Deze week publiceerden drie organisaties onafhankelijk van elkaar blauwdrukken voor agentic AI-security. De NSA waarschuwde dat MCP geen security boundary is. Microsoft schetste een governance-model waarin agents behandeld worden als werknemers met identiteiten en permissies. En nu komt Anthropic met het empirische bewijs: 13.873 techniek-observaties van 832 gebande accounts, gemapt op MITRE ATT&CK v18.

De LLM ATT&CK Navigator is de meest gedetailleerde openbare dataset over AI-enabled cyberaanvallen die op dit moment bestaat. En de conclusie is messcherper dan de meeste security-teams zich realiseren:

Het onderscheid tussen een laag- en hoogrisico-aanvaller verschuift van technische expertise naar agentische orchestratie.

Niet de malware is de threat multiplier. De orchestratielaag is het.

De Navigator in cijfers

Anthropic's red team analyseerde accounts die tussen maart 2025 en maart 2026 werden geblokkeerd voor kwaadaardige cyberactiviteit. De dataset:

Metriek	Waarde
Gebande accounts	832
Techniek-observaties	13.873
Unieke ATT&CK-(sub)technieken	482
Afgedekte ATT&CK-tactieken	Alle 14
Dominante interface	Claude Code (~80%)

De data is ontsloten via een interactieve heatmap op red.anthropic.com. Analisten kunnen cellen inkleuren op vier perspectieven: gemiddelde ruwe ARiES-score, aangepaste score (gemiddelde × prevalentie), percentage gebande accounts, en relatieve verspreiding per techniek.

Dit onderscheid is belangrijk. Frequentie is niet hetzelfde als risico. Een techniek die door 70% van de accounts wordt gebruikt, kan minder schadelijk zijn dan een techniek die door 3% wordt gebruikt maar volledige netwerktoegang oplevert.

AI wordt gebruikt over de volledige aanvalsketen

De klassieke aanname, "AI helpt vooral met phishingteksten en simpele scripts", is achterhaald. De data laat AI-gebruik zien in alle 14 ATT&CK-tactieken, van reconnaissance tot impact.

De cijfers:

69% gebruikte AI voor capability development (T1587)
560 van de 832 actors gebruikten AI voor malwareontwikkeling
64,7% gebruikte AI voor obfuscation
55,9% voor het verzamelen van lokale data
54,9% voor het aantasten of omzeilen van verdediging

Maar hier wordt het interessant. De hoogste risicoscores hangen niet samen met de meest gebruikte technieken. Ze hangen samen met post-compromise gedrag:

Actors die AI voor lateral movement gebruikten, hadden een gemiddelde ARiES-score van 56,4, bijna tien punten boven het populatiegemiddelde van 46,8.

Lateral movement bleek de sterkste afzonderlijke indicator van hoogrisicogedrag. Credential dumping, remote services, valid accounts, web shells, allemaal post-compromise technieken die met AI-ondersteuning significant gevaarlijker worden.

De SOC-conclusie is glashelder: detecteer niet alleen wat een agent genereert, detecteer wanneer een agent van voorbereiding naar live omgevingsinteractie overgaat. Een gegenereerd PowerShell-script kan legitiem zijn. Een agent die vervolgens credentials valideert, hosts ontdekt, SSH-sleutels ophaalt en lateraal beweegt, dat is een aanval.

De GTG-1002 campagne: scaffolding als wapen

Anthropic beschrijft een campagne waarin Claude Code op Kali Linux draaide, gekoppeld aan penetratietesttools via MCP. De architectuur:

Autonome taakdecompositie
Gespecialiseerde subagents
MCP-toolservers voor netwerkscanning en exploitatie
Persistent attack state
Faseovergangen (recon → initial access → lateral movement → exfiltratie)
Aggregatie van resultaten
Live pivoting op basis van target-feedback
Menselijke controle alleen bij consequential actions

De aanvaller gaf strategische doelstellingen. De agent voerde tactische stappen uit, interpreteerde resultaten, selecteerde vervolgacties, en verbond aanvalsstadia aan elkaar.

Dit is het patroon dat de hele week centraal staat: losse taken kunnen afzonderlijk legitiem lijken, terwijl de externe orchestrator het kwaadaardige doel, de globale state en de aanvalsketen beheert.

De componenten die deze aanval gevaarlijk maakten:

Human intent
    + LLM reasoning
    + Persistent state
    + Tool execution
    + Credential context
    + Autonomous phase transitions
    + Feedback from the target environment

Geen van deze componenten is op zichzelf kwaadaardig. De combinatie is het.

ARiES: een nieuwe risicometric, met beperkingen

ARiES (AI Risk Enablement Score, 0-100) is Anthropic's antwoord op "hoe meet je AI-enabled cyberrisico?" De score telt drie componenten op:

Component	Maximum	Wat het meet
Threat	35	Intentie, sophistication, evasion
Vulnerability	35	Mate waarin model en interface schade mogelijk maken
Impact	30	Werkelijke of potentiële gevolgen

Anthropic kiest bewust voor optelling in plaats van de klassieke formule Threat × Vulnerability × Impact. Daardoor blijft een signaal zichtbaar wanneer één dimensie nog onbekend is. Dat is sterk als triagemodel, maar het betekent ook dat ARiES geen kansmodel is.

Een score van 80 betekent niet 80% kans op een succesvolle aanval. Het is een prioriteringsscore, vergelijkbaar met FMEA of suspiciousness-scoring, niet met kwantitatieve risicoanalyse.

De beperkingen zijn reëel. De dataset bevat alleen gedetecteerde en geblokkeerde Anthropic-accounts. Aanvallers die niet gedetecteerd werden, lokale modellen gebruikten, of via andere providers opereerden, ontbreken. De 69% "gebruikte AI voor malwareontwikkeling" moet gelezen worden als "69% van deze geselecteerde, geblokkeerde en voldoende gedocumenteerde Anthropic-accounts."

Daarnaast is Claude Code goed voor ~80% van de observaties, deels door daadwerkelijk aanvallersgebruik, deels door Anthropic's eigen productportfolio en logging-mogelijkheden. De interface-bias is onvermijdelijk maar reëel.

De fundamentele zwakte: request-level safety

De belangrijkste architectonische les uit de Navigator is deze:

Een detector die iedere prompt geïsoleerd beoordeelt, mist de intentie die ontstaat over meerdere acties, agents, sessies en tools.

Een agent kan door duizenden afzonderlijk acceptabele verzoeken een kwaadaardige workflow vormen. De controle moet plaatsvinden op:

Sessieniveau, wat gebeurt er over de hele interactie?
Actor-niveau, wie is de operator, wat is zijn patroon?
Tool-call-niveau, welke tools worden aangeroepen en in welke volgorde?
Resource-niveau, tegen welke systemen, met welke credentials?
Sequence-niveau, is er een patroon van escalatie?

Dit is precies waar onze analyse van de NSA MCP-security guidance en Microsofts agent governance-model samenkomen. De NSA zei: MCP is geen security boundary. Microsoft zei: behandel agents als werknemers. Anthropic levert nu het empirische bewijs waarom.

Technische expertise is niet langer de beste indicator

Misschien wel de meest onthutsende bevinding: de correlatie tussen traditionele technische sophistication en risico was slechts r = 0,28. Ook de breedte van gebruikte ATT&CK-technieken correleerde zwak met risico (r = 0,27).

Dat ondermijnt klassieke threat-intelligence-aannames:

Veel TTP's ≠ hoog risico
Weinig TTP's ≠ laag risico
Een eenvoudige operator kan een geavanceerde execution harness gebruiken
Orchestration logic is belangrijker dan modelcapaciteit

Dit is het cloud-native aanvalspatroon, maar dan met AI: de individuele API-calls zijn legitiem, maar de combinatie, volgorde, identiteit, timing en context maken de aanval zichtbaar. Alleen vraagt het nu om sequence-aware detectie in plaats van signature-based detectie.

Wat ontbreekt in MITRE ATT&CK

ATT&CK modelleert wat een aanvaller uitvoert. Het modelleert niet:

Wie een vervolgstap kiest
Hoeveel autonomie aanwezig is
Hoe state wordt vastgehouden
Hoe subagents samenwerken
Wanneer een agent zelfstandig pivoteert
Of menselijke goedkeuring vereist was

De juiste uitbreiding is niet meer technieken toevoegen, maar een cross-cutting agentic overlay:

Dimensie	Beschrijving
Autonomous task decomposition	Model splitst doel zelfstandig op
Dynamic tool selection	Agent kiest tools zonder directe instructie
Stateful campaign memory	Agent bewaart doelen, credentials, resultaten
Autonomous pivoting	Agent past tactiek aan op live resultaten
Multi-agent delegation	Orchestrator delegeert aan subagents
Guardrail decomposition	Schadelijk doel opgebroken in benign ogende taken
Human-on-the-loop	Mens bepaalt doel, agent voert autonoom uit

De essentie: dit zijn geen technieken. Het zijn execution properties van een campagne. Een volwassen model combineert ATT&CK-techniek + actor-intent + agent-autonomie + execution-topologie op vier assen.

Defensieve implicaties

De Navigator levert geen nieuw aanvalstype op. Het levert een nieuw verdedigingsparadigma.

1. Prompt filtering is niet genoeg

De verdediging moet verschuiven van "wat zegt het model?" naar:

Welke tool wordt aangeroepen?
Met welke identiteit?
Tegen welke resource?
Op basis van welke voorafgaande observatie?
Met welk verwacht side effect?
Onder welke approval policy?

2. Identity wordt het belangrijkste control plane

Een autonome agent zonder credentials is adviserend. Een agent met SSH-sleutels, cloudtokens, Kubernetes service accounts, CI/CD-secrets en MCP-credentials is een operationele principal.

Daarom: iedere agent moet een eigen workload identity hebben, met minimale privileges, korte token lifetimes, audience restriction, en per-tool autorisatie. Geen hergebruik van menselijke credentials.

3. Memory is zowel asset als attack surface

Persistent agent-geheugen kan campaign continuity mogelijk maken, credential persistence, target profiling, poisoned instructions, cross-session attack planning. RushDB's "geen schema"-paradigma is hier direct relevant: zonder write-governance wordt agent-memory een persistentie-mechanisme voor aanvallers.

Implicaties voor defensieve agent-architectuur

De componenten die Anthropic beschrijft in aanvallende zin, taakdecompositie, MCP-tools, persistent geheugen, autonome faseovergangen, zijn exact dezelfde componenten die defensieve agent-architecturen gebruiken. Het verschil zit in de governance-laag.

Een defensieve architectuur die bestand is tegen agentic misuse vereist:

Sequence-aware policy engine. Beoordeel niet alleen de huidige actie, maar de hele trajectory: docker inspect → read environment variables → locate secrets → connect to adjacent container → enumerate service accounts, alle acties kunnen afzonderlijk legitiem zijn, de sequentie is verdacht.
Capability-level kill switches. Niet alleen een globale stopknop, maar per capability: network scanning, credential access, secret reading, remote execution, lateral connectivity, exfiltration, container mutation, IAM mutation, CI/CD changes, persistence creation.
Tool-chain causality graph. Leg niet alleen losse tool-calls vast, maar de causale keten: prompt → plan → subtask → tool → observation → memory write → decision → next tool → side effect.
Autonomous pivot detection. Detecteer wanneer een agent zelfstandig een nieuw target kiest, credentials hergebruikt tegen andere systemen, van discovery naar mutation overgaat, of scope uitbreidt zonder expliciete opdracht.

Dit is de overgang van action governance naar campaign-level agent governance. Niet "is deze actie toegestaan?" maar "blijft de zich ontwikkelende agent-trajectory als geheel legitiem, begrensd en menselijk gecontroleerd?"

Scorekaart

Dimensie	Score
Strategische relevantie	9/10
Empirische waarde	8/10
Methodologische transparantie	6/10
Directe bruikbaarheid voor SOC-detectie	7/10
Bruikbaarheid voor agent-governance	9/10
Volwassenheid als risicomodel	6/10

Conclusie

Anthropic heeft deze week niet alleen een dataset gepubliceerd. Ze hebben het empirische fundament gelegd onder het governance-narratief dat de NSA en Microsoft theoretisch schetsten.

De echte systeemverschuiving is niet dat modellen betere malware schrijven. De verschuiving is dat modellen state behouden, tools bedienen, resultaten interpreteren, rollen delegeren, tactische pivots uitvoeren, en aanvalsstadia verbinden, op schaal, zonder continue menselijke tussenkomst.

Voor verdedigers betekent dit dat klassieke contentmoderatie, promptfilters en losse ATT&CK-detecties niet langer volstaan. De verdedigingsarchitectuur moet ontworpen worden rond zes pijlers: Identity + State + Sequence + Autonomy + Tool Authority + Causal Traceability.

De vijf artikelen die we deze week publiceerden vormen samen één architectonisch raamwerk. De NSA identificeerde het gat. Microsoft leverde de governance-blauwdruk. Odysseus toonde de marktrealiteit. RushDB waarschuwde voor memory-governance. En Anthropic levert nu het empirische bewijs dat agentic orchestration, niet betere malware, de echte threat multiplier is.

Dit artikel is gebaseerd op de LLM ATT&CK Navigator (red.anthropic.com), de bijbehorende blogpost "Mapping AI-Enabled Cyber Threats", en de GTG-1002 campaign PDF. Lees ook onze analyses van de NSA MCP-security guidance, Microsofts agent governance-model, Odysseus' governance-vacuüm, en RushDB's memory-governance uitdaging.

Het onderscheid tussen een laag- en hoogrisico-aanvaller verschuift van technische expertise naar agentische orchestratie.

Niet de malware is de threat multiplier. De orchestratielaag is het.

De Navigator in cijfers

Anthropic's red team analyseerde accounts die tussen maart 2025 en maart 2026 werden geblokkeerd voor kwaadaardige cyberactiviteit. De dataset:

Metriek	Waarde
Gebande accounts	832
Techniek-observaties	13.873
Unieke ATT&CK-(sub)technieken	482
Afgedekte ATT&CK-tactieken	Alle 14
Dominante interface	Claude Code (~80%)

AI wordt gebruikt over de volledige aanvalsketen

De klassieke aanname, "AI helpt vooral met phishingteksten en simpele scripts", is achterhaald. De data laat AI-gebruik zien in alle 14 ATT&CK-tactieken, van reconnaissance tot impact.

De cijfers:

69% gebruikte AI voor capability development (T1587)
560 van de 832 actors gebruikten AI voor malwareontwikkeling
64,7% gebruikte AI voor obfuscation
55,9% voor het verzamelen van lokale data
54,9% voor het aantasten of omzeilen van verdediging

Maar hier wordt het interessant. De hoogste risicoscores hangen niet samen met de meest gebruikte technieken. Ze hangen samen met post-compromise gedrag:

Actors die AI voor lateral movement gebruikten, hadden een gemiddelde ARiES-score van 56,4, bijna tien punten boven het populatiegemiddelde van 46,8.

De GTG-1002 campagne: scaffolding als wapen

Anthropic beschrijft een campagne waarin Claude Code op Kali Linux draaide, gekoppeld aan penetratietesttools via MCP. De architectuur:

Autonome taakdecompositie
Gespecialiseerde subagents
MCP-toolservers voor netwerkscanning en exploitatie
Persistent attack state
Faseovergangen (recon → initial access → lateral movement → exfiltratie)
Aggregatie van resultaten
Live pivoting op basis van target-feedback
Menselijke controle alleen bij consequential actions

De aanvaller gaf strategische doelstellingen. De agent voerde tactische stappen uit, interpreteerde resultaten, selecteerde vervolgacties, en verbond aanvalsstadia aan elkaar.

De componenten die deze aanval gevaarlijk maakten:

Human intent
    + LLM reasoning
    + Persistent state
    + Tool execution
    + Credential context
    + Autonomous phase transitions
    + Feedback from the target environment

Geen van deze componenten is op zichzelf kwaadaardig. De combinatie is het.

ARiES: een nieuwe risicometric, met beperkingen

ARiES (AI Risk Enablement Score, 0-100) is Anthropic's antwoord op "hoe meet je AI-enabled cyberrisico?" De score telt drie componenten op:

Component	Maximum	Wat het meet
Threat	35	Intentie, sophistication, evasion
Vulnerability	35	Mate waarin model en interface schade mogelijk maken
Impact	30	Werkelijke of potentiële gevolgen

Een score van 80 betekent niet 80% kans op een succesvolle aanval. Het is een prioriteringsscore, vergelijkbaar met FMEA of suspiciousness-scoring, niet met kwantitatieve risicoanalyse.

De fundamentele zwakte: request-level safety

De belangrijkste architectonische les uit de Navigator is deze:

Een detector die iedere prompt geïsoleerd beoordeelt, mist de intentie die ontstaat over meerdere acties, agents, sessies en tools.

Een agent kan door duizenden afzonderlijk acceptabele verzoeken een kwaadaardige workflow vormen. De controle moet plaatsvinden op:

Sessieniveau, wat gebeurt er over de hele interactie?
Actor-niveau, wie is de operator, wat is zijn patroon?
Tool-call-niveau, welke tools worden aangeroepen en in welke volgorde?
Resource-niveau, tegen welke systemen, met welke credentials?
Sequence-niveau, is er een patroon van escalatie?

Technische expertise is niet langer de beste indicator

Dat ondermijnt klassieke threat-intelligence-aannames:

Veel TTP's ≠ hoog risico
Weinig TTP's ≠ laag risico
Een eenvoudige operator kan een geavanceerde execution harness gebruiken
Orchestration logic is belangrijker dan modelcapaciteit

Wat ontbreekt in MITRE ATT&CK

ATT&CK modelleert wat een aanvaller uitvoert. Het modelleert niet:

Wie een vervolgstap kiest
Hoeveel autonomie aanwezig is
Hoe state wordt vastgehouden
Hoe subagents samenwerken
Wanneer een agent zelfstandig pivoteert
Of menselijke goedkeuring vereist was

De juiste uitbreiding is niet meer technieken toevoegen, maar een cross-cutting agentic overlay:

Dimensie	Beschrijving
Autonomous task decomposition	Model splitst doel zelfstandig op
Dynamic tool selection	Agent kiest tools zonder directe instructie
Stateful campaign memory	Agent bewaart doelen, credentials, resultaten
Autonomous pivoting	Agent past tactiek aan op live resultaten
Multi-agent delegation	Orchestrator delegeert aan subagents
Guardrail decomposition	Schadelijk doel opgebroken in benign ogende taken
Human-on-the-loop	Mens bepaalt doel, agent voert autonoom uit

Defensieve implicaties

De Navigator levert geen nieuw aanvalstype op. Het levert een nieuw verdedigingsparadigma.

1. Prompt filtering is niet genoeg

De verdediging moet verschuiven van "wat zegt het model?" naar:

Welke tool wordt aangeroepen?
Met welke identiteit?
Tegen welke resource?
Op basis van welke voorafgaande observatie?
Met welk verwacht side effect?
Onder welke approval policy?

2. Identity wordt het belangrijkste control plane

Een autonome agent zonder credentials is adviserend. Een agent met SSH-sleutels, cloudtokens, Kubernetes service accounts, CI/CD-secrets en MCP-credentials is een operationele principal.

3. Memory is zowel asset als attack surface

Implicaties voor defensieve agent-architectuur

Een defensieve architectuur die bestand is tegen agentic misuse vereist:

Sequence-aware policy engine. Beoordeel niet alleen de huidige actie, maar de hele trajectory: docker inspect → read environment variables → locate secrets → connect to adjacent container → enumerate service accounts, alle acties kunnen afzonderlijk legitiem zijn, de sequentie is verdacht.
Capability-level kill switches. Niet alleen een globale stopknop, maar per capability: network scanning, credential access, secret reading, remote execution, lateral connectivity, exfiltration, container mutation, IAM mutation, CI/CD changes, persistence creation.
Tool-chain causality graph. Leg niet alleen losse tool-calls vast, maar de causale keten: prompt → plan → subtask → tool → observation → memory write → decision → next tool → side effect.
Autonomous pivot detection. Detecteer wanneer een agent zelfstandig een nieuw target kiest, credentials hergebruikt tegen andere systemen, van discovery naar mutation overgaat, of scope uitbreidt zonder expliciete opdracht.

Scorekaart

Dimensie	Score
Strategische relevantie	9/10
Empirische waarde	8/10
Methodologische transparantie	6/10
Directe bruikbaarheid voor SOC-detectie	7/10
Bruikbaarheid voor agent-governance	9/10
Volwassenheid als risicomodel	6/10

Conclusie

Anthropic heeft deze week niet alleen een dataset gepubliceerd. Ze hebben het empirische fundament gelegd onder het governance-narratief dat de NSA en Microsoft theoretisch schetsten.

Anthropic's LLM ATT&CK Navigator: Niet de Malware, Maar de Orchestratie is de Nieuwe Threat Multiplier

De Navigator in cijfers

AI wordt gebruikt over de volledige aanvalsketen

De GTG-1002 campagne: scaffolding als wapen

ARiES: een nieuwe risicometric, met beperkingen

De fundamentele zwakte: request-level safety

Technische expertise is niet langer de beste indicator

Wat ontbreekt in MITRE ATT&CK

Defensieve implicaties

1. Prompt filtering is niet genoeg

2. Identity wordt het belangrijkste control plane

3. Memory is zowel asset als attack surface

Implicaties voor defensieve agent-architectuur

Scorekaart

Conclusie

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

Oracle Poisoning: Hoe 3 Nodes in 42 Miljoen Jouw AI Agent Laten Geloof Dat SQL Injection Gefixt Is

Zero Trust voor AI-agenten is noodzakelijk, maar niet voldoende

Anthropic publiceert Zero Trust blauwdruk voor AI-agents. Dit is wat er nog ontbreekt.

Anthropic's LLM ATT&CK Navigator: Niet de Malware, Maar de Orchestratie is de Nieuwe Threat Multiplier

De Navigator in cijfers

AI wordt gebruikt over de volledige aanvalsketen

De GTG-1002 campagne: scaffolding als wapen

ARiES: een nieuwe risicometric, met beperkingen

De fundamentele zwakte: request-level safety

Technische expertise is niet langer de beste indicator

Wat ontbreekt in MITRE ATT&CK

Defensieve implicaties

1. Prompt filtering is niet genoeg

2. Identity wordt het belangrijkste control plane

3. Memory is zowel asset als attack surface

Implicaties voor defensieve agent-architectuur

Scorekaart

Conclusie

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

Oracle Poisoning: Hoe 3 Nodes in 42 Miljoen Jouw AI Agent Laten Geloof Dat SQL Injection Gefixt Is

Zero Trust voor AI-agenten is noodzakelijk, maar niet voldoende

Anthropic publiceert Zero Trust blauwdruk voor AI-agents. Dit is wat er nog ontbreekt.