Kunstmatige intelligentie is begonnen met het uitvoeren van taken binnen echte inbraken, variërend van het verkennen van netwerken tot het genereren van commando’s en het analyseren van gestolen informatie. Het AI Security Report 2026 van Check Point Research documenteert de evolutie van modellen, van assistenten van aanvallers tot agenten die verbonden zijn met terminals en tools, en in staat zijn om een actieve operatie te onderhouden tussen menselijke interventies door.
De kernpunten van AI-aangedreven cyberaanvallen in 30 seconden
- Een aanvaller gebruikte Claude Code en GPT-4.1 bij een inbraak op negen Mexicaanse organisaties.
- De agenten genereerden 5.317 commando’s tijdens 34 sessies, hoewel de operator de aanval bleef sturen.
- De detecties van indirecte injecties van uitgebreide prompts verdrievoudigden tussen maart en mei 2026.
- Bedrijfsprompts met gevoelige gegevens stegen van 2% naar 4%.
- Check Point vond beveiligingsproblemen op 40% van de 10.000 onderzochte MCP-servers.
Het rapport beschrijft geen AI die doelwitten selecteert en zonder menselijke deelname aanvallen uitvoert. In de bestudeerde incidenten blijft er een operator die prioriteiten stelt, inloggegevens verstrekt of beslissingen valideert. Het technische verschil is dat deze persoon niet langer elk stadium handmatig hoeft uit te voeren.
Een agent kan een doelwit ontvangen, bestanden raadplegen, tools aanroepen, commando’s typen in een terminal en de resultaten bekijken voordat hij de volgende stap kiest. Deze capaciteit stelt één persoon in staat meerdere aanvalslijnen tegelijk te onderhouden en verkort de tijd die nodig is om activiteiten te detecteren en te beperken.
Van code genereren tot werken binnen een gecompromitteerd netwerk
Tot voor kort was het grootste risico van offensieve AI het vermogen om phishingberichten te schrijven, campagnes te vertalen of malware te helpen ontwikkelen. Check Point stelt dat de modellen in het afgelopen jaar direct deel zijn gaan uitmaken van de aanvalsketen.
| AI als assistent | AI als aanvaller |
|---|---|
| Legt een kwetsbaarheid uit | Test acties tegen het systeem |
| Genereert codefragmenten | Construeren en uitvoeren van commando’s |
| Vertaling van phishingberichten | Aanpassen van communicatie naar elk slachtoffer |
| Samenvat gestolen informatie | Classificeert data en stelt nieuwe taken voor |
| Doe suggesties voor vervolgstappen | Sievert acties met tools |
| Vraagt frequente interventie | Werkt gedurende langere perioden |
De meest opvallende casus, zoals beschreven in het rapport, betrof negen Mexicaanse overheidsorganen. Een enkele aanvaller zou 1.088 instructies hebben gestuurd, wat leidde tot 5.317 uitgevoerde commando’s via AI in 34 sessies. Volgens Check Point combineerde de operatie Claude Code om toegang te krijgen en door netwerken te bewegen, en GPT-4.1 voor data-analyse en het voorbereiden van vervolgacties.
De activiteit was niet volledig autonoom. De meer dan duizend menselijke instructies tonen dat de operator de inbraak bleef sturen. Toch weerspiegelt de verhouding tussen menselijke bevelen en gegenereerde commando’s hoeveel werk er geëlimineerd kon worden door delegatie.
| Indicaties van het incident | Verzamelde gegevens |
|---|---|
| Affected organizations | 9 |
| Instructies van de operator | 1.088 |
| Uitgevoerde AI-commando’s | 5.317 |
| Afgetekende sessies | 34 |
| Genoemde tools | Claude Code en GPT-4.1 |
Het rapport behandelt ook VoidLink, een commandocontrolesysteem van ongeveer 88.000 regels code dat door één persoon in minder dan een week met hulp van een AI-ontwikkelomgeving werd gemaakt. Aanvankelijk dachten de onderzoekers dat het project door een team was uitgevoerd over meerdere maanden.
Deze voorbeelden laten zien dat technische kennis nog steeds nodig is. Een model kan kwetsbare code genereren, een fout interpretëren of de controle over een sessie verliezen. De aanvaller moet nog steeds het environment begrijpen en fouten corrigeren. AI vermindert dus, maar elimineert niet, de instapdrempel.
Voor verdedigers betekent dit een versnelling van bekende operaties. Als reconnaissance, toolgeneratie en data-analyse parallel worden uitgevoerd, kan een inbraak sneller vorderen dan handmatige review-, escalatie- en goedkeuringsprocessen binnen veel organisaties.
Agents transformeren websites, documenten en MCP in aanvalsvlakken
Dezelfde toolcapaciteit opent ook nieuwe kwetsbaarheden. Een model dat uitsluitend tekst teruggeeft, heeft een beperkt bereik. Een agent die verbonden is met e-mail, repositories, terminals of databases kan direct actie ondernemen.
Een van de grootste risico’s is de indirecte injectie van prompts. De aanvaller embed instructions in een website, document, e-mail of de output van een andere toepassing. Wanneer de agent dat inhoud verwerkt, kan hij malafide instructies interpreteren als legitieme opdrachten en uitvoeren.
Check Point zag een ongeveer vijfvoudige toename in detecties van uitgebreide kwaadaardige uploads tussen maart en mei 2026. In de laatste geanalyseerde maand kwam dit ongeveer op 1% van de waargenomen prompts. Het bedrijf ziet deze groei als een teken van een toenemende aanwezigheid van indirecte aanvallen en agent-gestuurde flows, hoewel de lengte van een instructie op zichzelf niet aantoont dat deze kwaadaardig is.
| Ingangspunt | Risico voor een agent |
|---|---|
| Webpagina | Verborgen commando’s in tekst, opmerkingen of metadata |
| Instructies ingebouwd in berichten of bijlagen | |
| Document | Manipulatie tijdens samenvatting of analyse |
| Code repository | Configuratiebestanden met wijzigingen |
| MCP-server | Kwetsbare tools of overmatige permissies |
| Ontwikkelingsuitbreiding | Diefstal van inloggegevens en supply chain-aanvallen |
Het Model Context Protocol (MCP) verdient speciale aandacht omdat het modellen verbindt met data en tools. Check Point ontdekte beveiligingsproblemen in 40% van de 10.000 onderzochte MCP-servers. Dit betreffen variërende kwetsbaarheden, niet alle zijn onmiddellijk exploiteerbaar.
Verder vonden de onderzoekers configuratiebestanden van Claude Code die per ongeluk werden gepubliceerd op 428 van 46.500 pakketten—ongeveer één op de 13 bevatte nog actieve credentials, waaronder sleutels voor repositories en ontwikkeldiensten.
Het risico neemt toe wanneer een agent uitgebreide bevoegdheden krijgt. Een gemanipuleerde aanwijzing op zich kan niet veel doen in een geïsoleerde chatbot, maar kan wel leiden tot het openen van bestanden, het installeren van software of het sturen van gegevens wanneer de model de juiste tools heeft.
Daarom moet de beveiliging van agenten verder gaan dan alleen het filteren van vragen. Het moet ook identiteiten, permissies, connectors, activiteitslogs en toegestane acties controleren. Elke toegevoegde tool verbreedt de functionaliteit, maar ook het potentieel voor schade bij interpretatie van een kwaadaardige instructie.
De dagelijkse datalekken overtreffen geavanceerde aanvallen
Het rapport benadrukt dat een groot deel van de bedrijfsblootstelling niet voortkomt uit inbraken, maar uit het reguliere gebruik van generatieve AI-toepassingen. Werknemers leveren context die kan leiden tot het delen van broncode, inloggegevens, persoonlijke info of interne documenten.
Tussen oktober 2025 en mei 2026 gebruikten de ondervraagde organisaties gemiddeld tien AI-toepassingen per maand. Het aantal prompts per gebruiker steeg van 56 in december 2025 naar 70 in mei 2026. Tussen 87% en 93% van de bedrijven rapporteerden minstens één hoog-risico-interactie per maand.
| Gebruiksindicatoren | Resultaat |
|---|---|
| Aantal AI-toepassingen per organisatie/maand | 10 |
| Prompts per gebruiker in december 2025 | 56 |
| Prompts per gebruiker in mei 2026 | 70 |
| Organisaties met maandelijks hoog-risico interactie | 87% – 93% |
| In het begin van de periode | 2% |
| Aan het einde van de periode | 4% |
De proportie van high-risk prompts verdubbelde van 2% naar 4%. Dit betekent practically dat de frequentie van problematische interacties is toegenomen van 1 op de 50 naar 1 op de 25.
De sectoren met de hoogste gemiddelde risicograad waren zakelijke dienstverlening (5,91%), groothandel (5,47%), telecom (4,06%) en software (3,52%). Deze gegevens, gebaseerd op Check Point telemetry, geven geen volledig beeld van alle bedrijven in die sectoren.
Identiteit als controle vormt ook geen sluitende maatregel meer. Een test waarbij getrainde beoordelaars gezichten van AI gegenereerd met 41% correct identificeerden, gaf dat ongetrainde deelnemers ongeveer 30% slaagkans. Een gezicht, stem of videobelletje is niet langer voldoende als enkel bewijs van identiteit.
Voor technische teams ligt de directe verandering niet in de komst van volledig autonome aanvallers. Het is de combinatie van drie trends: snellere offensieve operaties, bedrijfsagenten met toegang tot tools en een groeiend volume gedeelde data met externe services.
Check Point richt zich op aanbevelingen voor het beveiligen van AI-systemen zelf, het gebruik van AI voor snellere respons en het beheer van gebruikte applicaties door medewerkers. Deze aanpak sluit aan bij hun commerciële producten, maar de technische details en oplossingen verschillen van de inhoud van het rapport.
Veelgestelde vragen
Kan AI volledig zelfstandig cyberaanvallen uitvoeren?
De gedocumenteerde gevallen houden een persoon aan het roer. AI kan vele stappen uitvoeren tussen menselijke interventies door, maar heeft nog steeds doelen, toegang en toezicht nodig.
Wat is een indirecte promptinjectie?
Het is een kwaadaardige instructie verstopt in inhoud die door de agent wordt geraadpleegd, zoals een website, e-mail of document. Het model kan die interpretaties als legitieme opdrachten beschouwen en uitvoeren.
Waarom verhoogt MCP het aanvalsvlak?
MCP verbindt modellen met bestanden, diensten en applicaties. Onveilige configuraties of overmatige permissies kunnen het mogelijk maken dat een gemanipuleerde instructie bij externe systemen terechtkomt.
Wat is de meest voorkomende risico voor een bedrijf?
Het dagelijkse gebruik van AI-tools. Het rapport zag een toename van prompts met bedrijfsgegevens, persoonlijke informatie of gereguleerde data, zelfs zonder dat er sprake was van een actieve aanval.
via: Open Security
