Cybercriminelen vallen AI-agents aan om persoonsgegevens te stelen. Onderzoekers zien nu nieuwe pogingen om deze systemen te misleiden bij bedrijven in Europa en Nederland. Dat gebeurt omdat AI-assistenten steeds vaker zijn gekoppeld aan e-mail, documenten en cloudapps. De AVG en de Europese AI-verordening zetten druk op veilig ontwerp en verantwoorde inzet.
Hackers misleiden AI-agents
AI-agents zijn algoritmen die zelfstandig taken uitvoeren via gekoppelde tools, zoals e-mail of een kalenderservice. Voorbeelden zijn ChatGPT met Actions van OpenAI, Microsoft Copilot met plug-ins en Google Gemini met Extensions. Ook open-source frameworks zoals LangChain en AutoGen maken zulke koppelingen mogelijk. Die functies zijn nuttig, maar vergroten tegelijk het aanvalsoppervlak.
Aanvallers gebruiken vooral prompt-injectie, een truc waarbij verborgen instructies in tekst of code het model misleiden. Zo kan een agent tijdens het browsen een webpagina lezen met een verborgen bevel om data te kopiƫren. Het model ziet dat als legitieme opdracht en voert die uit via zijn tools. Gevolg: onbedoelde data-exfiltratie uit e-mail, documenten of CRM.
Nieuwe varianten verbergen instructies in PDFās, HTML-remarkdown of QR-codes in afbeeldingen. Ook e-mails met āonzichtbareā CSS of commentaarvelden kunnen een agent sturen. Omdat het systeem de bron niet altijd kan beoordelen, volgt het de malafide instructies. Zonder extra controles kan dit direct leiden tot verlies van persoonsgegevens.
Prompt-injectie is het misleiden van een AI-systeem met verborgen instructies in ogenschijnlijk onschuldige tekst of code.
Koppelingen vergroten het risico
Het echte gevaar zit in de tools die agents mogen gebruiken. Denk aan toegang tot Outlook of Gmail, SharePoint of Google Drive, Slack of Teams, en CRM-pakketten. Deze verbindingen werken vaak met OAuth-tokens die brede rechten geven. Als de agent wordt misleid, gebruikt hij die rechten om data te lezen of te verzenden.
Organisaties laten agents soms automatisch acties uitvoeren, zoals e-mails versturen of bestanden delen. Zonder āleast privilegeā en goedgekeurde domeinen kan de agent data naar een onbekende server sturen. Ook metadata zoals contactlijsten en onderwerpregels zijn waardevol voor criminelen. Zo ontstaat een kettingreactie: Ć©Ć©n verkeerde webpagina kan tot een groot datalek leiden.
Derde partijen leveren bovendien plug-ins en extensies die extra functies toevoegen. Die software vormt een toeleveringsketen met eigen risicoās, zoals kwetsbaarheden of onduidelijke datastromen. Bedrijven die GPTs, Copilot of Gemini uitbreiden, moeten daarom leveranciers toetsen en updates controleren. Anders sluipt het risico via een onschuldige plug-in naar binnen.
Europese AI-verordening gevolgen overheid
De AVG eist dataverwerking met een duidelijke grondslag, dataminimalisatie en passende beveiliging. Dat raakt AI-agents direct, omdat zij vaak grote hoeveelheden persoonsgegevens aanraken. Organisaties moeten een DPIA uitvoeren als de risicoās hoog zijn, bijvoorbeeld bij klant- of burgercontact. Ook logging, versleuteling en tijdige melding van datalekken zijn verplicht.
De Europese AI-verordening treedt gefaseerd in werking en legt plichten op aan zowel modelbouwers als gebruikers. Chatbots gelden meestal als ābeperkt risicoā en vragen transparantie, maar inzet in HR, krediet of zorg kan āhoog risicoā worden. Publieke instellingen en uitvoeringsorganisaties moeten extra zorgvuldig zijn bij besluitvorming met algoritmen. Dit betekent documentatie, risicobeheer en impactmetingen vooraf.
Voor Nederlandse overheden en semipublieke instellingen weegt dit dubbel. Zij werken vaak met gevoelige gegevens en vallen onder aanvullende kaders zoals NIS2. Onveilige agents kunnen daarom niet alleen tot AVG-boetes leiden, maar ook tot operationele verstoringen. Beleid en inkoop moeten deze eisen op het moment van schrijven expliciet opnemen.
Beveiliging vraagt meerdere lagen
Begin met strikte toegangscontrole: geef agents zo min mogelijk rechten en scheid omgevingen. Zet gevoelige acties achter menselijke goedkeuring en gebruik domein- en API-allowlists. Beperk uitgaande verzoeken tijdens browsen, bijvoorbeeld geen POST naar onbekende domeinen. Sandbox externe content en verwijder actieve inhoud in documenten.
Voeg invoer- en uitvoerfilters toe om verborgen instructies en datalekken te blokkeren. Scan modelantwoorden op geheimen, IBANās en BSNās en wis tokens uit logs. Gebruik data loss prevention en labels om delen van documenten door agents te voorkomen. Houd rekening met omzeilingen: combineer meerdere controles en monitor continu.
Test regelmatig met red-teaming en gebruik de OWASP Top 10 voor LLM-toepassingen als leidraad. Log alle agentacties, inclusief toolaanroepen en bron-URLs, en bewaar herhaalbare runs voor onderzoek. Werk met incidentrespons: intrekken van tokens, blokkeren van plug-ins en waarschuwen van gebruikers. Train medewerkers om verdachte content en prompt-injectie te herkennen.
Praktische stappen voor Nederland
Voor organisaties op Microsoft 365 of Google Workspace: start met dataminimalisatie en standaard uitgeschakelde plug-ins. Beperk toegang van Copilot, Gemini of ChatGPT-Agents tot afgebakende testtenants. Gebruik classificatie en beleid om gevoelige mappen uit te sluiten van agents. Controleer OAuth-scopes en draai periodiek tokens om.
Publieke sector en zorginstellingen doen er goed aan vooraf een DPIA te doen op agentfuncties. Neem eisen uit AVG en AI-verordening op in aanbestedingen en contracten. Laat leveranciers aantonen waar data wordt opgeslagen en hoe logs worden beschermd. Stem dit af met de CISO en functionaris gegevensbescherming.
Communiceer helder naar burgers en klanten wanneer zij met een agent praten. Leg uit welke gegevens de agent verwerkt en hoe zij bezwaar kunnen maken. Beperk automatische besluiten en houd een mens in de lus bij gevoelige kwesties. Zo blijft innovatie mogelijk, zonder de grenzen van privacy en veiligheid te overschrijden.
