AI-agents krijgen binnen organisaties steeds vaker extra mogelijkheden via externe uitbreidingen, maar juist daar schuilt volgens Palo Alto Networks een groeiend beveiligingsrisico. Unit 42, het onderzoeksteam van het cybersecuritybedrijf, stelt dat veel van deze uitbreidingen niet volledig doen wat zij in hun beschrijving beloven. Om dat probleem beter zichtbaar te maken, introduceert het team Behavioral Integrity Verification, afgekort BIV.
AI-agents worden in toenemende mate ingezet voor taken als klantenservice, IT-beheer, documentverwerking en ondersteuning van interne bedrijfsprocessen. Om zulke systemen meer mogelijkheden te geven, kunnen organisaties third-party skills of uitbreidingen installeren. Die zijn vergelijkbaar met apps op een smartphone: ze voegen functies toe, maar krijgen daarmee vaak ook toegang tot bestanden, externe diensten, systeemcommando’s en soms gevoelige bedrijfsinformatie.
Volgens Unit 42 is dat precies waar het risico ontstaat. Uit een analyse van bijna 50.000 AI-uitbreidingen bleek dat 80 procent minstens één afwijking vertoonde tussen de beschrijving van de uitbreiding en het daadwerkelijke gedrag. In totaal vonden de onderzoekers meer dan 250.000 van dergelijke afwijkingen. Dat betekent niet automatisch dat al deze uitbreidingen kwaadaardig zijn, maar wel dat organisaties vaak onvoldoende zicht hebben op wat zij precies installeren.
Aanvalsketen
Opvallend is dat het gevaar volgens de onderzoekers meestal niet in één afzonderlijke functie zit. Het risico ontstaat vooral wanneer meerdere mogelijkheden samen een aanvalsketen vormen. Unit 42 zag vooral twee patronen terugkeren: het verzamelen en wegsluizen van gevoelige gegevens en het manipuleren van een AI-agent zodat die alsnog informatie prijsgeeft. Samen waren deze twee patronen goed voor 88 procent van de vastgestelde meerstaps-aanvalsketens.
Van alle gevonden afwijkingen bleek 81 procent voort te komen uit fouten, onduidelijkheden of onvolledigheden in de documentatie. Bijna 19 procent wees volgens Unit 42 op mogelijk kwaadaardige of verdachte activiteit. Op het niveau van afzonderlijke skills vonden de onderzoekers ruim 2.400 uitbreidingen met meerstaps-aanvalspatronen die extra aandacht verdienen.
Risico’s herkennen
Met BIV wil Unit 42 organisaties een methode bieden om zulke risico’s vooraf te herkennen. De aanpak vergelijkt wat een AI-uitbreiding zegt te doen met wat deze daadwerkelijk uitvoert. Daarbij kijkt BIV naar drie onderdelen: de metadata van de uitbreiding, de onderliggende code en de natuurlijke taal-instructies die bepalen hoe een AI-agent zich gedraagt.
Het verschil met traditionele beveiligingscontroles is dat BIV niet alleen losse functies beoordeelt, maar ook de samenhang daartussen. Daardoor kunnen complexere aanvalsketens eerder aan het licht komen. Palo Alto Networks adviseert organisaties daarom om externe AI-skills al vóór installatie te controleren, zeker wanneer zij toegang krijgen tot bedrijfsdata of kritieke systemen. Ook wijst het bedrijf op aanvullende beveiligingsmogelijkheden via Prisma AIRS en de Unit 42 AI Security Assessment.