2026 wordt het jaar waarin agentic AI uitgroeit tot het grootste cyberbeveiligingsrisico voor ondernemingen. Niet-menselijke identiteiten — de API-sleutels, serviceaccounts en digitale certificaten van AI-agents — overtreffen menselijke identiteiten in een verhouding van 50:1. Aanvallers weten dit. Uw beveiligingsstrategie ook?
De adoptie van autonome AI-agents in Microsoft 365, Azure en andere bedrijfsplatforms versnelt. Tegelijkertijd groeit een aanvalsvlak dat de meeste beveiligingsteams nog niet volledig in beeld hebben: de identiteitslaag van AI-agents, ook wel aangeduid als niet-menselijke identiteiten (Non-Human Identities, NHI's).
Elke AI-agent die toegang heeft tot bedrijfssystemen heeft een identiteit nodig: een API-sleutel, een serviceaccount, een OAuth-token of een digitaal certificaat. Deze niet-menselijke identiteiten zijn de inloggegevens waarmee agents zich authenticeren bij Microsoft Graph, databases, SaaS-applicaties en cloudomgevingen.
Onderzoek toont aan dat NHI's menselijke identiteiten inmiddels overtreffen in een verhouding van 50 op 1, met een verwachte groei naar 80 op 1 binnen twee jaar. Tegelijkertijd zijn traditionele IAM-tools (Identity and Access Management) ontworpen voor mensen: ze missen de zichtbaarheid en besturing die nodig zijn voor autonoom opererende agents.
Aanvallers richten zich niet meer alleen op menselijke gebruikers. Een gecompromitteerde interne agent kan namens een CFO toestemming verlenen voor financiële transacties in interne systemen — zonder dat menselijke phishing nodig is. Een andere aanpak: het injecteren van kwaadaardige instructies in documenten die door een Copilot-agent worden verwerkt (prompt injection), waardoor de agent onbedoelde acties uitvoert.
Volgens onderzoek van CyberArk is 97 procent van de AI-gerelateerde datalekken te herleiden tot slecht toegangsbeheer van NHI's. Barracuda Networks meldt dat 48 procent van de beveiligingsprofessionals agentic AI identificeert als de grootste aanvalsvector van 2026.
Gartner beschrijft vier krachten die samen het risico vergroten: (1) de snelle operationalisering van agentic AI in productieomgevingen, (2) identiteit als primaire exploitatievector, (3) sterk verkorte exploitatievensters — aanvallen worden in minuten afgerond in plaats van uren — en (4) geëvolueerde afpersingstrategieën die data-exfiltratie combineren met bedrijfsverstoringen.
Op 20 maart 2026 publiceerde Microsoft zijn Secure Agentic AI-framework, met richtlijnen voor agent identity attestation, minimale bevoegdheden (least privilege) voor agentscopes en gedragsgebaseerde anomaliedetectie voor agentactiviteit. Agent 365, dat op 1 mei 2026 algemeen beschikbaar wordt, biedt een beheerlaag voor niet-menselijke agentidentiteiten inclusief activiteitenlogboeken en beleidshandhaving.
Beveiligingsteams kunnen vandaag al beginnen: (1) Maak een inventarisatie van alle NHI's in uw omgeving — API-sleutels, serviceaccounts en OAuth-tokens. (2) Pas Zero Trust-principes toe op agents: elke agent moet minimale bevoegdheden hebben en elke actie moet verifieerbaar zijn. (3) Implementeer gedragsgebaseerde anomaliedetectie voor agentactiviteit naast traditionele gebruikersmonitoring. (4) Bereid u voor op Agent 365 als governancelaag voor AI-agentidentiteiten in Microsoft 365.
Zarioh Digital Solutions begeleidt organisaties bij het beveiligen van hun Microsoft 365-omgeving in het tijdperk van agentic AI. Neem contact op voor een beveiligingsscan van uw agent governance.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
