Jouw AI-agent deelt straks burgergegevens met de verkeerde afdeling - en je merkt het niet
Vorige week zat ik bij een middelgrote gemeente. Ze bouwen een AI-agent die inwoners helpt met het aanvragen van bijstand, parkeervergunningen en afvalpasjes. Eén agent, meerdere domeinen. Handig, want de agent onthoudt context tussen gesprekken en schakelt slim met backendsystemen. Tot iemand vroeg: “Wat als de agent straks gegevens van de ene burger gebruikt in een antwoord aan een andere burger?”
De projectleider keek even naar de CISO. De CISO haalde zijn schouders op. “Onze DPIA zegt dat het kan. We pseudonimiseren de logs en gebruiken aparte vectorstores per domein.”
Dat klopt niet.
Een nieuwe paper van onderzoekers aan Princeton en UC Berkeley laat zien waarom. Ze introduceerden de Token-Flow Firewall, een runtime auditmechanisme voor persistente AI-agents. Hun conclusie: gedeelde agentinfrastructuur lekt data via semantische zijkanalen die geen enkele bestaande privacytest vangt. [1]
Het lek dat je niet ziet aankomen
De meeste privacytoetsen voor AI kijken naar het model zelf. Kan iemand trainingsdata extraheren? Worden persoonsgegevens gegenereerd? Prima vragen, maar ze missen de dynamiek van een agent die over tijd heen met meerdere gebruikers praat.
Neem die gemeente. Dezelfde LLM-agent handelt vragen af van burger A (bijstand) en burger B (parkeervergunning). De agent heeft een gedeeld contextvenster, een gedeelde tool-call geschiedenis, en misschien een gedeelde retrieval-augmented generation (RAG) database. De DPIA stelt dat er geen directe datalekken zijn, omdat queries per domein worden gefilterd.
De onderzoekers laten zien dat dit niet genoeg is. Ze bouwden een testopstelling met een persistente agent die meerdere gebruikerssessies tegelijk bedient. De agent gebruikt een gedeeld contextvenster van 128k tokens. Gebruikers uit verschillende domeinen stellen vragen. De agent beantwoordt ze correct, zonder expliciete cross-domein data te tonen.
Maar dan injecteren ze een schijnbaar onschuldige prompt bij gebruiker A: “Vat de belangrijkste punten uit eerdere gesprekken samen.” De agent haalt informatie op uit het gedeelde contextvenster. Die samenvatting bevat flarden van gebruiker B’s medische gegevens. Geen directe toegang, geen query op de verkeerde database. Gewoon een semantisch lek via gedeeld geheugen.
Waarom je DPIA hier niets over zegt
Een Data Protection Impact Assessment (DPIA) onder de AVG toetst op basis van contextuele integriteit: worden gegevens gebruikt binnen het doel waarvoor ze verzameld zijn? Het probleem is dat contextuele integriteit uitgaat van gescheiden informatiestromen. Bij een persistente AI-agent die meerdere gebruikers bedient, vervagen die grenzen. De agent bewaart een interne representatie van alle interacties. Die representatie is niet per domein afgeschermd.
De paper introduceert een nieuw begrip: cross-user semantic leakage. Het is geen datalek in de klassieke zin. Er wordt geen database gekopieerd. Er is geen ongeautoriseerde API-call. Het is een inferentieprobleem: de agent gebruikt semantische verbanden uit het ene domein om antwoorden in een ander domein te genereren. Bestaande privacybenchmarks zoals ConfidentialQA of PrivBench vangen dit niet. Ze testen statische scenario’s, geen persistente multi-user agents.
Wat de Token-Flow Firewall doet
De onderzoekers stellen een runtime auditing-laag voor die tussen de agent en het LLM zit. De firewall analyseert de token flow: de stroom van tokens die het model in- en uitgaan. Het systeem bouwt een dynamische graaf van semantische afhankelijkheden. Als een output-token een hoge attentie heeft op input-tokens uit een ander gebruikersdomein, triggert dat een alarm.
Concreet: de firewall kent aan elke gebruiker een domein-ID toe. Tijdens inferentie labelt het alle tokens met hun herkomst. Bij het genereren van een antwoord controleert het of de output-tokens te sterk leunen op tokens uit een ander domein. De paper definieert een leakage score op basis van cosine si
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.