Runtime Governance voor AI Agents — De 5-Plane Architectuur die de Enterprise Stack Aanvult
AITwee dagen geleden analyseerden we Google's SDLC-whitepaper en signaleerden we een governance-lacune: negen ontbrekende controls voor agentic engineering in gereguleerde omgevingen. Vandaag ligt er een paper dat die lacune vult, niet met een product, maar met een reference architecture die de enterprise security stack herdefinieert voor het tijdperk van handelende AI agents.
Krti Tallam's "A Five-Plane Reference Architecture for Runtime Governance of Production AI Agents" (arXiv:2606.12320, 10 juni 2026, 65 pagina's) is het meest complete architectuurdocument voor agentic governance dat ik tot nu toe heb gelezen. Het is geen productaankondiging, geen vendor-whitepaper, en geen academische exercitie zonder implementatie, het bevat een reference implementation van de policy-engine core met microbenchmarks. De auteur is verbonden aan kamiwaza.ai, een AI-infrastructuur startup, maar het paper is academisch van toon en de architectuur is voldoende generiek en formeel gespecificeerd om vendor-onafhankelijk te zijn.
Dit is mijn analyse: wat het paper oplost, hoe de architectuur werkt, wat de sterke punten zijn, wat ontbreekt, en hoe je dit vertaalt naar een enterprise operating model voor de Nederlandse gereguleerde markt.
Wat het paper probeert op te lossen
De centrale observatie is scherp en fundamenteel: klassieke enterprise security is gebouwd rond datagrenzen. Data at rest, data in transit, IAM, DLP, perimetercontrole, allemaal controls die het overschrijden van een grens bewaken. Production AI agents lossen deze aanname op.
Een agent leest context uit CRM, haalt documenten op, roept tools aan, stuurt berichten, modificeert records. Elke individuele actie is toegestaan, maar de compositie van die acties kan een bedrijfsresultaat opleveren dat niemand heeft geautoriseerd. Het risico verschuift van "data die een grens overschrijdt" naar "actie genomen onder gedelegeerde autoriteit."
Het paper bekritiseert bestaande policy engines (RBAC, ABAC, Rego, Cedar, OPA) op vijf structurele punten:
- Request-gebaseerd, niet plan-aware. Ze evalueren één request per keer, niet een plan, een intentie, of een actiesequentie.
- Atomic principal, geen delegatieketen. "Wie handelt?" is één identity, niet een chain van gebruiker → agent → sub-agent → tool.
- Absolute autoriteit, geen attenuatie. Permissies zijn statisch, niet afnemend per delegatiestap.
- Stateless. Geen session-state, geen accumulated context, geen "je hebt al X gedaan, dus Y mag niet."
- Allow/deny only. Geen pause, escalate, narrow, redirect, het vocabulaire is binair waar agent-governance een spectrum vereist.
Dit sluit aan op breder onderzoek. Een verwant paper uit maart 2026 stelt eveneens dat agentgedrag path-dependent is, en dat prompting en statische access control onvoldoende zijn omdat overtredingen vaak eigenschappen zijn van actiesequenties, niet van individuele acties. De OWASP Top 10 for LLM Applications 2025 beschrijft excessive agency (LLM06) als risico waarbij LLM-systemen te veel functionaliteit, permissies of autonomie krijgen, exact het probleem dat dit paper architectonisch adresseert.
De 5-plane reference architecture
De kern is een architectuur die één adjudicatiepunt combineert met vier enforcement planes. Dit is de structurele innovatie: niet elke plane zijn eigen policy engine, maar één reasoning plane die beslist, en vier planes die parallel realiseren.
| Plane | Functie | Realisatie in de enterprise |
|---|---|---|
| Reasoning | Adjudiceert intent tegen composite principal, plan, session state, en policy | Policy decision point (OPA, Cedar, custom engine) |
| Network | Realiseert netwerk-segmentatie, mTLS, egress control | Service mesh, API gateway, firewall |
| Identity | Realiseert short-lived credentials, token exchange, delegation binding | OIDC/OAuth2, token exchange (RFC 8693), workload identity |
| Endpoint | Realiseert posture verificatie, sandboxing, attestatie | Device management, container runtime security |
| Data | Realiseert classificatie, pre-retrieval filtering, row-level security | DLP, ABAC, data classification, RAG pre-retrieval gates |
De decision projection is het contract tussen reasoning en enforcement. De reasoning plane produceert een gestructureerde D(a) = ⟨P_net, P_id, P_ep, P_data⟩, één beslissing, parallel gerealiseerd op vier planes. Dit is fundamenteel anders dan federated enforcement, waar elke plane zijn eigen policy engine, ownership model, en audit pipeline heeft, en waar een enkele agent-actie vier onafhankelijke, potentieel tegenstrijdige beslissingen produceert.
Het paper toont aan dat drie prior reference architectures degenerate cases zijn van de 5-plane compositie: BeyondCorp is 2-plane (identity + endpoint), service mesh is single-plane (network), en stateless authorization (Rego/Cedar) is reasoning-adjacent maar per-request, atomic principal, zonder session state. De 5-plane architectuur vervangt ze niet, het componeert ze, en vult het gat dat elk van hen laat: de afwezigheid van een reasoning plane die intent adjudiceert.
Stop-anywhere mediation: 7 punten, 6 primitieven
Een van de sterkste conceptuele bijdragen is stop-anywhere mediation. De reasoning plane is niet alleen aanwezig vóór tool execution, hij is aanwezig op zeven punten in de agent execution pipeline:
| MP | Punt | Wat er gebeurt |
|---|---|---|
| MP1 | Plan formation | Agent vormt intentie → reasoning plane evalueert plan tegen composite principal |
| MP2 | Context retrieval | Agent haalt data op → data plane filtert vóór de agent het ziet |
| MP3 | Tool selection | Agent kiest tool → check tegen attenuated capability set |
| MP4 | Argument generation | Agent construeert tool-argumenten → validatie tegen data classificatie |
| MP5 | Action commit | Agent vuurt tool call → laatste check vóór executie |
| MP6 | Output return | Agent ontvangt resultaat → check of output policy schendt |
| MP7 | Audit emission | Evidence record wordt sealed → cryptografische binding |
De meeste agent-frameworks controleren alleen op MP5 (vóór tool execution). Maar risico ontstaat ook bij context retrieval (MP2, adversarial content in retrieved data), argument construction (MP4, verkeerde parameters), output return (MP6, exfiltratie via resultaat), en audit sealing (MP7, onvolledige of manipuleerbare logging).
Zes interruption primitives generaliseren allow/deny naar een rijker vocabulaire:
| Primitief | Type | Werking |
|---|---|---|
| Pause | Synchroon | Suspendeert executie tot conditie resolvet |
| Escalate | Asynchroon | Routeert naar human approver bij risk threshold overschrijding |
| Narrow | Synchroon | Laat agent doorgaan met geattenueerde capability set |
| Modify | Synchroon | Past tool-parameters aan naar veiliger alternatief |
| Defer | Asynchroon | Stelt actie uit tot aanvullende context beschikbaar is |
| Rollback | Synchroon | Draait voorgaande acties in de sessie terug |
Pause en Escalate zijn de innovaties. Pause laat de governance-laag een agent suspend mid-execution tot een conditie resolvet, bijvoorbeeld tot een parallelle re-evaluatie tegen de laatste composite principal state klaar is. Escalate routeert naar een human approver wanneer het plan een risk threshold overschrijdt. Dit zijn primitieven die geen enkel bestaand authorization systeem kent, en die essentieel zijn voor gereguleerde omgevingen waar "de AI beslist autonoom" geen acceptabel antwoord is.
Composite principals: autoriteit als keten, niet als record
Dit is het formele hart van het paper, en het concept met de grootste enterprise-impact.
Een composite principal is een ordered sequence Π = ⟨π₀, π₁, ..., πₙ⟩. Elke πᵢ bestaat uit een principal identifier, een capability set op het moment van delegatie, een delegatie-timestamp, en een time-to-live. De effectieve autoriteit van de handelende agent is de intersectie van alle capability sets in de keten, geattenueerd bij elke stap, time-bounded, en cryptografisch gebonden.
Drie eigenschappen maken dit architectonisch krachtig:
- Autoriteit kan alleen afnemen. Bij elke delegatiestap geldt Kᵢ₊₁ ⊆ Kᵢ. Een downstream agent kan nooit méér kunnen dan de upstream principal. Dit is formeel bewijsbaar (Claim 4 in het paper).
- De keten is cryptografisch gebonden. Elke delegatiestap is gesigned, de chain is tamper-evident. Een auditor kan verifiëren dat de composite principal niet is gemanipuleerd.
- Session-state predicates. De reasoning plane kan evalueren tegen accumulated session state, niet alleen "mag principal X actie Y?" maar "mag principal X actie Y gegeven dat in deze sessie al actie Z is uitgevoerd?"
In enterprise-termen betekent dit: geen generieke agent-service-accounts, geen statische API keys, geen onbeperkte connector scopes. In plaats daarvan: short-lived, purpose-bound, delegation-bound tokens. OAuth 2.0 Token Exchange (RFC 8693) is hier een logisch bouwblok, het beschrijft expliciet security token exchange voor impersonation en delegation.
Voor OIDC/OAuth-implementaties vertaalt dit naar: agent identity + user delegation + task scope + policy context. Elk tool request krijgt een nieuwe, geattenueerde capability. De identity plane authenticeert niet alleen, hij dwingt delegatieketens, TTL's, audience, purpose, step-up requirements en revocation af.
Dit raakt direct aan onze eerdere analyses van Zero Trust voor AI agents en de OWASP agentic control plane. Het composite principal model is de formele onderbouwing voor wat we daar architectonisch schetsten.
Audit als evidence, niet als logging
Dit is het deel dat direct BIO2- en NIS2-compliance raakt, en het is een van de scherpste secties in het paper.
Principle 1 (Audit as Evidence): Audit is niet logging met een compliance-tag. Audit is structured emission of evidence for adjudication. Vier architectonische consequenties:
- Structured by contract, elk evidence record draagt hetzelfde schema, queryable, machine-analyzable
- Complete by construction, de reasoning plane produceert één evidence record per decision; elke enforcement plane annoteert met realization status. Completeness is een architectuureigenschap, niet een developer-discipline
- Tamper-evident, cryptografisch gebonden; een auditor kan verifiëren dat een record niet is gewijzigd sinds emissie
- Reconstructible under partial information, een auditor met toegang tot slechts een subset van evidence kan nog steeds soundly bounden wat het systeem deed
Het evidence record schema bevat: correlation ID, timestamp, composite principal (volledige chain), effective capability set, action descriptor, resources touched, policy clauses invoked, decision (welke interruption primitief), per-plane realization status, en cryptographic binding.
Voor een NIS2-auditor is dit een direct auditeerbaar artefact. De vraag "wat deed de agent, onder wiens autoriteit, tegen welke data, onder welk beleid, met welke uitkomst?" is beantwoordbaar, niet via losse log streams die een developer toevallig heeft geëmitteerd, maar via een gestructureerd evidence record dat compleet is door constructie. Dit is het antwoord op T6 (audit opacity) dat we signaleerden in onze agentic security survey.
Zeven dreigingen, zeven antwoorden
Het paper enumereert zeven productie-agent dreigingen en toont hoe de architectuur ze forecloset:
| Dreiging | Mechanisme | Architecture's antwoord |
|---|---|---|
| T1 Indirect prompt injection | Adversarial content in retrieved data manipuleert agent's plan | MP1 (plan evaluation) + MP2 (pre-retrieval filtering) |
| T2 Tool chain abuse | Individueel permitted calls → composite exfiltration | MP1 (plan-as-whole) + session-state predicates |
| T3 Connector overreach | Coarse-grained OAuth scopes > taakrechtvaardiging | MP3 (tool selection tegen attenuated capability set) |
| T4 Approval evasion | Agent omzeilt human approval door taak te herformuleren | MP1 + Escalate primitief + composite principal attenuatie |
| T5 Delegation chain exploitation | Agent handelt buiten gedelegeerde autoriteit | Composite principal model + MP7 (delegation mediation) |
| T6 Audit opacity | Logs ongestructureerd, incompleet, niet tamper-evident | Audit substrate, structured, complete, tamper-evident |
| T7 Workflow integrity loss | Agent-acties corrumperen bedrijfsproces zonder detectie | MP5 + MP6 + evidence reconstructability |
Dit is een goede dreigingsset omdat hij niet stopt bij prompt injection, maar ook identity, delegation, audit en business-process integrity meeneemt. De architectuur is vooral sterk tegen OWASP LLM01 (Prompt Injection) en LLM06 (Excessive Agency), niet omdat het prompt injection "oplost", maar omdat het de schade beperkt: een geïnjecteerde instructie kan nog steeds het model beïnvloeden, maar de agent kan niet buiten zijn actuele, geattenueerde capability set handelen. Dit is het capability-based defense-patroon dat we eerder analyseerden in onze memory poisoning post.
Governance-relevantie: NIST, EU AI Act, BIO2, NIS2
Het paper mapt op vrijwel elk relevant governance framework:
NIST AI RMF: Govern (rollen, delegatie, policy authority expliciteren), Map (agent actions, tools, dataflows modelleren), Measure (runtime evidence verzamelen), Manage (policies op execution paths afdwingen). NIST AI 600-1 richt zich specifiek op generatieve AI-risico's, de audit substrate van het paper is een technische realisatie van de Measure-functie.
NIST CSF 2.0: Govern, Protect, Detect. CSF 2.0 is expliciet verbreed naar alle organisaties en voegt Govern toe als kernfunctie, met extra nadruk op governance en supply chains. De audit substrate is sterk voor Detect en Respond, mits evidence records voldoende gestandaardiseerd, cryptografisch gebonden en SIEM/SOAR-integreerbaar zijn.
EU AI Act: Voor high-risk AI-systemen vereist de AI Act lifecycle risk management, human oversight, documentatie en logging. Het paper biedt een technische vertaling van deze governance-eisen naar runtime controls, de Escalate primitief is een directe implementatie van human oversight, en het evidence record schema is een directe implementatie van de logging-vereisten.
BIO2/NIS2: BIO2 eist beheersmaatregelen voor geautomatiseerde besluitvorming en gedelegeerde toegang. De composite principal + audit substrate geven een technisch antwoord. NIS2 vereist accountability voor geautomatiseerde acties, het evidence record schema is een NIS2-audit-ready artefact.
Beperkingen en zwakke plekken
Het paper is eerlijk over zijn grenzen, en ik voeg er een paar aan toe.
Scope: delegated action, niet model behavior. Het paper governet wat een agent doet, niet wat een agent denkt. Hallucinatie, bias, model alignment, epistemische betrouwbaarheid, vallen buiten scope. Dit is een bewuste boundary, maar voor gereguleerde omgevingen is het een significante: je kunt voorkomen dat een agent ongeautoriseerde acties uitvoert, maar niet garanderen dat de agent correct redeneert.
Evaluatie: policy-engine core, niet full-system. De arXiv-abstract claimt single-digit microsecond adjudication, correcte attenuation en reconstructable evidence, maar de full-system evaluation tegen een live agent benchmark is expliciet "the invited next step." Performance onder echte agent-runtime condities, tool failures, latency, distributed state, race conditions, human approval latency, adversarial multi-agent flows, is nog niet bewezen.
Centrale reasoning = single point of governance failure. Het model werkt elegant als alle enforcement planes consistent dezelfde decision projection realiseren. Enterprise-realiteit is rommelig: meerdere IdP's, SaaS-connectors, legacy-systemen, shadow agents, async workflows, human approvals, batch jobs, en data copies buiten de primaire control plane.
Evidence ≠ juridisch bewijs. "Tamper-evident" is niet hetzelfde als "complete", "privacy-safe", "explainable" of "auditor-ready." In gereguleerde sectoren moet je ook dataminimalisatie, retentie, lawful basis, privileged access, export controls, geheimhouding en chain-of-custody regelen.
Policy language is de bottleneck. De architectuur vereist een policy language met composite-principal evaluation, attenuation directives, zes interruption primitives, session-state predicates, en per-plane projection. De requirements zijn gespecificeerd; de language is niet ontworpen. Zonder concrete policy language blijft de architectuur een blauwdruk.
MP1 is de zwakste schakel. Plan formation is het meest waardevolle mediation point, en het punt dat huidige agent runtimes het minst exposen. Zonder MP1 is de architectuur gereduceerd tot per-call authorization, precies wat het paper bekritiseert.
Wat ik zou toevoegen: het operating model
Het paper levert de architectuur, maar niet het operating model. Voor een production-ready implementatie in een gereguleerde omgeving zijn minimaal nodig:
Policy lifecycle governance. Policy-as-code, peer review, test suites, change approval, rollback, exception handling. De policy store die het paper beschrijft is versioned, maar versioning zonder review-proces is configuratiebeheer, geen governance.
Agent inventory en capability registry. Gekoppeld aan owners, business purpose, data classes, tools, connectors, en risk tier. Je kunt geen composite principals bouwen als je niet weet welke agents er überhaupt bestaan.
Red-team en adversarial testing. Specifiek op indirect prompt injection, connector overreach, tool misuse, approval evasion, en delegation abuse. De architectuur claimt foreclosure, maar claims moeten getest worden.
Human oversight design. Niet alleen "human in the loop", maar duidelijke criteria voor wanneer escalatie nodig is, welke context de reviewer krijgt, welke autoriteit de reviewer heeft, en hoe rubber-stamping wordt voorkomen. De Escalate primitief is een mechanisme, het operating model maakt het een control.
Kill-switch en blast-radius controls. Session termination, token revocation, connector disablement, compensation workflow, incident response playbooks. De architectuur kan acties blokkeren, maar wat gebeurt er als een agent al 200 acties heeft uitgevoerd voordat de governance-laag ingrijpt?
Privacy by design. Dataminimalisatie in evidence records, pseudonimisering waar mogelijk, doelbinding, bewaartermijnen, DPIA-koppeling. Het evidence record bevat composite principals, dat zijn persoonsgegevens onder de AVG.
Implementatieroadmap
Voor een enterprise pilot in de Nederlandse gereguleerde markt:
Fase 1, Inventory en threat model. Breng alle agenten, tools, connectors, service accounts, data classes en write-capabilities in kaart. Prioriteer agents die kunnen mailen, tickets wijzigen, bestanden aanpassen, code uitvoeren, betalingen initiëren, HR-data verwerken of klantdata exporteren.
Fase 2, Capability model. Vervang brede service accounts door task-scoped capabilities. Modelleer delegatie expliciet: wie vraagt de taak, welke agent handelt, welke tool voert uit, welke data mag worden gebruikt, wat is de TTL, en welke downstream actie is toegestaan.
Fase 3, Runtime mediation. Begin niet met alle zeven mediation points. Start met MP2 (context retrieval), MP3 (tool selection), MP4 (argument generation) en MP5 (action commit). Dat levert snelle risicoreductie zonder de hele agent-runtime te herontwerpen.
Fase 4, Evidence en assurance. Maak elk besluit replayable: input context hash, policy version, delegation chain, capability set, selected primitive, enforcement result, audit seal. Koppel aan SIEM, GRC, model risk management en incident response.
Bestuurlijke implicatie
Voor CISO, CIO en Chief AI Officer is de kernboodschap: agents moeten niet worden bestuurd als applicaties met permissies, maar als gedelegeerde actoren met contextafhankelijke bevoegdheden. Dat betekent dat IAM, API-security, data governance, AI governance en audit dichter bij elkaar moeten komen, niet als aparte domeinen met eigen teams en eigen tools, maar als geïntegreerde control plane.
De grootste fout zou zijn om agent-governance te reduceren tot prompt policies of model guardrails. Het paper maakt terecht duidelijk dat productiecontrole buiten het model moet liggen, op het punt waar intent wordt omgezet in actie. Dit is exact de governance-laag die Google's SDLC-whitepaper miste, en die we gisteren signaleerden.
Eindbeoordeling
Sterk paper, hoog strategisch nut, maar nog geen bewezen referentie-implementatie voor enterprise-scale productie. De beste toepassing is als architectuurprincipeset voor agent runtime governance: complete mediation, delegated identity, least privilege by construction, action-level evidence, en fail-closed enforcement.
De vier primitieven, 5-plane decomposition, stop-anywhere mediation, composite principals, audit substrate, vormen samen het meest complete governance-model voor productie-agents dat ik ken. Het paper is de reference architecture die de agentic security survey van 247 papers niet kon leveren, en de formele onderbouwing voor de OWASP agentic control plane die we eerder schetsten.
Mijn aanbeveling: gebruik dit als target architecture voor high-impact agent deployments, maar eis vóór productie een eigen control validation pack: threat model, policy tests, red-team resultaten, latencymetingen, evidence replay, privacy review, incident drills, en integratie met bestaande IAM, DLP, SIEM en GRC.
Het paper is de blauwdruk. Het operating model moet je zelf bouwen.
Gebaseerd op: Krti Tallam (2026). "A Five-Plane Reference Architecture for Runtime Governance of Production AI Agents" (PDF). arXiv:2606.12320 [cs.AI]. 65 pagina's, 3 figuren, 5 tabellen. Reference architecture met reference implementation van de policy-engine core en microbenchmarks; full-system evaluation tegen een live agent benchmark is de invited next step.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.