Te veel weten is een risico: waarom AI-agents een safety kernel nodig hebben

Laatst zat ik met een team van een zorginstelling om tafel. Ze hadden een briljant idee: een AI-agent die patiëntgegevens ophaalt, samenvat en doorstuurt naar de juiste behandelaar. Tot iemand vroeg: “En als die agent nou per ongeluk het hele dossier van de buurvrouw meestuurt?” Stilte. Want dat is precies het probleem met de huidige generatie AI-agents. Ze krijgen toegang tot veel meer data dan strikt noodzakelijk is. We vertrouwen erop dat ze zich netjes gedragen. Dat is geen compliance. Dat is wensdenken.

De paper Agents That Know Too Much: Privacy in LLM Agents (arXiv:2606.26627) legt de vinger op de zere plek. LLM-agents worden steeds vaker ingezet om taken uit te voeren namens gebruikers. Ze versturen e-mails, bevragen databases, roepen API’s aan. Maar de manier waarop ze nu met data omgaan, is fundamenteel onveilig. Een agent krijgt vaak een volledige context mee. Alle eerdere interacties, documenten, systeemstatussen. Hij bepaalt zelf welke actie hij onderneemt. Dat is vragen om problemen. De onderzoekers tonen aan dat een agent met toegang tot een medisch dossier niet alleen de gevraagde labuitslag kan ophalen. Hij kan ook gevoelige informatie lekken. Denk aan behandelingen, medicatie of familiegeschiedenis. Puur omdat die data in zijn contextvenster zit.

Wat hier interessant is: het team achter de paper bouwde een safety kernel in Rust. Die lost het probleem niet op met betere prompts of filters die hopelijk werken. Het is een architectonische scheiding. De kernel draait in een apart proces. Volledig geïsoleerd van de LLM. Elke actie die de agent wil uitvoeren, een API-aanroep, een databasequery, een e-mail, wordt onderschept vóórdat die wordt uitgevoerd. De kernel controleert of de actie voldoet aan vooraf gedefinieerde autorisatieregels. Alles wat niet expliciet is toegestaan, wordt geblokkeerd. Fail-closed, niet fail-open. Geen actie is de default.

Dat klinkt als een klassiek operating-system principe. En dat is het ook. Maar het toepassen op LLM-agents is nieuw. De kernel is geïmplementeerd in Rust. Een taal die geheugenveiligheid garandeert zonder garbage collector. De onderzoekers hebben de correctheid van hun autorisatielogica formeel bewezen met SMT (Satisfiability Modulo Theories) theorem checking. Vervolgens hebben ze 6.240 autorisatie-round-trips uitgevoerd. Elke keer een actieverzoek, een controle, een beslissing. Zonder een enkele bypass. Dat is geen marketingpraatje. Dat is wiskunde.

De relevantie voor de Nederlandse publieke sector is direct. Denk aan de AVG. Artikel 25 verplicht tot privacy by design en by default. Een agent die standaard toegang heeft tot meer data dan strikt noodzakelijk, is per definitie niet compliant. De AI Act, die in augustus 2026 van kracht wordt, classificeert veel agent-toepassingen als hoog-risico. Zeker in de zorg, bij de overheid en in de financiële sector. NIS2 verplicht essentiële en belangrijke entiteiten tot passende technische en organisatorische maatregelen. En de Baseline Informatiebeveiliging Overheid (BIO2) eist dat informatiesystemen zo worden ingericht dat gebruikers alleen toegang hebben tot data die ze nodig hebben voor hun taak. Een LLM-agent is in die context niets anders dan een gebruiker. Maar dan één die niet begrijpt wat privacy betekent.

De paper laat zien dat je een agent kunt bouwen die wél compliant is. De safety kernel werkt met een pre-action enforcement model. Voordat een actie wordt uitgevoerd, wordt gecontroleerd of de agent geautoriseerd is om die specifieke data te zien of die handeling te verrichten. De kernel heeft geen toegang tot de LLM zelf. Alleen tot de acties die de LLM wil uitvoeren. Dat is een cruciaal ontwerpprincipe. De kernel is een onafhankelijke bewaker. Geen onderdeel van het model. Zo voorkom je dat een slimme prompt de beveiliging omzeilt.

Wat me opviel in de paper is de eenvoud van het concept. De kernel definieert een set regels in een domeinspecifieke taal. Een regel kan bijvoorbeeld zeggen: “Alleen een arts mag toegang hebben tot labuitslagen van patiënten in zijn regio.” De kernel evalueert elk actieverzoek tegen die regels. Als de actie niet past, wordt die geblokkeerd. De LLM merkt daar niets van. Hij blijft denken dat hij alles mag. Maar de kernel houdt hem tegen. Stil, zonder uitleg, zonder foutmelding die de gebruiker verder irriteert.

De implementatie is open source. Je kunt de code vinden op GitHub. Ze hebben ook een demo opgezet. Daarin zie je hoe een agent zonder kernel per ongeluk gevoelige data lekt. En hoe dezelfde agent met kernel geen enkele fout maakt. Zelfs niet onder druk. Zelfs niet met lastige prompts.

Voor teams die met AI-agents werken in de publieke sector, is dit een must-read. Niet alleen vanwege de technische oplossing. Maar ook vanwege de mindset. We moeten stoppen met denken in “kan de agent dit wel?” en beginnen met “mag de agent dit ook?” Compliance is geen feature. Het is een fundamentele eis. En als we dat niet serieus nemen, dan bouwen we niet de toekomst. Dan herhalen we dezelfde fouten. Alleen sneller. En met betere interface.