De adoptie van generatieve AI-applicaties binnen bedrijven bevindt zich in een nieuwe fase. Het gaat niet langer alleen om assistenten die teksten schrijven of vergaderingen samenvatten, maar om agenten die interne gegevens raadplegen, externe tools aanroepen en beslissingen nemen binnen echte bedrijfsprocessen. Daar ontstaan ook aanzienlijk grotere risico’s. Gartner voorspelt dat tegen 2028 maar liefst 25 % van alle zakelijke AI-toepassingen ten minste vijf kleine beveiligingsincidenten per jaar zullen ervaren, vergeleken met slechts 9 % in 2025. Bovendien stelt het bedrijf dat tegen 2029 zo’n 15 % van deze applicaties ten minste één ernstig incident per jaar zal ondervinden, terwijl dat in 2025 slechts 3 % was.
Deze waarschuwing komt niet uit de lucht gevallen. Gartner verbindt deze toenemende risico’s direct aan de groei van de agentgerichte AI en het gebruik van technologieën zoals het Model Context Protocol (MCP), een open standaard ontworpen om modellen te koppelen aan tools, gegevens en externe systemen. Volgens de consultant is het probleem dat MCP is ontwikkeld met prioriteit voor interoperabiliteit, gebruiksgemak en flexibiliteit, maar niet met inherent ingebouwde beveiliging. Dit betekent dat veel fouten niet in extreme scenario’s ontstaan, maar juist tijdens normaal dagelijks gebruik.
In korte tijd is MCP uitgegroeid tot een essentieel onderdeel van het nieuwe ecosysteem van agenten. Anthropic presenteerde het in 2024 als een open standaard voor het opbouwen van bidirectionele verbindingen tussen databronnen en AI-gestuurde tools, en OpenAI ondersteunt MCP al in onderdelen van hun ontwikkelstack, met de openheid te spreken over het protocol als een groeiend de facto-standaard. Hoe verder dat model wordt uitgedragen, des te groter wordt het aanvalspunt: meer MCP-servers, meer externe connectors, meer agenten met toegangsrechten, en de complexiteit van verkeerde configuraties die kunnen leiden tot datalekken, privilege-escalatie of gevaarlijke automatiseringen.
Het gevaar ligt niet in de theorie, maar in de praktische manier waarop agenten verbonden worden
Gartner’s waarschuwing is logisch als je kijkt naar hoe deze applicaties werken. Een moderne agentgerichte app kan interne documentatie lezen, een CRM raadplegen, acties uitvoeren in een ticketingsysteem, content samenvatten van een externe website en resultaten verzenden naar een andere dienst. Elk van deze stappen lijkt op zichzelf redelijk. Het probleem ontstaat wanneer deze samenkomen in één workflow waarbij gevoelige data wordt benaderd, onbetrouwbare inhoud wordt geaccepteerd en externe communicatie plaatsvindt. Gartner bestempelt die combinatie dan ook als een “verboden zone” of “no-go zone” vanwege het hoge risico op datadiefstal.
Dit is geen abstracte zorg. De officiële beveiligingsdocumentatie van MCP erkent dat het protocol specifieke risico’s introduceert en roept ontwikkelaars op om robuuste toestemming- en toestemmingsstromen te ontwerpen, passende toegangscontroles toe te passen, de veiligheidsimplicaties duidelijk te documenteren en privacy bij het ontwerp mee te nemen. Met andere woorden, noch het protocol noch de standaard kunnen uitsluitend een organisatie beschermen als er verbindingen worden gelegd met gevoelige bronnen zonder sterke governance.
Daarbovenop komt een tweede risicolaag: componenten van derden. Gartner waarschuwt voor verborgen kwetsbaarheden in MCP-servers, bibliotheken en veelgebruikte connectors. Hier wordt een klassieke les van cybersecurity weer actueel: bij snelle technologische expansie groeit het ecosysteem van integraties meestal sneller dan de ontwikkeling van rijpere procedures voor review en controle. Dat patroon is gebruikelijk bij nieuwe platforms, maar nu is de kost van een fout veel hoger omdat een agent niet alleen data ziet, maar er ook op kan handelen.
Prompt-injectie, toeleveringsketen en slecht afgebouwde permissies
Een van de meest treffende bedreigingen voor dit moment is de prompt injection. OWASP plaatst het als een van de top risico’s voor toepassingen met grote taalmodellen (LLM) en definieert het als manipulatie van modelantwoorden door middel van inputs die bedoeld zijn om het gedrag te beïnvloeden, inclusief het omzeilen van beveiligingsmaatregelen. In een agent-gestuurd systeem kan die manipulatie niet beperkt blijven tot een verkeerd antwoord: ze kan uitmonden in een uitgevoerde opdracht, een gelekt gegeven of een gekoppelde actie met foutieve toestemming.
Gartner dringt er daarom op aan dat bedrijven niet simpelweg permissies die voor menselijke gebruikers gelden, doorgeven aan agents alsof dat vanzelfsprekend is. Het is noodzakelijk om apart authenticatie- en autorisatieschema’s voor agents op te zetten, met zeer beperkte privileges en formele reviews per gebruiksscenario. Daarnaast raadt het aan om bekende mitigatiepraktijken te versterken, zoals bescherming tegen inhoudsinjectie, het voorkomen van blootstelling van gevoelige data, risico’s in de toeleveringsketen en privilege-escalatie wanneer het model ondersteuning biedt maar onbedoeld gevaarlijke handelingen uitvoert.
Een ander belangrijk punt dat Gartner benoemt, is dat de toenemende complexiteit zich binnen governance zal manifesteren. Naarmate agenten in meer bedrijfsdomeinen worden ingezet, wordt het beheren van data-toegang, naleving van regelgeving en operationele verantwoordelijkheden steeds lastiger. Daarom adviseert het dat domeinexperts betrokken worden bij het vaststellen van gebruiksregels en dat elke MCP-server duidelijk eigendom krijgt binnen de organisatie. Controle mag niet pas achteraf plaatsvinden, maar moet ingebed zijn in het ontwerp van het functionele domein.
Waar het om gaat, is niet de AI stoppen, maar de juiste toepassingen benutten
Gartner’s voorspelling betekent niet dat bedrijven hun weg met agentgerichte AI moeten afstoppen, wel dat ze een minder euphorische blik moeten hanteren. In 2025 en 2026 hebben veel organisaties geïnvesteerd in het inzetten van agenten met een mix van enthousiasme, concurrentiedruk en onvoldoende aandacht voor security. De boodschap nu is helder: hoe nuttiger en meer verbonden een GenAI-app is, des te belangrijker het wordt om deze te voorzien van formele reviews, duidelijke limieten en een minimale privilegesarchitectuur.
De kernboodschap is dat MCP en agenten de AI dichter bij de operationele kern van de organisatie brengen. Ze blijven niet meer beperkt tot experimenten of labdemo’s, maar krijgen directe invloed op systemen, data en processen in de praktijk. Dat betekent een fundamentele verandering van schaal en risico. Kleine incidenten zullen eerst toenemen als gevolg van de nog onvolwassen ecosysteem. De ware uitdaging schuilt echter in het voorkomen dat dagelijkse fouten zich opstapelen tot ernstiger, kostbare of regulatorisch problematische incidenten.
Veelgestelde vragen
Wat voorspelt Gartner precies over de veiligheid van generatieve AI in organisaties?
Gartner verwacht dat in 2028 ongeveer 25 % van de zakelijke GenAI-toepassingen jaarlijks ten minste vijf kleine beveiligingsincidenten zullen ondervinden, tegenover slechts 9 % in 2025. Ook voorziet het dat tegen 2029 ongeveer 15 % van de applicaties minstens één ernstig incident per jaar zullen meemaken, terwijl dat percentage in 2025 nog op 3 % lag.
Waarom verhoogt MCP het risico in agentgerichte applicaties?
Omdat het de interoperabiliteit tussen modellen, tools en gegevens bevordert, maar geen beveiliging standaard impliceert. Wanneer een agent toegang heeft tot gevoelige data, onbetrouwbare content kan verwerken en buiten communicatie kan aangaan, neemt het risico op datadiefstal en misbruik significant toe.
Wat is een klein incident in een zakelijke AI-omgeving?
Gartner biedt geen strikte definitie, maar spreekt over blootstellingen van data, kwetsbaarheden in derde-partij componenten, permissiefouten en vertrouwde patrones zoals contentinjectedie of onbedoeld hulp bieden door het model.
Wat adviseert Gartner om deze risico’s te mitigeren?
Formele beveiligingsreviews per gebruiksscenario met MCP, prioriteit geven aan lage-risicoomgevingen, gevaarlijke combinaties vermijden, authentication en authorization specifiek voor agents ontwerpen en domeinexperts laten bepalen waar en hoe servers worden ingezet en beheerd.
bron: gartner