CertiK-CEO waarschuwt voor beveiligingsrisico's van AI-agents terwijl de implementatie de isolatie voorbijstreeft

De waarschuwing over beveiligingsrisico's van AI-agents wordt scherper — en urgenter. Ronghui Gu, medeoprichter en CEO van CertiK, zegt dat de haast om autonome AI-agents uit te rollen in apps, netwerken en financiële systemen sneller gaat dan de basisbeveiligingscontroles die nodig zijn om ze in toom te houden.

Dat is belangrijk omdat deze systemen niet langer beperkt zijn tot het beantwoorden van vragen in een chatvenster. Gu zegt dat ze steeds vaker toestemming krijgen om lokale bestanden te lezen, externe tools aan te roepen, werkstromen te activeren en te communiceren met gevoelige accounts. In de praktijk betekent dit dat een gecompromitteerde agent niet slechts een gebrekkige assistent is. Het kan een interne bedreiging worden met toegang tot inloggegevens, e-mail en zelfs financiële infrastructuur.

Gu's boodschap is duidelijk: zet ze op deze manier niet massaal in. Hij stelt dat AI-agents gescand moeten worden op virussen en geïsoleerd moeten worden voordat ze toegang krijgen tot gevoelige gegevens of kritieke systemen. Zonder die scheiding, waarschuwt hij, kunnen gebruikers en bedrijven brede interne toegang verlenen aan software die veel gemakkelijker gemanipuleerd kan worden dan velen verwachten.

Waarom CertiK zegt dat beveiligingsrisico's van AI-agents snel toenemen

CertiK is van mening dat de huidige golf van agent-implementaties een ernstig beveiligingsprobleem creëert. Gu beschrijft het als een haastklus die een grote beveiligingsschuld opbouwt, gedreven door enthousiasme voor automatisering terwijl basisbescherming achterblijft.

Centraal in die waarschuwing staat vertrouwen. Veel open-source AI-tools, zo stelt Gu, worden als veilig beschouwd omdat ze lokaal draaien of verbinding maken via vertrouwde kanalen, waaronder standaard chatapps zoals WhatsApp. Lokale toegang maakt een agent echter niet betrouwbaar. Zodra gebruikers een agent toestaan om opslag te inspecteren, uitvoeringsgeschiedenissen te bekijken of persoonlijke en zakelijke inloggegevens te gebruiken, kan de software diep doordringen in de meest gevoelige gebieden van een systeem.

Dat is een van de redenen waarom beveiligingsrisico's van AI-agents meer aandacht trekken buiten de gebruikelijke cybersecuritykring. Het gaat niet alleen om malware in de traditionele zin. Het gaat om autonome systemen die toestemming krijgen om te handelen, informatie op te halen en werkstromen te doorlopen voordat ze goed gecontroleerd of ingeperkt zijn.

Hoe niet-geïsoleerde AI-agents gekaapt kunnen worden

De waarschuwing van CertiK richt zich met name op hoe gemakkelijk deze systemen omgeleid kunnen worden. Gu zegt dat niet-geïsoleerde agents lokale bestanden, inloggegevens, e-mailaccounts en financiële accounts kunnen blootleggen. Zodra een agent dat niveau van toegang heeft, is de schade door een inbreuk niet langer theoretisch. Een gemanipuleerde bot kan mogelijk gegevens exfiltreren of ongeautoriseerde geldoverdrachten activeren.

Prompt-injectieaanvallen via gewone bestanden

Een van de duidelijkste bedreigingen zijn prompt-injectieaanvallen. Volgens Gu kunnen verborgen instructies worden ingebed in inhoud die onschuldig lijkt, waaronder een webpagina, een PDF-document of een inkomende e-mail.

Wanneer een AI-agent die inhoud leest om een taak te voltooien, kan hij mogelijk geen onderscheid maken tussen vertrouwde instructies en niet-vertrouwde externe invoer. Op dat moment kan het gedrag van de agent stilletjes worden omgeleid. Er verschijnt geen duidelijke malware-prompt op het scherm. Er verschijnt geen dramatische waarschuwing. In plaats daarvan begint het systeem de instructies van de aanvaller op te volgen in plaats van de oorspronkelijke regels.

Dat is een belangrijke reden waarom dit probleem nu van belang is. Voor veel gebruikers voelt een onschuldig uitziend document of e-mail niet als een systeemniveau-bedreiging. Maar met autonome tools kunnen die gewone bestanden het kanaal worden waardoor de agent gekaapt wordt.

Kwaadaardige vaardigheden en nep-afhankelijkheden

CertiK zegt ook dat het ecosysteem rondom agents al diepere structurele zwakheden vertoont. De analyse vond honderden kritieke beveiligingsadviezen en niet-gepatchte veelvoorkomende kwetsbaarheden en blootstellingen, of CVE's, in agentstructuren, samen met blootgestelde inloggegevens.

Bovendien zegt Gu dat CertiK kwaadaardige vaardigheden, nep-installatieprogramma's en look-alike afhankelijkheidspakketten heeft ontdekt op open agent-utilityhubs. Dit zijn niet alleen slordig gecodeerde fouten. Ze wijzen op een omgeving waar aanvallers kunnen knoeien met hoe agents worden gebouwd, bijgewerkt en uitgebreid.

Wat dit moeilijker te detecteren maakt, is de manier waarop deze bedreigingen opereren. Gu zegt dat kwaadaardige plug-ins traditionele antivirusscans kunnen omzeilen omdat ze het agentgedrag beïnvloeden via standaard natuurlijke taal in plaats van oudere handtekeninggebaseerde patronen. In gewone termen: de agent kan misleid worden om het verkeerde te doen zonder dat de aanval eruitziet als klassieke malware.

Waarom CertiK Zero Trust-architectuur promoot

Gu's antwoord is een Zero Trust-architectuur met continue verificatie. In plaats van aan te nemen dat een agent, plug-in of afhankelijkheid veilig is nadat deze is geïnstalleerd, moet elke opdracht en afhankelijkheid doorlopend worden gecontroleerd.

Die aanpak past bij de omvang van het probleem dat CertiK naar eigen zeggen ziet. De analyse van het bedrijf vond:

• honderden kritieke beveiligingsadviezen
• niet-gepatchte CVE's
• blootgestelde inloggegevens in agentstructuren
• aanvalspaden via lokale bestanden, e-mail en financiële infrastructuur

Dit is waar de bredere betekenis duidelijk wordt. Beveiligingsrisico's van AI-agents gaan niet alleen over één slechte app of één gecompromitteerde gebruiker. Ze wijzen op een model waarbij autonomie uitbreidt voordat isolatie, scanning en verificatie standaardpraktijk worden. Als deze tools bedoeld zijn om geld, zakelijke werkstromen of privégegevens te verwerken, kan vertrouwen niet als standaardinstelling worden behandeld.

Er is ook een crypto-invalshoek die helpt verklaren waarom CertiK nu alarm slaat. Gu zegt dat het bedrijf snelle, vluchtige onchain-oplichting heeft waargenomen die is ontworpen om AI-handelsbots en geautomatiseerde agentsystemen te targeten. Deze oplichting kan slechts 10 minuten of een paar uur duren voordat ze verdwijnen.

Dat detail is veelzeggend. Machinaal aangestuurde systemen kunnen opereren op een snelheid die weinig tijd laat voor menselijke beoordeling, en aanvallers lijken zich aan te passen aan die realiteit. In feite worden geautomatiseerde agents doelwitten voor geautomatiseerde fraude. Het resultaat is een nieuw soort machine-op-machine-aanvalscyclus, met name in omgevingen die verbonden zijn met onchain-activiteit en geautomatiseerde geldbeweging.

Waarom de waarschuwing van CertiK nu opvalt

De waarschuwing van CertiK komt op een moment dat AI-agents worden vermarkt als productiviteitstools en digitale helpers. Gu's argument is echter dat de mogelijkheden de beheersing voorbijsnellen. Hoe meer deze systemen toegang krijgen tot bestanden, inloggegevens en geld, hoe minder ruimte er is voor onzorgvuldige beveiligingsaannames.

Zijn aanbeveling is eenvoudig: scan agents op virussen, isoleer ze voordat u toegang verleent en stop met het behandelen van autonomie als standaard veilig.

Als dat advies genegeerd wordt, hoeft de volgende golf van aanvallen mensen misschien niet eerst te misleiden. Ze kunnen rechtstreeks achter de agents aangaan die namens hen handelen.