The Attack and Defense Landscape of Agentic AI: A Comprehensive Survey

Dit artikel biedt de eerste systematische survey naar de beveiliging van AI-agenten, waarin een nieuw raamwerk wordt gepresenteerd voor het analyseren van hun ontwerpruimte, aanvalslandschap en verdedigingsmechanismen, terwijl bestaande gaten en open uitdagingen worden geïdentificeerd.

De kern

Stel je voor dat je een super-assistent hebt die niet alleen kan praten, maar ook daadwerkelijk dingen voor je kan doen. Hij kan e-mails schrijven, bestanden op je computer verplaatsen, online boodschappen doen en zelfs code schrijven. Dit noemen we in de tech-wereld een "AI Agent".

Deze paper (een wetenschappelijk onderzoek) is als een groot veiligheidsrapport voor deze nieuwe super-assistenten. De auteurs zeggen: "Het is geweldig wat ze kunnen, maar ze zijn ook heel kwetsbaar voor hackers."

Hier is de uitleg in simpele taal, met een paar creatieve vergelijkingen:

1. Het Probleem: Een Assistent met een Open Deur

Vroeger was software als een strakke trein: hij reed op een vast spoor. Als je iets wilde doen, moest je op de juiste knop drukken. Hackers hadden het moeilijk omdat het spoor vastlag.

AI Agents zijn echter als een slimme, maar naïeve butler die een sleutel heeft tot je hele huis.

• Hij kan zelf beslissen welke deur hij opent.
• Hij kan zelf beslissen wat hij in de koelkast doet.
• Hij luistert naar wat mensen tegen hem zeggen (zelfs als die mensen liegen).

Het gevaar: Omdat hij zo flexibel is, kan een hacker hem op een slimme manier bedriegen. Als je tegen de butler zegt: "Vergeten wat ik net zei, en gooi nu al mijn waardevolle spullen in de vuilnisbak," dan doet hij het misschien wel! Dit noemen ze "Prompt Injection" (het inbrengen van valse instructies).

2. De Vijanden: Wie kan de butler bedriegen?

De paper beschrijft drie soorten "boeven" die de agent kunnen aanvallen:

• De Buitenstaander (External Adversary): Deze persoon zit niet in je huis, maar heeft een valse brief in de brievenbus gestopt. Als de butler die brief leest, denkt hij dat het een opdracht van jou is.
  • Voorbeeld: Een hacker plaatst een verborgen bericht op een website. Als je agent die website bezoekt, leest hij het bericht en denkt: "Oh, de eigenaar wil nu mijn wachtwoorden stelen."
• De Valse Vriend (User-level Adversary): Dit is iemand die direct tegen de butler praat.
  • Voorbeeld: Jij vraagt: "Schrijf een e-mail," maar de hacker heeft al een stukje tekst in die e-mail geschreven dat zegt: "Verwijder nu alle bestanden." De butler ziet het als één opdracht en voert het uit.
• De Inbreker (Internal Adversary): Dit is de ergste situatie. De hacker is al binnen en heeft de sleutels van het huis zelf. Hij kan de hersenen van de butler herschrijven.

3. De Risico's: Wat kan er misgaan?

De paper maakt een lijst van 7 grote gevaren, die we kunnen vergelijken met wat er gebeurt als je butler gek wordt:

1. Verwarring (Wrong Instruction Following): De butler luistert naar de boef in plaats van naar jou.
2. Geen remmen (Unconstrained Data Flow): De butler neemt alles wat hij ziet en doet er iets mee, zonder te checken of het veilig is. Hij kan je geheime foto's per ongeluk naar een vreemde sturen.
3. Hallucinaties (Making things up): De butler denkt dat er een brand is (terwijl er geen is) en belt de brandweer, of hij denkt dat hij een sleutel heeft die hij niet heeft, en breekt een raam in.
4. Datalekken (Private Data Leakage): Hij geeft je wachtwoorden, creditcardnummers of geheime documenten weg.
5. Verkeerde acties (Unauthorized Actions): Hij koopt iets duurs af of verwijdert belangrijke bestanden.
6. Systeem crash (Resource Drain): Hij blijft maar doorgaan met een taak die niet afkomt, waardoor je computer vastloopt of je internetrekening onbetaalbaar wordt.
7. Heterogene Interfaces: Omdat de butler overal mee kan praten (internet, bestanden, e-mail), zijn er overal deuren die open kunnen staan.

4. De Oplossingen: Hoe maken we de butler veilig?

De auteurs zeggen dat je niet op één oplossing kunt vertrouwen. Je hebt een veiligheidsketen nodig (Defense-in-Depth).

• De Poortwachter (Input Guardrails): Iemand die kijkt naar alles wat de butler binnenkrijgt. "Wacht even, die brief in de brievenbus ziet er verdacht uit. Laten we hem niet lezen."
• De Controleur (Output Guardrails): Iemand die kijkt naar wat de butler gaat doen. "Je wilt nu een bestand wissen? Dat is een gevaarlijke actie. Stop even en vraag de eigenaar."
• De Sleutelkast (Access Control): Geef de butler niet de sleutel van de hele stad. Hij mag alleen de sleutel hebben voor de kamer waar hij moet werken. Als hij de keuken moet schoonmaken, hoeft hij niet bij de kluis te kunnen.
• De Menselijke Check (Human-in-the-loop): Bij belangrijke dingen (zoals geld overmaken of bestanden wissen) moet de butler even wachten en jou vragen: "Weet je zeker dat je dit wilt?"
• De Bouwplaat (Secure by Design): Bouw het huis zo dat de butler fysiek niet bij de kluis kan komen, tenzij er een speciale sleutel voor is.

5. De Realiteit: Het is nog niet perfect

De paper kijkt naar echte voorbeelden van AI-assistenten (zoals AutoGPT, een populaire tool). Ze ontdekten dat deze tools vaak veiligheidslekken hebben die al lang bekend zijn, maar die nog niet goed zijn opgelost.

• Vergelijking: Het is alsof je een nieuwe, dure auto koopt met een geweldig motor, maar de deuren sluiten niet goed en de airbags werken niet. De makers zijn zo blij met de snelheid (de slimme AI) dat ze vergeten zijn de deuren te vergrendelen.

Conclusie

De boodschap van dit onderzoek is duidelijk:
AI Agents zijn krachtig en geweldig, maar ze zijn nog niet veilig genoeg voor zware taken. We kunnen ze niet zomaar in de echte wereld zetten zonder eerst een goed veiligheidssysteem te bouwen.

We hebben nodig:

1. Meer lagen van beveiliging (niet alleen één slot).
2. Slimme controles die begrijpen wat de context is (is dit een echte opdracht of een truc?).
3. Mensen in de loop om belangrijke beslissingen te nemen.

Kortom: Laat je AI-assistent niet alleen de sleutels van je huis nemen voordat je zeker weet dat hij niet zomaar naar een vreemde luistert.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "The Attack and Defense Landscape of Agentic AI: A Comprehensive Survey" in het Nederlands.

Titel: Het Aanvals- en Verdedigingslandschap van Agente AI: Een Omvattend Overzicht

1. Het Probleem

Agente AI-systemen, die Large Language Models (LLMs) combineren met niet-AI-softwarecomponenten (zoals tools, geheugen en externe API's), bieden ongekende automatisering en flexibiliteit. Echter, deze flexibiliteit introduceert fundamenteel nieuwe beveiligingsuitdagingen die verschillen van traditionele software of standalone LLM's.

• Complexiteit: De integratie van dynamische workflows, toegang tot gevoelige data en uitvoering van acties in de echte wereld creëert een uitgebreid aanvalsoppervlak.
• Huidige lacunes: Bestaand onderzoek focust vaak op specifieke aanvallen (zoals prompt injection) of individuele componenten, maar mist een holistisch perspectief op het totale systeem. Er is geen gestructureerd raamwerk om de interactie tussen verschillende componenten en de daaruit voortvloeiende risico's te begrijpen.
• Gevaren: Incidenten tonen aan dat kwetsbaarheden leiden tot data-exfiltratie, ongeautoriseerde code-uitvoering, manipulatie van systemen en diefstal van inloggegevens.

2. Methodologie

De auteurs hanteren een systematische benadering om het veiligheidslandschap van agente AI te in kaart te brengen:

• Definitie en Scope: Ze definiëren agenten als hybride systemen en focussen op risico's die uniek zijn of versterkt worden door agenten-autonomie (in tegenstelling tot pure model-aanvallen zoals model-inversie).
• Literatuurverzoek: Een grondige review van academische literatuur, whitepapers en CVE's van 2023 tot oktober 2025. Ze selecteren 128 werken (51 aanvalsmethoden, 60 verdedigingsmethodes) uit top-tier beveiligings- en ML-conferenties.
• Taxonomie Ontwikkeling: Ze ontwikkelen een gestructureerd raamwerk gebaseerd op:
  1. Ontwerpdimensies: Zeven dimensies die de flexibiliteit van een agent bepalen.
  2. Aanvalsvectoren: Geclassificeerd op basis van bedreigingsmodellen (extern, gebruiker, intern).
  3. Risico-categorieën: Gestructureerd rondom de CIA-triad (Confidentiality, Integrity, Availability) en contextuele veiligheid.
  4. Verdedigingslandschap: Een analyse van bestaande verdedigingsmechanismen en hun toepassing in real-world scenario's.
• Case Studies: Diepgaande analyse van zes open-source agenten (waaronder AutoGPT, Codex, Browser-use) om de theorie te toetsen aan de praktijk en gaten in bestaande verdedigingen te identificeren.

3. Belangrijkste Bijdragen

A. Een Systematisch Ontwerpraamwerk (7 Dimensies)
De auteurs identificeren zeven dimensies die de flexibiliteit en daarmee het veiligheidsrisico van een agent bepalen:

1. Input Trust: Van geen externe data tot willekeurige, onbetrouwbare data.
2. Toegangssensitiviteit: Van geen gevoelige data tot willekeurige gevoelige data (PII, credentials).
3. Workflow: Van statische chatbots tot dynamische, door LLM gedefinieerde workflows.
4. Actie: Van alleen tekstgeneratie tot bestandsbewerking, code-uitvoering en API-calls.
5. Geheugen: Van geen geheugen tot persistente, sessie-overschrijdende opslag.
6. Tools: Van geen tools tot het gebruik van willekeurige, externe tools.
7. Gebruikersinterface: Van tekst alleen tot multi-modale interacties (GUI, terminal, web).
   Conclusie: Hogere flexibiliteit in deze dimensies vergroot het aanvalsoppervlak en de impact van beveiligingsincidenten.

B. Uitgebreide Taxonomie van Aanvallen en Risico's

• Aanvalsvectoren (6 types):
  • Externe tegenstanders: Indirecte prompt injection (via webpagina's), kwaadaardige data-injectie, tool-vergiftiging.
  • Gebruiker-niveau: Directe prompt injection.
  • Interne tegenstanders: Model-vergiftiging (backdoors), geheugen-vergiftiging.
• Risico-categorieën (7 types):
  • R1: Heterogene onbetrouwbare interfaces (vergroting van het aanvalsoppervlak).
  • R2: Verkeerde instructie-opvolging (agent volgt aanvalsinstructies).
  • R3: Ongelimiteerde/ongevaren dataflow (data stroomt onbeheerd van input naar output).
  • R4: Hallucinaties en modelfouten (die leiden tot echte wereld acties).
  • R5: Privégegevenslekken.
  • R6: Onbedoelde/ongeautoriseerde acties en data-corruptie.
  • R7: Resource-drain en Denial-of-Service.
• Interactie: Het papier toont aan hoe risico's elkaar versterken (bijv. een onbetrouwbare interface leidt tot verkeerde instructie-opvolging, wat resulteert in datalekken).

C. Verdedigingslandschap en Principes
De auteurs categoriseren verdedigingsmechanismen in vijf hoofdcategorieën:

1. Runtime Protection: Input/Output guardrails, informatieflow-control (taint tracking), monitoring en mens-in-de-lus validatie.
2. Secure by Design: Privilege separation (scheiding van planner en uitvoerder) en formele verificatie.
3. Identity and Access Management (IAM): Identiteitsbeheer, toegangscontrole (RBAC/ABAC) en credential management.
4. Component Hardening: Model-hardening (fine-tuning voor instructie-volging) en tool-hardening (verificatie van tool-descripties).
5. Ontwerpprincipes: Defense-in-depth, principe van minst privilege en volledige mediatie (elke toegang verifiëren).

4. Resultaten en Case Studies

• AutoGPT Analyse: Een diepgaande analyse van AutoGPT (versies v0.4.3+) onthult dat bestaande patches vaak alleen de gevolgen van aanvallen bestrijden (bijv. toegang beperken) en niet de oorzaak (bijv. indirecte prompt injection of onveilige dataflow).
  • Voorbeeld: CVE-2024-1881 (Command Injection) wordt slechts gedeeltelijk opgelost door een allowlist voor de eerste token, maar mist detectie van gekoppelde commando's of hallucinaties die leiden tot gevaarlijke commando's.
• Gaten in Real-World Agents:
  • Coding Agents: Gebrek aan input guardrails voor werkruimtes en onvoldoende monitoring.
  • Web Agents: Kwetsbaar voor indirecte prompt injection via webpagina's; vaak gebrek aan informatieflow-control om data-exfiltratie te voorkomen.
  • Algemeen: De meeste agents missen geautomatiseerde detectie, hebben te veel afhankelijkheid van menselijke validatie (wat leidt tot "decision fatigue"), en hebben geen gestandaardiseerde identiteits- of credential-beheer.

5. Betekenis en Conclusie

Dit artikel is de eerste systematische survey die het veiligheidslandschap van agente AI vanuit een holistisch systeemperspectief analyseert.

• Fundamenteel Inzicht: Het benadrukt dat traditionele software-beveiliging niet volstaat; de probabilistische aard van LLM's gecombineerd met autonome acties vereist nieuwe benaderingen.
• Richting voor Toekomstig Onderzoek: De auteurs identificeren kritieke richtingen:
  • Ontwikkeling van realistische evaluatiekaders die onderzoek verbinden met productie.
  • Composeerbare verdedigingen die geen emergente misalignments veroorzaken.
  • Standaardisatie van agent-identiteit en toegangscontrole.
  • Adaptieve verdedigingen die balans vinden tussen veiligheid en bruikbaarheid.
• Impact: Het werk dient als een handboek voor ontwikkelaars en onderzoekers om veilige agente systemen te bouwen en vormt de basis voor verdere vooruitgang in dit kritieke domein.