
Coding agents als Claude Code, GitHub Copilot CLI en Cursor draaien nu op werkstations en lezen bestanden, roepen APIs aan en schrijven code autonoom. Microsoft Defender for Endpoint heeft een nieuw verdedigingslaag ingebouwd: automatische ontdekking van 20+ agent-typen en runtime-bescherming die prompt-injection blokkeert voordat de agent kan handelen.
De opkomst van coding agents heeft de manier waarop software wordt geschreven fundamenteel veranderd. Tools als Claude Code, GitHub Copilot CLI, Cursor en Windsurf zijn geen passieve suggestiemachines meer; ze lezen code en bestanden, roepen externe tools en APIs aan, schrijven en voeren scripts uit, en orkestreren taken over meerdere stappen. Dat maakt ze productief. Het maakt ze ook tot een nieuw aanvalsoppervlak op het endpoint.
Op Microsoft Build op 2 juni 2026 presenteerde Microsoft een reeks nieuwe beveiligingscapaciteiten specifiek voor lokale AI-agents. Defender for Endpoint kan nu automatisch meer dan twintig typen lokale agents ontdekken en biedt runtime-bescherming die de agentic loop actief monitort en kwaadaardige instructies blokkeert voordat de agent erop kan handelen. Voor IT-beheerders introduceert dit een nieuw domein binnen endpoint-beveiliging: niet meer alleen de gebruiker beschermen, maar ook de agent die namens de gebruiker handelt.
Traditionele eindpuntbeveiliging is ontworpen voor een relatief eenduidig aanvalsmodel: een aanvaller probeert code uit te voeren via een kwetsbaarheid, een bijlage of een kwaadaardig bestand. De aanvalsindicatoren zijn redelijk goed gedefinieerd: verdachte processen, bekende malware-handtekeningen, afwijkend netwerkverkeer.
Een AI-agent werkt anders. De agent leest content uit de omgeving, bestanden, repositories, API-responses, webpagina's, en handelt op basis van die content. Prompt injection is het aanvalstype waarbij kwaadaardige instructies zijn verstopt in die content. Een developer vraagt een coding agent een repository te analyseren; in die repository staat een bestand met een verborgen instructie die de agent opdraagt een extern script te downloaden of inloggegevens door te sturen. De agent voert dit uit omdat de instructie er voor hem uitziet als een gewone taak.
Dit aanvalstype is niet theoretisch. Gecoördineerde audits van populaire coding agents in 2026 toonden aan dat agents van meerdere aanbieders gevoelig waren voor prompt injection via repo-bestanden en MCP-serverrespons. Defender's runtime-bescherming is direct een antwoord op deze bevinding.
Defender for Endpoint ontdekt op Windows- en macOS-endpoints automatisch meer dan twintig agent-typen die zijn ingedeeld in vier categorieën.
Coding CLIs en agentic tools: Claude Code CLI, GitHub Copilot CLI, OpenAI Codex CLI en OpenClaw. Dit zijn command-line agents die autonoom door een codebase werken, tests uitvoeren en pull requests aanmaken.
Agentic IDE-extensies: Cursor, Windsurf en Claude Code als IDE-integratie. Deze tools werken in de context van een code-editor en kunnen bestanden lezen, aanpassen en uitvoeren met een hoge mate van autonomie.
Desktop AI-assistenten: ChatGPT Desktop en Claude Desktop. Hoewel minder code-gericht, hebben deze agents toegang tot bestandssysteem en systeemfuncties via tool-integraties.
Lokale AI-runtimes: Ollama Desktop en aanverwante platforms die lokale taalmodellen draaien. Deze worden steeds vaker ingezet als backend voor intern gebouwde agentoplossingen.
Naast de agents zelf ontdekt Defender ook geconfigureerde Model Context Protocol-servers, zowel lokaal als remote. MCP is het protocol dat agents verbindt met externe tools en databronnen. Een MCP-server die toegang heeft tot een interne database of een cloud-API is een potentieel uitvalspad voor een aanvaller die via de agent wil binnenkomen.
De kern van Defender's bescherming voor AI-agents is de runtime-inspectie van de agentic loop, de cyclus van input verwerken, een actie bepalen, een tool aanroepen en het resultaat interpreteren. Defender bewaakt drie specifieke punten in die cyclus.
Het eerste checkpoint is de user prompt: de invoer die de gebruiker of een geautomatiseerd systeem aan de agent geeft. Defender inspecteert de prompt op aanwijzingen voor misbruik of kwaadaardige instructies voordat de agent begint te verwerken.
Het tweede checkpoint is de pre-tool call: het moment waarop de agent besloten heeft een tool aan te roepen, een bestand te lezen, een script uit te voeren, een API te bevragen, maar dit nog niet heeft gedaan. Dit is het kritieke punt voor blokkering, want hier kan Defender ingrijpen zonder dat de schadelijke actie al heeft plaatsgevonden.
Het derde checkpoint is de post-tool response: de data die een tool teruggeeft aan de agent als input voor de volgende stap. Dit is de meest voorkomende injectieroute: een kwaadaardige server of een gemanipuleerd bestand retourneert een response die de agent instrueert iets te doen wat de gebruiker nooit bedoeld heeft.
Wanneer Defender een prompt-injectie detecteert, worden drie acties tegelijk ondernomen. Ten eerste: in Block mode stopt Defender de uitvoering voordat de agent de instructie kan uitvoeren. Ten tweede: de gebruiker ontvangt een Windows-melding dat de actie is geblokkeerd, zodat er geen stille onderdrukking plaatsvindt. Ten derde: er wordt een alert aangemaakt in de Defender-portal met de classificatie 'Suspicious AI prompt injection', die automatisch wordt gecorreleerd met gerelateerde activiteiten in een incident voor het securityteam.
De bevindingen van agent discovery en runtime-bescherming zijn centraal beschikbaar in de Defender XDR-portal. Het AI-agentinventaris biedt een overzicht van alle ontdekte lokale agents per device, inclusief de agent-versie, de geconfigureerde MCP-servers, de bijbehorende Entra-identiteit en de cloud-resources die via die identiteit bereikbaar zijn. Dit geeft securityteams voor het eerst een volledig beeld van de agent-footprint binnen de organisatie.
De exposure map is uitgebreid met agent-entiteiten. Een IT-beheerder kan zien hoe een specifieke coding agent op een specifiek device verbonden is met een MCP-server, welke cloudservices die server bereikt en welke gebruikersidentiteit daaraan is gekoppeld. Dit maakt aanvalspadinspectie mogelijk op een dimensie die tot voor kort onzichtbaar was.
Advanced hunting in Defender XDR ondersteunt nu queries specifiek op agentactiviteit. Securityteams kunnen zoeken op welke tools een agent heeft aangeroepen, welke bestanden zijn gelezen, welke externe verbindingen zijn opgezet en of er blokkeergebeurtenissen zijn geweest. Deze data is beschikbaar als onderdeel van de bestaande telemetrie in Defender for Endpoint, zonder aanvullende installatie.
Purview-integratie voegt een extra laag toe: runtime DLP voor agent-prompts inspecteert of gevoelige data, zoals wachtwoorden, BSN-nummers of vertrouwelijke bedrijfsinformatie, in prompts of tool-responses verschijnt. Deze data kan worden geauditeerd, geblokkeerd of gemarkeerd op basis van de DLP-policies die voor menselijke gebruikers al zijn geconfigureerd.
De capaciteiten voor lokale agent discovery en runtime-bescherming zijn momenteel beschikbaar als preview in Defender for Endpoint. Activering vereist dat preview-features zijn ingeschakeld in de Defender-portal onder Settings.
Vanaf 1 juli 2026 vereist het gebruik van agent protection en visibility-capabilities een actief Agent 365-abonnement. Organisaties met Microsoft 365 E5 of GitHub Enterprise-licenties krijgen alle nieuwe agent-capabilities tot en met juni 2027 opgenomen zonder extra kosten. Voor organisaties die nog niet op E5 zitten, is dit een concreet argument om de upgrade te overwegen, gezien de breedte van de beveiligingsfuncties die meekomen.
De ontdekkingscoverage wordt actief uitgebreid. Microsoft heeft aangegeven dat de lijst van ondersteunde agents groeit naarmate nieuwe platforms marktaandeel winnen. Organisaties die nu in preview instappen, bouwen ervaringen op met de tool voordat GA-uitrol plaatsvindt.
Vier concrete stappen om de agent-beveiligingslaag vandaag te activeren en te evalueren.
Ten eerste: activeer preview-features in Defender for Endpoint via Settings > Endpoints > Advanced features. Schakel specifiek 'Local AI agent discovery' in. Defender begint dan automatisch met het inventariseren van agents op onboarded endpoints.
Ten tweede: open het AI-agentinventaris in de Defender-portal en beoordeel welke agents en MCP-servers aanwezig zijn in uw omgeving. Focus op agents met brede bestandstoegang of geconfigureerde externe MCP-verbindingen: deze hebben de grootste attack surface.
Ten derde: schakel runtime-bescherming in voor de agents waarvoor dit beschikbaar is (Claude Code en GitHub Copilot CLI zijn de eersten). Stel de modus in op Audit voor een eerste observatieperiode van twee weken, zodat u kunt zien welke activiteit er wordt gedetecteerd zonder lopende workflows te verstoren. Evalueer daarna of Block mode passend is.
Ten vierde: controleer of uw Purview DLP-policies zijn afgestemd op agentactiviteit. Policies die zijn opgesteld voor e-mail en SharePoint dekken niet automatisch agent-prompts. Een korte review van welke gevoelige informatietypen voor uw organisatie relevant zijn, helpt om de DLP-dekking te completeren.
AI-agents op het endpoint zijn geen toekomstvisie; ze draaien nu op de werkstations van uw developers en kenniswerkers. De vraag is niet of u ze wilt beveiligen, maar of u tijdig begint met de instrumenten die er al zijn. Wilt u hulp bij het activeren van Defender AI agent discovery, het doorlichten van uw agent-footprint of het inrichten van runtime-bescherming? Neem contact op met Zarioh.
Was dit artikel nuttig?
Zarioh Digital Solutions
IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.

Security

Security

Security