De Nieuwe Realiteit: Waarom **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**
De snelle opkomst van AI-agenten luidt een nieuw tijdperk in voor zakelijke efficiëntie, maar stelt ons ook voor ongekende cyberbeveiligingsuitdagingen. Vier toonaangevende stemmen van RSAC 2026 – Vasu Jakkal van Microsoft, Jeetu Patel van Cisco, George Kurtz van CrowdStrike en John Morgan van Splunk – kwamen onafhankelijk tot dezelfde conclusie: onze traditionele zero trust-modellen schieten tekort. Ze benadrukten de dringende noodzaak om zero trust uit te breiden naar AI, te verschuiven van toegangscontrole naar actiecontrole, en de grote leemte in AI-governance aan te pakken. Dit dwingt ons na te denken over het fundamentele probleem: AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. Dit is een kritieke overweging, zoals Matt Caulfield van Cisco opmerkte in een exclusief interview met VentureBeat; het gaat niet langer alleen om eenmalige authenticatie, maar om continue verificatie van elke actie die een agent onderneemt, omdat een agent op elk moment "op hol kan slaan". De huidige situatie waarin AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. creëert een enorm risico.
Uit recente onderzoeken blijkt de omvang van het probleem. Volgens PwC's 2025 AI Agent Survey gebruikt 79% van de organisaties al AI-agenten. Toch meldde slechts 14,4% volledige beveiligingsgoedkeuring voor hun gehele agentvloot, zo blijkt uit het Gravitee State of AI Agent Security 2026-rapport. Een CSA-onderzoek gepresenteerd op RSAC onthulde dat slechts 26% AI-governancebeleid heeft. Het Agentic Trust Framework van de CSA beschrijft de kloof tussen implementatiesnelheid en beveiligingsparaatheid als een governance-noodsituatie. Cybersecurityleiders zijn het eens over het probleem. De hamvraag is hoe we dit aanpakken. Recentelijk hebben twee bedrijven architecturen geïntroduceerd die hier op verschillende manieren antwoord op geven. De verschillen tussen hun ontwerpen onthullen precies waar het grootste risico schuilt en waarom we aandacht moeten besteden aan hoe AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.
Het **monolithische agentprobleem** dat beveiligingsteams erven
Het standaard enterprise-agentpatroon is een monolithische container. Binnen dit model vindt redenering plaats, worden tools aangeroepen, gegenereerde code uitgevoerd en credentials opgeslagen, allemaal in één enkel proces. Dit betekent dat elk component elk ander component vertrouwt. OAuth-tokens, API-sleutels en git-credentials bevinden zich in dezelfde omgeving als waar de agent zojuist door zichzelf geschreven code uitvoert. Dit is de kern van het probleem waarbij AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. Een succesvolle prompt injection geeft een aanvaller toegang tot alles. Tokens kunnen worden geëxfiltreerd, sessies kunnen worden gestart en de impact (blast radius) is niet beperkt tot de agent zelf, maar omvat de gehele container en elke verbonden service. Dit is een direct gevolg van het feit dat AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. De omvang van dit probleem wordt verder benadrukt door een enquête van CSA en Aembit onder 228 IT- en beveiligingsprofessionals: 43% gebruikt gedeelde serviceaccounts voor agenten, 52% vertrouwt op workload-identiteiten in plaats van agentspecifieke credentials, en 68% kan de activiteiten van agenten niet onderscheiden van menselijke activiteiten in hun logs. Geen enkele functie claimde eigenaarschap van de toegang van AI-agenten; beveiliging schoof de verantwoordelijkheid naar ontwikkelaars, en ontwikkelaars naar beveiliging. Niemand voelde zich verantwoordelijk voor het feit dat AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.
CrowdStrike CTO Elia Zaitsev merkte in een exclusief interview met VentureBeat op dat dit patroon bekend zou moeten voorkomen. "Veel van wat het beveiligen van agenten inhoudt, lijkt erg op het beveiligen van zeer geprivilegieerde gebruikers. Ze hebben identiteiten, toegang tot onderliggende systemen, ze redeneren, ze ondernemen actie", aldus Zaitsev. "Er zal zelden één enkele oplossing zijn die de zilveren kogel is. Het is een defense-in-depth-strategie." De gevaren van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. werden verder benadrukt door CrowdStrike CEO George Kurtz, die tijdens zijn keynote op RSAC de ClawHavoc-campagne aanstipte, een supply chain-campagne gericht op het OpenClaw agentic framework. Koi Security noemde de campagne op 1 februari 2026. Antiy CERT bevestigde 1.184 kwaadaardige vaardigheden gekoppeld aan 12 uitgeversaccounts. Snyk's ToxicSkills-onderzoek vond dat 36,8% van de 3.984 gescande ClawHub-vaardigheden beveiligingsfouten bevatten, waarvan 13,4% als kritiek werd beoordeeld. De gemiddelde uitbraaktijd is gedaald tot 29 minuten, met de snelst waargenomen tijd van slechts 27 seconden (CrowdStrike 2026 Global Threat Report). Dit alles wijst op de kritieke kwetsbaarheid wanneer AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.
Anthropic scheidt het brein van de handen
Anthropic's Managed Agents, gelanceerd op 8 april in openbare bèta, pakt het probleem van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. op een fundamenteel andere manier aan. Zij splitsen elke agent in drie componenten die elkaar niet vertrouwen: een brein (Claude en het harnas dat zijn beslissingen routeert), handen (wegwerpbare Linux-containers waar code wordt uitgevoerd), en een sessie (een alleen-append gebeurtenislogboek buiten beide). Deze scheiding van instructies en uitvoering is een van de oudste patronen in software, vergelijkbaar met microservices, serverless functies en message queues. Wat cruciaal is, is dat credentials nooit de sandbox binnenkomen. Anthropic slaat OAuth-tokens op in een externe kluis. Wanneer de agent een MCP-tool moet aanroepen, stuurt het een sessiegebonden token naar een speciale proxy. De proxy haalt de echte credentials uit de kluis, doet de externe oproep en retourneert het resultaat. De agent ziet het daadwerkelijke token nooit. Git-tokens worden bij de initialisatie van de sandbox in de lokale remote gekoppeld. Push- en pull-bewerkingen werken zonder dat de agent de credential aanraakt. Voor beveiligingsdirecteuren betekent dit dat een gecompromitteerde sandbox niets oplevert wat een aanvaller kan hergebruiken, omdat AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. hierdoor is geëlimineerd.
De beveiligingswinst kwam als een neveneffect van een prestatieverbetering. Anthropic ontkoppelde het brein van de handen zodat inferentie kon starten voordat de container opstartte. De mediane tijd tot het eerste token daalde met ongeveer 60%. Het zero trust-ontwerp is dus ook het snelste ontwerp. Dit weerlegt de veelgehoorde bedrijfsbezwaren dat beveiliging latentie toevoegt. De duurzaamheid van sessies is de derde structurele winst. Een container crash in het monolithische patroon betekent totaal verlies van de staat. In Managed Agents blijft het sessielogboek bestaan buiten zowel brein als handen. Als het harnas crasht, start een nieuwe op, leest het gebeurtenislogboek en hervat. Geen staatverlies leidt tot een productiviteitswinst op de lange termijn. Managed Agents bevatten ingebouwde sessietracering via de Claude Console. De prijsstelling is $0,08 per sessie-uur actieve looptijd, idle tijd uitgesloten, plus standaard API-tokenkosten. Beveiligingsdirecteuren kunnen nu de kosten van een agentcompromis per sessie-uur afzetten tegen de kosten van de architectonische controles, en zo de voordelen van het adres van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. kwantificeren.
Nvidia sluit de sandbox af en monitort alles erin
Nvidia's NemoClaw, uitgebracht op 16 maart in vroege preview, kiest een tegenovergestelde aanpak om de kwetsbaarheid van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. aan te pakken. Het scheidt de agent niet van zijn uitvoeringsomgeving. In plaats daarvan omhult het de gehele agent met vier gestapelde beveiligingslagen en observeert elke beweging nauwlettend. Anthropic en Nvidia zijn de enige twee leveranciers die publiekelijk zero-trust agent-architecturen hebben geleverd; andere zijn in ontwikkeling. NemoClaw stapelt vijf afdwingingslagen tussen de agent en de host. De gesandboxte uitvoering maakt gebruik van Landlock, seccomp en netwerk-namespace-isolatie op kernelniveau. Standaard-deny uitgaand netwerken dwingt elke externe verbinding via expliciete goedkeuring van de operator af via YAML-gebaseerd beleid. Toegang draait met minimale privileges. Een privacyrouter leidt gevoelige queries naar lokaal draaiende Nemotron-modellen, waardoor tokenkosten en datalekken tot nul worden gereduceerd. De laag die het meest belangrijk is voor beveiligingsteams is intentieverificatie: OpenShell's beleidsengine onderschept elke agentactie voordat deze de host bereikt. De afweging voor organisaties die NemoClaw evalueren, is eenvoudig: sterkere runtime-zichtbaarheid kost meer personeel voor operators. De agent weet niet dat het zich binnen NemoClaw bevindt. Acties die binnen het beleid vallen, worden normaal geretourneerd. Acties die buiten het beleid vallen, krijgen een configureerbare weigering, wat helpt bij het mitigeren van risico's wanneer AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.
Observeerbaarheid is de sterkste laag. Een realtime Terminal User Interface logt elke actie, elk netwerkverzoek en elke geblokkeerde verbinding. Het audit-spoor is compleet. Het probleem is de kosten: de belasting van de operator schaalt lineair met de agentactiviteit. Elk nieuw eindpunt vereist handmatige goedkeuring. De kwaliteit van de observatie is hoog, maar de autonomie is laag. Die verhouding wordt snel duur in productieomgevingen die tientallen agenten draaien, vooral omdat het nog steeds te maken heeft met het onderliggende probleem dat AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. Duurzaamheid is de kloof waar niemand over praat. De staat van de agent blijft bestaan als bestanden binnen de sandbox. Als de sandbox faalt, verdwijnt de staat mee. Er bestaat geen extern mechanisme voor sessieherstel. Langlopende agenttaken brengen een duurzaamheidsrisico met zich mee dat beveiligingsteams moeten meenemen in hun implementatieplanning voordat ze in productie gaan.
De **credential proximity gap**
Beide architecturen zijn een aanzienlijke verbetering ten opzichte van de monolithische standaard. Waar ze uiteenlopen, is de vraag die het meest relevant is voor beveiligingsteams: hoe dicht bevinden AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. zich bij de uitvoeringsomgeving? Anthropic verwijdert credentials volledig uit de impact (blast radius). Als een aanvaller de sandbox via prompt injection compromitteert, krijgt deze een wegwerpbare container zonder tokens en zonder persistente staat. Het exfiltreren van credentials vereist een tweehoppige aanval: beïnvloed de redenering van het brein en overtuig het vervolgens om te handelen via een container die niets waardevols bevat om te stelen. Een enkelhoppige exfiltratie is structureel geëlimineerd, omdat het probleem van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. hierdoor wordt omzeild.
NemoClaw beperkt de impact (blast radius) en monitort elke actie daarbinnen. Vier beveiligingslagen beperken laterale beweging. Default-deny-netwerken blokkeren ongeautoriseerde verbindingen. Maar de agent en de gegenereerde code delen dezelfde sandbox. Nvidia's privacyrouter houdt inferentie-credentials op de host, buiten de sandbox. Maar messaging- en integratie-tokens (Telegram, Slack, Discord) worden in de sandbox geïnjecteerd als runtime-omgevingsvariabelen. Inferentie-API-sleutels worden geproxyd via de privacyrouter en niet rechtstreeks aan de sandbox doorgegeven. De blootstelling varieert per credentialtype. Credentials zijn beleidsgestuurd, niet structureel verwijderd. Dit is waar de aanwezigheid van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. een zorg blijft. Dat onderscheid is het belangrijkst voor indirecte prompt injection, waarbij een tegenstander instructies insluit in inhoud die de agent opvraagt als onderdeel van legitiem werk. Een vergiftigde webpagina. Een gemanipuleerd API-antwoord. De intentieverificatielaag evalueert wat de agent voorstelt te doen, niet de inhoud van gegevens die door externe tools worden geretourneerd. Geïnjecteerde instructies komen de redeneerketen binnen als vertrouwde context, met nabijheid tot uitvoering. In de Anthropic-architectuur kan indirecte injectie de redenering beïnvloeden, maar de credentialkluis niet bereiken. In de NemoClaw-architectuur bevindt geïnjecteerde context zich naast zowel redenering als uitvoering binnen de gedeelde sandbox. Dit is de grootste kloof tussen de twee ontwerpen, en waar het vraagstuk van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. het meest duidelijk wordt. David Brauchler van NCC Group, technisch directeur en hoofd AI/ML Security, pleit voor gated agent-architecturen gebouwd op trust segmentation principles waarbij AI-systemen het vertrouwensniveau van de gegevens die ze verwerken erven. Onvertrouwde invoer, beperkte mogelijkheden. Zowel Anthropic als Nvidia bewegen in deze richting. Geen van beide bereikt het volledig, wat betekent dat de kwestie van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. nog steeds een aandachtspunt is.
De **zero-trust architectuur audit** voor AI-agenten
De auditgrid omvat drie vendorpatronen over zes beveiligingsdimensies, met vijf acties per rij. Het komt neer op vijf prioriteiten, om de risico's van AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops. te mitigeren:
-
Audit elke geïmplementeerde agent op het monolithische patroon. Markeer elke agent die **OAuth-tokens** in zijn uitvoeringsomgeving bewaart. De CSA-gegevens laten zien dat 43% gedeelde serviceaccounts gebruikt. Dit zijn de eerste doelwitten die aangepakt moeten worden om te voorkomen dat **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**
-
Vereis **credential isolation** in aanvragen voor agentimplementatie (RFP's). Specificeer of de leverancier credentials structureel verwijdert of ze via beleid afschermt. Beide verminderen risico's, maar ze verminderen deze in verschillende mate en met verschillende faalmodi. Hierbij is het essentieel om te vragen hoe de leverancier omgaat met het potentieel dat **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**
-
Test sessieherstel vóór productie. Dood een sandbox midden in een taak. Controleer of de staat overleeft. Als dat niet het geval is, brengt langdurig werk een **datalekrisico** met zich mee dat toeneemt met de duur van de taak. Een robuust herstelmechanisme is essentieel, vooral in scenario's waar **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.** kan leiden tot onherstelbaar verlies.
-
Voorzie in personeel voor het **observeerbaarheidsmodel**. Anthropic's consoletracering integreert met bestaande **observeerbaarheidsworkflows**. NemoClaw's TUI vereist een operator in de loop. De personeelsbehoeften zijn verschillend. Beide benaderingen moeten goed worden overwogen, rekening houdend met de complexiteit die ontstaat wanneer **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**
-
Volg **indirecte prompt injection** roadmaps. Geen van beide architecturen lost deze vector volledig op. Anthropic beperkt de **impact (blast radius)** van een succesvolle injectie. NemoClaw vangt kwaadaardige voorgestelde acties op, maar niet kwaadaardig geretourneerde gegevens. Eis van leveranciers duidelijke roadmap-verplichtingen voor deze specifieke kloof, om de dreiging van **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.** verder te minimaliseren.
Veelgestelde vragen over **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**
Waarom is het gevaarlijk dat **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**?
Dit vormt een aanzienlijk risico omdat een succesvolle aanval, zoals een **prompt injection**, direct toegang kan verschaffen tot gevoelige **credentials** (zoals **OAuth-tokens** en **API-sleutels**). Dit betekent dat de aanvaller niet alleen de agent kan manipuleren, maar ook toegang kan krijgen tot verbonden systemen en data, waardoor de **impact (blast radius)** enorm toeneemt. Het hele systeem wordt kwetsbaar wanneer **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**Hoe lossen de nieuwe architecturen van Anthropic en Nvidia het probleem van **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.** op?
Anthropic scheidt de "hersenen" van de "handen" van de agent, waardoor credentials nooit in de uitvoeringsomgeving terechtkomen en extern worden beheerd in een kluis. Nvidia omhult de agent met meerdere beveiligingslagen en monitort elke actie nauwlettend, hoewel sommige credentials nog wel binnen de sandbox worden geïnjecteerd als omgevingsvariabelen. Beide benaderingen verminderen het risico, maar op verschillende manieren, en adresseren zo het probleem dat **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**Welke stappen kunnen organisaties nemen om de risico's te verminderen als **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.**?
Organisaties moeten audits uitvoeren op bestaande agenten om monolithische patronen te identificeren en eisen stellen aan **credential isolation** in aanbestedingen voor nieuwe AI-agentimplementaties. Daarnaast is het cruciaal om **sessieherstel** te testen, de personeelsbehoeften voor **observeerbaarheid** zorgvuldig te plannen, en leveranciers te vragen naar hun roadmaps voor de aanpak van **indirecte prompt injection**, om de kwetsbaarheid van **AI agent credentials live in the same box as untrusted code. Two new architectures show where the blast radius actually stops.** te verkleinen.Ben je geïnteresseerd in de toekomst van technologie en wil je altijd toegang hebben tot de nieuwste entertainment- en informatiebronnen? Net zoals geavanceerde AI-beveiliging cruciaal is voor een veilige digitale wereld, is een betrouwbare en uitgebreide entertainmentervaring essentieel voor jouw vrije tijd. Ontdek de ongekende mogelijkheden van onze IPTV-abonnementen. Geniet van een breed scala aan zenders, films en series, altijd en overal beschikbaar, met ongekende stabiliteit en beeldkwaliteit. Neem de controle over jouw entertainment en zorg dat je nooit meer iets mist. Klaar om de stap te zetten naar een superieure kijkervaring? Klik hier en begin vandaag nog met het ontdekken van jouw volgende favoriete programma: Koop IPTV.