Van prompt filter naar control plane

25 mei 2026. OWASP publiceert de AIUC-1 Crosswalk voor de Top 10 Agentic Applications. Twee dagen later is het nog stil in Nederland. Dat gaat veranderen, want dit document verschuift het gesprek over AI-security fundamenteel: van "controleer wat het model zegt" naar "beheers wat de agent doet."

De shift: van LLM-output naar autonome systeemketens

De OWASP Top 10 for Agentic Applications (december 2025) was al een wake-up call. Voor het eerst werden de specifieke dreigingen van handelende AI-systemen benoemd: goal hijacking, tool misuse, memory poisoning, cascading failures, rogue agents. Geen theoretische randgevallen — operationele risico's voor iedere organisatie die agents in productie heeft.

De AIUC-1 crosswalk gaat een stap verder. Het document mapt AIUC-1 — een security-, safety- en reliability-standaard voor AI-agenten — bidirectioneel op de OWASP Agentic Top 10. De conclusie is ongemakkelijk: AIUC-1 dekt governance, safety en datacontroles goed af, maar mist harde runtime-, identity-, tool-, supply-chain- en containment-controls die essentieel zijn voor agentic systemen.

Met andere woorden: de meeste AI-standaarden zijn geschreven voor systemen die antwoorden geven. Agents handelen. Dat is een fundamenteel ander beveiligingsprobleem.

De methodologie: Primary, Secondary, en acht controlefuncties

Wat deze crosswalk bruikbaar maakt voor governance, is de mapping-methodologie. OWASP classificeert elke relatie tussen AIUC-1 requirement en ASI-dreiging op twee dimensies:

Relevantieniveau:

Primary — de requirement adresseert direct het kernrisico van de dreiging
Secondary — de requirement adresseert een gerelateerd gevolg of biedt ondersteunende controle

Acht controlefuncties:

| Functie | Betekenis | Agentic voorbeeld | |---------|-----------|-------------------| | PREV | Prevent | Input sanitization blokkeert goal injection | | SCOPE | Constrain Scope | Least-privilege tool permissions | | GATE | Human Gate | Confirm-before-act voor high-risk tools | | DETECT | Detect and Trace | Anomaliedetectie op tool-call patronen | | VALID | Validate and Test | Red-teaming tegen ASI-dreigingen | | GOVERN | Policy and Governance | AIUC-1 zelf, BIO2, AI Act | | ISOLATE | Isolate and Contain | Network allowlist per agent | | DISCLOSE | Disclose and Calibrate | Confidence scores communiceren |

Deze taxonomie maakt de crosswalk tot een brug tussen risk management, architectuurreview, audit evidence en DevSecOps-controls. Je kunt per ASI-dreiging beoordelen: heb ik preventie? Heb ik detectie? Heb ik een human gate? Of vertrouw ik blind op één controlfunctie?

OWASP waarschuwt expliciet: een Primary mapping betekent relevantie, geen sufficiëntie. Een AIUC-1 requirement die als Primary is gemapt, dekt het risico niet volledig. Organisaties moeten implementatiediepte, testdekking en operationele volwassenheid per requirement evalueren. Gebruik dit document als control-crosswalk, niet als bewijs dat je agentic stack secure-by-design is.

B006: de valkuil van "agent authorization"

De scherpste observatie in het document zit in AIUC-1 requirement B006: "prevent unauthorized AI agent actions." Deze requirement wordt breed gekoppeld aan goal hijack, tool misuse, identity abuse, code execution, inter-agent communication, rogue agents, memory poisoning en cascading failures. Dat klinkt dekkend — maar OWASP waarschuwt dat B006 verschillende controlefuncties samenklontert:

Scope enforcement
Tool-use restriction
Privilege control
Inter-agent constraints
Runtime containment

De les: behandel "agent authorization" nooit als één checkbox. Het is een control plane met aparte beleidslagen. Als je B006 implementeert als één rule engine, heb je technisch voldaan aan de requirement en praktisch een onveilige architectuur gebouwd. Agent authorization vereist gelaagd beleid: per tool, per privilege, per agent, per context, per tijdsvenster.

De acht gaps: waar AIUC-1 faalt voor agents

Het meest waardevolle deel van het document is de gap-analyse. OWASP identificeert acht gebieden waar AIUC-1 nieuwe of uitgebreide requirements nodig heeft:

Gap 1: Inter-agent communication security

AIUC-1 mist een dedicated requirement voor agent-to-agent beveiliging. OWASP noemt mutual authentication, message integrity, replay protection, signed agent cards en attested registries als kerncontrols voor multi-agent systemen. Voor organisaties met agentketens — orchestrator-architecturen, MCP-servers, A2A-protocollen — is dit direct relevant: iedere agent moet een identiteit, bevoegdheden, trust zone en toegestane communicatiepartners hebben.

Gap 2: Agent identity attestation and containment

AIUC-1 mist harde requirements voor per-agent cryptografische identiteit, signed behavioral manifests, kill switches, credential revocation, trust zones en reintegration checks. Dit raakt aan rogue agents, privilege escalation, autonomie-escalatie en self-modifying agent risks. In een volwassen architectuur hoort dit buiten de LLM — in een policy enforcement point, niet in een system prompt.

Gap 3: Agentic supply chain attestation

OWASP benoemt signed manifests, SBOMs, AIBOMs, prompt provenance, content-hash pinning, staged rollout en differential testing. AIUC-1 heeft vendor due diligence en change approval, maar mist agent-specifieke attestation artifacts zoals tool manifests, prompt version control en agent dependency bills of materials. Prompts, skills, MCP servers, tools, models, embeddings, policies en agent manifests moeten allemaal versioned, signed, tested en traceable zijn.

Gap 4: Cascading failure containment

AIUC-1 heeft failure response plans en output validation, maar mist containment-architectuur: circuit breakers, blast-radius caps, planner-executor isolation, quotas, progress caps, digital-twin replay testing en onafhankelijke policy enforcement. Voor enterprise-agenten is dit belangrijker dan klassieke prompt filtering, omdat fouten zich kunnen verspreiden via tools, workflows, API's, tickets, CI/CD en andere agents.

Gap 5: Agent tool-use infrastructure controls

B006 beperkt agentautonomie, maar dekt niet goed genoeg het risico van misbehaving tools. OWASP noemt unieke toolregistratie, capability mapping, tool authentication, tool authorization en logging van tool calls. Voor MCP-servergebruik betekent dit: een tool moet een geregistreerde identiteit, schema, toegestane scopes, rate limits, approval policy en audit trail hebben — niet alleen "beschikbaar" zijn.

Gap 6: Runtime agent security monitoring

AIUC-1 kijkt vooral naar deployment environment security, maar mist monitoring binnen de agent runtime zelf: malicious models, malicious container images, unauthorized network calls, remote code execution, payload downloads en privilege escalation buiten containergrenzen. Concreet: je hebt eBPF/runtime security, outbound allowlisting, container policy, tool-call tracing, model-behavior telemetry en anomaly detection nodig — niet alleen pre-deployment checks.

Gap 7: Resource and cost abuse controls

OWASP benoemt AI service entitlement protection: alleen geautoriseerde identities, devices en contexts mogen AI-services consumeren. Zonder dit kunnen aanvallers kosten opdrijven via API call inflation, token escalation, client impersonation of DoS. Budget guardrails, token quotas, tenant caps, retry-loop detection, abnormal usage alerts en kill switches horen in de AI gateway-laag — niet pas in de facturatie.

Gap 8: Input/output schema controls and determinism

AIUC-1 heeft databeleid voor input en output, maar geen expliciete schema-controls aan de agent-model boundary. OWASP koppelt dit aan het "principle of most determinism": waar mogelijk moet je agentgedrag beperken via gestructureerde input, JSON schema's, allowlisted actions, deterministic validators en constrained decoding. Dit reduceert de attack surface voor goal hijack en memory poisoning fundamenteel.

De architectuurles: een Agentic Security Control Plane

De acht gaps vertellen samen één verhaal: agentic AI security is een systeemarchitectuurprobleem, geen modelkeuzeprobleem. Klassieke AI-governance, privacy en safety-controls zijn noodzakelijk maar onvoldoende. De echte risicolaag zit in identiteit, autorisatie, toolgebruik, runtimegedrag, memory, inter-agent communicatie en supply chain.

Voor organisaties die agents in productie hebben of plannen, vertaalt dit zich naar een Agentic Security Control Plane met acht verplichte lagen:

| Laag | Controls | OWASP Gap | |------|----------|-----------| | 1. Agent Identity | Cryptografische agent-ID's, signed manifests, trust zones, per-agent RBAC/ABAC | Gap 2 | | 2. Tool Governance | Tool registry, MCP-server attestation, schema validation, OAuth2/OIDC scopes, short-lived tokens, tool-call audit | Gap 5 | | 3. Runtime Containment | Sandboxing, egress control, container isolation, kill switches, circuit breakers, blast-radius caps | Gap 4 | | 4. Memory Governance | Tenant isolation, memory signing, memory TTL, poisoning detection, provenance on embeddings en retrieved context | Gap 8 | | 5. Planner-Executor Separation | Planner zonder directe write-access, executor met policy enforcement, approval gates voor high-impact actions | Gap 4 | | 6. Supply Chain Integrity | SBOM, AIBOM, prompt BOM, model provenance, skill provenance, signed releases, staged rollout | Gap 3 | | 7. Telemetry & Cost Control | Token budgets, retry-loop detection, abnormal usage monitoring, per-agent cost attribution | Gap 7 | | 8. Human Accountability | Decision logs, approval records, incident ownership, immutable audit trails, transparency notices | Gap 6 |

Prioritering: waar begin je?

De crosswalk is een maturity-instrument, geen implementatie-handleiding. Voor organisaties die nu agents in productie hebben — of dat overwegen — is dit de implementatievolgorde:

Asset inventory. Inventariseer alle agents, tools, MCP servers, API scopes, credentials, memory stores en model endpoints. Zonder asset inventory is geen enkele crosswalk betrouwbaar.
Agent/tool registry. Bouw een registry met identity, owner, purpose, allowed tools, allowed data, allowed environments, risk level en kill-switch status per agent en tool.
OAuth2/OIDC token lifecycle. Dwing short-lived tokens af voor toolgebruik, met least privilege scopes, audience restrictions, refresh-token minimalisatie en revocation.
Policy-as-code. Introduceer beleid rond tool calls: "read-only by default", "write requires approval", "production requires signed action token", "external network requires allowlist."
Red-teaming. Voer red-teaming en regression testing uit rond alle 10 OWASP ASI-categorieën: goal hijack, tool misuse, identity abuse, supply chain compromise, code execution, memory poisoning, insecure inter-agent comms, cascading failure, trust exploitation en rogue agents.

Wat dit betekent voor de Nederlandse overheid

Voor organisaties die onder BIO2, NIS2, of de EU AI Act vallen, is deze crosswalk meer dan een referentiedocument — het is compliance evidence in wording. De 8 gaps corresponderen met:

BIO2: functiescheiding (Gap 5), logging en monitoring (Gap 6), supply chain (Gap 3)
NIS2/Cyberbeveiligingswet: runtime security monitoring (Gap 6), inter-system communication (Gap 1)
EU AI Act Art. 14 (menselijk toezicht): Human Accountability laag (Gap 6)
EU AI Act Art. 10 (data governance): Memory Governance (Gap 8), Input/Output schema controls (Gap 8)
NORA AP-08 (continuïteit): Cascading failure containment (Gap 4)

Vooruitlopend op de AI Act deadline van 2 augustus 2026 is dit document een blauwdruk voor wat een agentic conformity assessment moet bevatten — verder dan wat de huidige standaard templates bieden.

De OWASP AIUC-1 crosswalk markeert het einde van een tijdperk. Prompt injection filters, output validators, content guardrails — het zijn model-level controls in een wereld die system-level dreigingen kent. Een agent is geen chatbot met tools. Het is een semi-autonome execution environment die je moet beheren als een combinatie van gebruiker, applicatie, integratieplatform en supply-chain consumer.

De architectuurregel die hieruit volgt is helder:

Geen agent handelt uitsluitend op basis van model reasoning. Elke betekenisvolle actie passeert een onafhankelijke control plane: identiteit geverifieerd, privileges gevalideerd, tool gesigned, scope beperkt, budget bewaakt, en audit trail intact.

Dat is geen prompt engineering. Dat is systeemarchitectuur. En het is precies waar de OWASP crosswalk ons naartoe stuurt.

De OWASP AIUC-1 Crosswalk is beschikbaar onder CC BY-SA 4.0 op genai.owasp.org. De OWASP Top 10 for Agentic Applications (december 2025) en aanverwante ASI-publicaties bieden verdere technische diepgang.