De website die gebruikers dagelijks zien, bestaat niet langer voornamelijk uit mensen die surfen, het nieuws lezen, online winkelen of diensten raadplegen. Volgens het Thales Bad Bot Report 2026 was in 2025 maar liefst 53% van het webverkeer wereldwijd afkomstig van bots, tegenover 47% van mensen. Deze cijfers bevestigen een fundamentele verandering: internet is geëvolueerd tot een plek waar automatisering een grotere rol speelt dan menselijke activiteit.
De meest zorgwekkende vaststelling is niet alleen de groei van bots, maar vooral het soort bots dat zich beweegt. Van het totale webverkeer bestond 40% uit kwaadaardige bots en 13% uit benigne automatisering, zoals zoekmotor crawlers, monitoringtools of legitieme crawlers. Met andere woorden: de meerderheid van het geautomatiseerde verkeer bestaat uit bots die content kunnen raspen, inloggegevens kunnen testen, API’s kunnen misbruiken, diensten kunnen overbelasten of bedrijfsprocessen kunnen manipuleren.
AI versnelt het probleem van bots
AI heeft niet de bots uitgevonden, maar verscherpt wel hun schaal en gedrag. Thales merkt op dat AI-gestuurde bot-aanvallen in 2025 met een factor 12,5 zijn toegenomen, met een gemiddelde van 2 miljoen geblockeerde verzoeken per dag dat steeg naar 25 miljoen. In het hele jaar heeft het bedrijf 17,2 biljoen geautomatiseerde verzoeken geblokkeerd.
Het meest opvallende is dat moderne bots adaptiever worden. Ze kunnen fingerprints aanpassen, interactietijden wijzigen, navigatiemodellen veranderen en kort na een mitigatie nieuwe probes uitvoeren. Dit maakt traditionele verdedigingen zoals IP-blokkades, user-agent filtering of eenvoudige snelheidslimieten steeds minder effectief.
Daarnaast introduceert het rapport een derde categorie van geautomatiseerd verkeer: AI-agenten. Tot nu toe onderscheidde men vooral tussen ‘goede’ bots, zoals zoekcrawlers, en ‘slechte’ bots, zoals scrapers, scalpers of credential stuffing tools. AI-agenten brengen hier verandering in omdat ze in de naam van een gebruiker toegang kunnen krijgen tot websites of API’s, informatie kunnen ophalen, taken kunnen uitvoeren en workflows kunnen voltooien. Ze zijn niet altijd kwaadaardig, maar kunnen niet als normaal menselijk verkeer worden behandeld.
Deze vage grens vraagt om een gewijzigde aanpak. Het gaat niet meer alleen om of een verzoek van een mens of een machine komt. Belangrijker is wat de automatisering doet, hoe vaak, op welk endpoint en welke impact dat heeft op het bedrijf.
| Indicatie uit Thales 2026 rapport | Voornaamste gegevens |
|---|---|
| Webverkeer van bots | 53 % |
| Webverkeer van mensen | 47 % |
| Totaal verkeer van kwaadaardige bots | 40 % |
| Totaal verkeer van benigne bots | 13 % |
| Bot-verzoeken geblokkeerd door Thales in 2025 | 17,2 biljoen |
| Groei van AI-gestuurde bot-aanvallen | 12,5 keer |
| Aanvallen op API’s | 27 % |
| Aanvallen op financiële diensten | 24 % |
| Account Takeover bij financiële diensten | 46 % |
APIs en identiteit worden het nieuwe front
Een van de belangrijkste veranderingen vindt plaats bij API’s. Thales schat dat inmiddels 27% van de bot-aanvallen direct op deze toegangspunten gericht is. Een logische evolutie, omdat moderne applicaties afhankelijk zijn van API’s voor authenticatie, prijsweergave, winkelwagens, betalingsverwerking, beschikbaarheidscontrole of data-uitwisseling met mobiele apps.
Voor geautomatiseerde aanvallers is de API vaak aantrekkelijker dan de visuele interface. Ze hoeven niet ‘te navigeren’ zoals een mens, maar kunnen goed geformuleerde verzoeken sturen, geldige inloggegevens gebruiken en de logica van het dienst exploiteren met machine-achtige snelheid. Het technische verkeer lijkt niet altijd kwaadaardig, omdat veel verzoeken correct zijn. Het misbruik wordt zichtbaar door volume, herhaling, intentie of context.
Het rapport noemt drie veelvoorkomende bedreigingen voor API’s: datalekken, misbruik van bedrijfslogica en technische aanvallen zoals remote code execution of bestandinrichting. In de praktijk betekent dit massaal scrapen, automatisch prijzen vergelijken, manipulatie van promoties, aanvallen op login-formulieren, testen van inloggegevens en het uittesten van aankoop- of reserveringsprocessen.
Account Takeover blijft één van de meest schadelijke vormen van cyberaanvallen. Bots proberen hierbij vaak gebruikersnaam-wachtwoordcombinaties te gebruiken die uit andere diensten bekend zijn, of maken hergebruik van inloggegevens. Ze richten zich op authenticatie-API’s. Zelfs met meerfactor-authenticatie blijven veel bedrijven kwetsbaar als ze geen gedragspatronen, verdachte sessies, plotselinge geografische verschuivingen of abnormaal gebruik van identiteit-API’s monitoren.
De financiële sector is het meest getroffen. Volgens Thales was 24% van alle bot-aanvallen gericht op die sector en nam Account Takeover bij hen 46% van de incidenten uit. De drijfveer is duidelijk: financiële accounts hebben directe waarde voor fraude, identiteitsdiefstal en snelle monetaire winst. In Europa kunnen dergelijke incidenten bovendien leiden tot naleving van regels zoals GDPR, DORA, NIS2 of PSD2, vooral als het om persoonlijke data, operationele continuïteit of essentiële diensten gaat.
Digitale media onder druk
Het probleem van bots raakt niet alleen banken, webwinkels of luchtvaartmaatschappijen. Ook media en contentwebsites worden geconfronteerd met toenemende druk van AI-crawlers en real-time data retrieval systemen.
Akamai publiceerde in april 2026 een rapport dat zich richtte op de uitgeverijsector waarin werd aangegeven dat de activiteit van AI-bots in 2025 met 300% was gestegen. Binnen het bot-verkeer van AI vertegenwoordigde media 13%, en uitgeverijen vormden 40% van die activiteit. De impact is niet alleen technischer aard: volgens Akamai leidde AI-chatbots in het vierde kwartaal van 2024 tot circa 96% minder referral-verkeer dan traditionele Google-zoekopdrachten.
Dit schaadt de economische balans van het internet. Jarenlang regelden zoekmachines het crawlen en indexeren van content, en brachten verkeer naar websites. Door generatieve AI kunnen antwoorden nu direct worden gegeven zonder dat de gebruiker de bron hoeft te bezoeken. Voor digitale media betekent dit hogere technische kosten, meer contentverbruik door machines en minder inkomsten uit advertenties, abonnementen of merkwaarden.
Cloudflare noemt dit fenomeen een ‘gaten’ tussen crawling en verkeer terugkoppeling. Volgens hun data was tegen medio 2025 ongeveer 80% van de AI-bot activiteit gericht op training. Ze presenteerden ook ideeën zoals Pay Per Crawl, een beta-systeem waarmee contenteigenaren kunnen kiezen of ze crawlers willen toestaan, blokkeren of belonen voor toegang.
Een oplossing voor het onderliggende probleem is dat nog niet. Het betalen voor crawlers vereist betrouwbare identificatie, commerciële afspraken en een technisch kader dat door grote AI-platforms wordt geaccepteerd. Ondertussen hebben kleine en middelgrote websites vaak slechts twee ontevredenstellende opties: toegeven aan onbegrensd crawlen zonder duidelijke terugkoppeling of agressief blokkeren met het risico dat ze minder zichtbaar worden.
Wat moeten bedrijven doen?
De verdediging tegen bots mag niet meer beperkt blijven tot het installeren van een Web Application Firewall en logs checken bij verkeerspieken. Het Thales-rapport pleit voor een andere aanpak: van reactieve bescherming naar governance van automatisering.
Dat betekent bepalen welke AI-agenten toegang krijgen, welke crawlers geblokkeerd moeten worden, welke endpoints gesloten blijven voor automatische systemen en welke limieten er gelden voor API’s, login- en checkout-processen, interne zoekmachines of formulieren. Niet alle bots zijn slecht, maar alle geautomatiseerde verkeer moet worden herkend, gemeten en gecontroleerd.
Ook moeten bedrijfslogica en kritieke processen beschermd worden. In retail kan een bot bijvoorbeeld producten zonder te kopen toevoegen om valse schaarste te creëren. In reizen kan het worden gebruikt om prijzen en beschikbaarheid massaal te controleren en zo de zoek- en reserveringsratio’s te verstoren. In de financiële sector kunnen bots credentials testen, inlogproces misbruiken of API’s voor authenticatie aanvallen.
De oppervlakkige signalen volstaan niet meer. Veel bots bootsen legitieme browsers na, gebruiken proxy’s, draaien JavaScript en simuleren menselijk gedrag. Thales meldt dat Chrome in 2025 de meest geïmiteerde browser was door kwaadaardige bots, met 41% van het traffic dat zich voordoet als Chrome. Detectie vereist behavioral analysis, sessie-consistentie, reputatiescores en continue patroonbewaking.
Het resultaat is duidelijk: geautomatiseerd verkeer is niet meer weg te denken uit het internet. Het verdwijnt niet. Organisaties moeten leren onderscheid maken tussen nuttige automatisering en misbruik, API’s beschermen als kritische infrastructuur, en bepalen welke rol AI-agenten in hun diensten krijgen.
Voor gebruikers zal deze verandering bijna onzichtbaar zijn, tenzij er problemen ontstaan: trage websites, onbeschikbare producten, geblokkeerde accounts, constante CAPTCHA’s of media die niet meer publiceren omdat hun content wordt gebruikt zonder voldoende terugkoppeling. Voor bedrijven is de boodschap dringender: het internet bestaat bijna volledig uit machine-communicatie, en beveiliging moet zich daarop aanpassen.
Veelgestelde vragen
Hoe groot is het aandeel van bots in het webverkeer?
Volgens het Thales Bad Bot Report 2026 was in 2025 53% van het wereldwijde webverkeer afkomstig van bots, tegenover 47% van mensen.
Zijn alle bots kwaadaardig?
Nee. Het rapport onderscheidt kwaadaardige bots, die 40% van het verkeer uitmaken, van benigne bots, die 13% vormen. Toch komt kwaadaardig geautomatiseerd verkeer het meeste voor.
Hoe verbetert AI het probleem?
AI maakt bots adaptiever: ze kunnen gedrag wijzigen, menselijke patronen imiteren, controls omzeilen en hun aanvallen aanpassen als ze worden geblokkeerd.
Welke sectoren zijn het meest getroffen?
De financiële sector heeft de meeste aanvalssituaties en bijna de helft van Account Takeover-incidenten. Ook retail, reizen, media, technologie en telecom zijn bijzonder kwetsbaar.