De versnelde adoptie van kunstmatige intelligentie (AI) opent een nieuwe veiligheidskloof voor bedrijven: de API’s. Dit is de belangrijkste conclusie van het nieuwe rapport 2026 Apps, APIs, and DDoS State of the Internet van Akamai, dat aangeeft dat organisaties steeds meer investeren in automatisering en AI, precies op de laag die momenteel onder grote offensieve druk staat. Volgens het bedrijf ligt de beveiliging van AI nu rechtstreeks in het beschermen van de API’s.
Deze waarschuwing is niet gebaseerd op vage intuïties. Akamai stelt dat aanvallers hun methoden industrialiseren en misbruik van API’s, webapplicatie-aanvallen en DDoS-aanvallen op laag 7 combineren in gecoördineerde, herhaalbare en relatief goedkope campagnes. Het doel is niet alleen om hoge mediabelangen te bereiken, maar ook om de prestaties te degraderen, infrastructuurkosten te verhogen en automatisering via AI op grote schaal te misbruiken.
In dit kader presenteert het rapport vier belangrijke cijfers die het veranderende landschap goed illustreren: 104 % groei in DDoS-aanvallen op laag 7 in de afgelopen twee jaar, 87 % van de ondervraagde organisaties had in 2025 minstens één beveiligingsincident gerelateerd aan API’s, webapplicatie-aanvallen stegen met 73 % tussen 2023 en 2025, en het gemiddelde aantal dagelijkse API-aanvallen nam met 113 % toe op jaarbasis.
Akamai interpreteert deze cijfers als een duidelijke aanwijzing dat applicaties en API’s niet langer aparte beveiligingsproblemen vormen. Wanneer een bedrijf webbeveiliging loskoppelt van API-beveiliging, ontstaan er zichtbaarheidsgaten op de plekken waar aanvallers de continuïteit tussen authenticatie, bedrijfslogica, workflowmisbruik en beschikbaarheid kunnen vinden.
Het probleem is niet alleen de code, maar het gedrag
Een van de opvallende punten uit het rapport is dat er een verschuiving wordt waargenomen van klassieke aanvallen naar dreigingen die meer verband houden met gedrag. Het gaat niet alleen om het misbruik van technische kwetsbaarheden, maar ook om het uitbuiten van legitieme workflows, het automatiseren van verzoeken en het belasten van de infrastructuur tot het punt dat de bedrijfslogica zelf een aanval wordt. Deze gedachte sluit aan bij de kernboodschap van het onderzoek: waar er wordt geïnvesteerd in digitale transformatie en AI, volgt het risico snel.
Bovendien introduceert Akamai een factor die zeer relevant is voor veel ontwikkelteams: de opkomst van vibe coding. Het bedrijf waarschuwt dat intensief gebruik van AI voor codegeneratie kwetsbaarheden en slechte configuraties introduceert, die in veel gevallen zonder voldoende tests naar productie gaan. Het is niet zo dat AI een geheel nieuwe klasse van fouten creëert, maar dat zwaktes die al bestonden worden versterkt en dat de impact ervan sneller in de praktijk zichtbaar wordt.
Daarbij komt de evolutie van de DDoS-markt. Akamai wijst erop dat een groot deel van de 104 % stijging in laag 7-aanvallen wordt toegeschreven aan eenvoudige toegang tot huurbotnets en AI-ondersteunde scripts die de technische drempel voor het lanceren van aanvallen op webapplicaties en API’s verlagen. Ook worden ‘superbotnets’ genoemd zoals Aisuru en Kimwolf, afgeleid van de Mirai-architectuur, als onderdeel van DDoS-ecosystemen die als service door criminele groepen en hacktivisten worden gebruikt.
API’s, agents en nieuwe autonome bedreigingen
Het rapport koppelt deze druk op API’s ook aan een breder fenomeen: de expansie van agentgebaseerde AI. Akamai wijst erop dat kwetsbaarheden bij agentic systemen de moderne aanvalsondergrond vergroten en verwijst naar het nieuwe OWASP Top 10 for Agentic Applications 2026-kader, dat specifieke risico’s identificeert voor autonome agents.
OWASP beschrijft risico’s zoals goal hijacking, tool misuse, identiteit en privilege misbruik, onverwachte code-uitvoering en geheugen- en contextvergiftiging. In andere woorden, het probleem is niet meer alleen dat een API wordt blootgesteld, maar dat een agent met toegang tot tools, geheugen en credentials kan worden gemanipuleerd om een legitiem hulpmiddel te gebruiken voor kwaadaardige doeleinden.
Dit betekent dat elke organisatie die copilots, interne agents of automatisering die verbonden zijn met echte systemen inzet, verder moet kijken dan alleen het plaatsen van een WAF. Er is een grondige revisie nodig van authenticatie, gebruikslimieten, workflowmisbruik, exposé van gevoelige data en fijnmazige controle over welke tools of acties een agent mag uitvoeren. De aanvallende druk verschuift naar de plekken waar identiteiten, logica en automatisering samenkomen.
De oncomfortabele conclusie voor 2026
Wat Akamai met haar rapport benadrukt, is een onprettige maar duidelijke conclusie: veel bedrijven beschouwen AI-beveiliging nog steeds als een apart en nieuw probleem, terwijl het grootste risico ligt op bestaande en goed bekende componenten: API’s, webapplicaties en beschikbaarheid. De verandering is dat alles nu wordt uitgebuit met meer automatisering, op grotere schaal en met grotere economische impact.
Het toepassen van uitsluitend ‘specifieke AI-oplossingen’ kan daardoor tekortschieten. Het rapport wijst juist op een andere strategie: eerst de fundamenten versterken — inventaris van activa, zichtbaarheid, authenticatie, API-beveiliging, misbruikbeperking en DDoS-resilience — voordat men denkt dat het probleem alleen met een nieuwe AI-beveiligingslaag kan worden opgelost. Aangezien API’s de technologische basis vormen van de AI-transformatie, zijn zij ook de eerste waar die transformatie breekt.
Veelgestelde vragen
Wat zegt Akamai over API’s in 2026?
Dat ze de belangrijkste aanvalsvector zijn geworden voor bedrijven die hun adoptie van AI en automatisering versnellen.
Welke cijfers vallen op uit het rapport?
Akamai benadrukt een stijging van 104 % in laag 7-DDoS-aanvallen in twee jaar, 87 % van de organisaties had in 2025 minstens één API-gerelateerd beveiligingsincident, webapplicatie-aanvallen stegen met 73 % tussen 2023 en 2025, en het dagelijkse gemiddelde van API-aanvallen steeg met 113 %.
Wat heeft dit te maken met agentgebaseerde AI?
Het rapport verbindt het probleem met de groei van autonome agents en verwijst naar het OWASP 2026-kader voor agentic applicaties, dat risico’s zoals goal hijacking, tool misuse en memory poisoning identificeert.
Wat wordt bedoeld met “vibe coding” in deze context?
Akamai gebruikt deze term om te waarschuwen dat code die met behulp van AI wordt gegenereerd, kwetsbaarheden en onveilige configuraties kan introduceren die zonder voldoende tests in productie gaan.
bron: akamai