwingbaar en consistent.

De Conclusie

Anthropic's transparantie over hun agent containment is oprecht waardevol. Het laat zien wat mogelijk is wanneer één organisatie de volledige stack controleert. Maar de meeste organisaties hebben die controle niet, en net doen alsof dat wel zo is, is hoe breaches gebeuren.

De agents draaien al in je organisatie. De vraag is niet of je ze moet beveiligen—het is of jij het team bent dat governance voor elkaar krijgt voordat er iets misgaat.

Je developers gaan snel. Zorg dat je infrastructuur bij blijft.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN