Zero Trust voor AI-agenten is noodzakelijk, maar niet voldoende
AIAnthropic publiceerde op 27 mei 2026 een praktisch raamwerk voor het veilig inzetten van autonome AI-agenten. Het 36-pagina's tellende eBook is een van de eerste documenten die Zero Trust principes concreet toepast op agentic AI, en het is verrassend goed.
Maar voor productiegebruik in gereguleerde sectoren is het niet compleet. Het document operationaliseert klassieke Zero Trust overtuigend voor agenten, maar onderschat drie fundamentele problemen: intentieverificatie, causale controle over toolketens en de bestuurlijke beheersing van emergent gedrag. Dit artikel analyseert wat klopt, wat ontbreekt, en hoe een volwassen architectuur eruit moet zien.
De kern: vier ontwerpprincipes
Anthropic vertaalt Zero Trust naar vier praktische ontwerpprincipes. Iedere agent krijgt een afzonderlijke, cryptografisch verifieerbare identiteit. Rechten worden per taak en per actie beperkt. Agenten draaien geïsoleerd, met gecontroleerde netwerk- en tooltoegang. En iedere actie wordt gelogd, beoordeeld en zo nodig automatisch gestopt.
Daarmee verschuift de beveiliging van "mag deze applicatie bij dit systeem?" naar "mag deze specifieke agent, binnen deze specifieke taak, op dit moment, deze specifieke actie uitvoeren?" Dat sluit goed aan op NIST SP 800-207, waarin vertrouwen niet wordt afgeleid uit netwerklocatie maar telkens opnieuw wordt beoordeeld op identiteit, resource en context.
Het document voegt daar het concept least agency aan toe, een term die OWASP introduceerde. Niet alleen de toegangsrechten worden beperkt, maar ook welke tools een agent mag gebruiken, welke parameters toegestaan zijn, hoe vaak een tool mag worden aangeroepen, en hoe lang een bevoegdheid geldig blijft. Dit is een noodzakelijke uitbreiding van least privilege. Een agent met uitsluitend legitieme rechten kan immers nog steeds onveilige toolcombinaties uitvoeren.
Het threat model is realistisch
Het artikel benoemt terecht dat klassieke IAM en endpointsecurity onvoldoende zijn wanneer een agent zelfstandig doelen interpreteert, externe content verwerkt, meerdere tools combineert, taken delegeert, context over sessies bewaart, en acties uitvoert zonder menselijke goedkeuring per stap.
Anthropic identificeert onder andere directe en indirecte prompt injection, tool poisoning en MCP-manipulatie, confused deputy-aanvallen, ongecontroleerde privilege inheritance, memory poisoning, RAG poisoning, model- en dependency-supply-chainrisico's, en schadelijke tool chaining. Deze risico's sluiten goed aan op de OWASP Top 10 for Agentic Applications 2026.
De beste observatie in het document is tool chaining. Iedere afzonderlijke toolaanroep kan legitiem zijn, terwijl de combinatie schadelijk is. Een agent die klantgegevens uit een CRM leest, deze samenvat, en via een externe e-mailtool verzendt: geen enkele actie overtreedt afzonderlijk een access-controlregel. Het risico ontstaat in de compositie en volgorde van acties. Dit is precies waar traditionele RBAC en API-gateways tekortschieten.
De drie volwassenheidsniveaus
Anthropic onderscheidt Foundation, Enterprise en Advanced tiers. De Foundation-tier omvat inmiddels cryptografisch gewortelde agentidentiteiten, short-lived tokens, deny-by-default RBAC, identity-based workload isolation, sandboxing, uitgebreide logging en input/output-filtering.
Opvallend: statische API-keys worden niet meer als acceptabele baseline beschouwd. Dat is technisch verdedigbaar en een belangrijk signaal. Voor productieagenten zouden minimaal OAuth 2.0 client credentials, workload identity of SPIFFE/SPIRE-achtige identiteiten moeten worden gebruikt.
Het Enterprise-niveau voegt X.509-certificaten, mutual TLS, attribute-based access control, just-in-time privileges en semantische outputanalyse toe. Voor gereguleerde organisaties is dit feitelijk de juiste minimale doelarchitectuur. Het Advanced-niveau omvat hardwaregebonden credentials, confidential computing, remote attestation en self-healing systemen, maar voor agenten met toegang tot kritieke infrastructuur of persoonsgegevens zijn meerdere van deze "advanced" controls geen luxe, maar noodzakelijke compensatiemaatregelen.
De acht implementatiefasen
Het raamwerk bevat een bruikbare implementatievolgorde: eisen bepalen, supply-chainrisico's beheersen, agentgrenzen definiëren, prompt injection beperken, tooltoegang beveiligen, geheugen beschermen, observability inrichten, en governance borgen. Vooral fase 3 is cruciaal: organisaties moeten vóór implementatie expliciet vastleggen welke acties toegestaan zijn, welke verboden, wat escalatietriggers zijn, en wat de maximale blast radius is.
Een opdracht zoals "help klanten zo goed mogelijk" is geen bruikbare security boundary. Bruikbaar is: "de agent mag klantdossiers uit systeem X lezen en een conceptantwoord opstellen, maar mag geen gegevens wijzigen, geen bestanden uploaden en geen externe communicatie versturen zonder goedkeuring."
"Impossible, not tedious"
Anthropic introduceert een waardevolle ontwerpvraag: maakt de maatregel de aanval onmogelijk, of alleen omslachtig? Dit is een sterke correctie op schijnveiligheid. Rate limiting, extra netwerkstappen en afwijkende poorten verhogen frictie, maar vormen geen harde grens voor geautomatiseerde aanvallers met oneindig geduld. Sterkere maatregelen zijn: het netwerkpad bestaat niet, de agent bezit geen schrijfrecht, en credentials zijn hardwaregebonden. Deze benadering past bij secure-by-design: voorkom de mogelijkheid, vertrouw niet op correct modelgedrag.
Agentic SOAR: verdediging op AI-snelheid
Anthropic voorziet dat security operations zelf agentisch worden. Een triage-agent kan alerts verzamelen, context verrijken, SIEM-query's uitvoeren en een incidenttijdlijn genereren. Mensen blijven verantwoordelijk voor beslissingen met grote impact zoals containment en klantcommunicatie. Dat is de juiste scheiding. Automatisering moet vooral de evidence latency verlagen, niet bestuurlijke verantwoordelijkheid verwijderen.
Het risico is echter aanzienlijk. Een defensieve agent heeft vaak brede zichtbaarheid en ingrijpende bevoegdheden. Compromittering van een SOAR-agent kan daardoor ernstiger zijn dan compromittering van een reguliere businessagent.
De fundamentele tekortkomingen
Hier wordt het interessant. Het raamwerk is sterk, maar heeft drie structurele gaten.
Identiteit is niet hetzelfde als intentie. Het raamwerk kan bewijzen welke agent een actie uitvoerde, maar niet afdoende waarom die agent die actie uitvoert en of deze nog aansluit bij de oorspronkelijke gebruikersintentie. Een agent kan correct geauthenticeerd zijn, geldige bevoegdheden bezitten, normaal ogende API-calls uitvoeren, en toch een gemanipuleerd of afgedwaald doel nastreven. Er ontbreekt een expliciete intent control plane. Die zou moeten vastleggen: oorspronkelijke menselijke opdracht, geautoriseerd doel, toegestane subdoelen, en voorwaarden waaronder het doel opnieuw bevestigd moet worden.
Geen volwaardige causale analyse van toolketens. Het document ziet tool chaining als risico, maar de voorgestelde controls blijven transactioneel. Wat ontbreekt is een mechanisme dat een volledige actiegraph beoordeelt: gebruiksdoel → agentplan → data ophalen → transformeren → externe overdracht. De policy engine moet niet alleen vragen "mag actie X?" maar ook: welke data is eerder in de keten opgehaald, naar welk trust domain stroomt zij, en welke cumulatieve bevoegdheid ontstaat door toolcompositie? Dit vereist information-flow control, taint tracking en sequence-aware policy enforcement.
Geheugenbeveiliging is te oppervlakkig. Memory poisoning wordt genoemd, maar een volwassen memory trust model ontbreekt. Agentgeheugen moet worden behandeld als een onbetrouwbare datastore met bronherkomst, integriteitslabel, geldigheidsduur, en cryptografische hash. Beleid en secrets horen niet in hetzelfde geheugenmechanisme als conversatiesamenvattingen. Een agent mag een herinnering niet automatisch als autoritatieve instructie gebruiken.
Daarnaast is er te veel vertrouwen in gedragsbaselines, een langzame aanval kan binnen normale grenzen blijven. En compliance wordt te eenvoudig voorgesteld: Zero Trust is een security architecture, geen volledige compliance architecture. Het levert niet automatisch een geldige DPIA, doelbinding, of uitlegbaarheid onder de AI Act.
De verbeterde architectuur: zes control planes
Ik zou het Anthropic-model uitbreiden naar zes control planes:
- Identity control plane, unieke workload identity per agentinstantie, mTLS, short-lived tokens, hardware attestation voor hoog risico
- Intent control plane, ondertekend task mandate, expliciete doelomschrijving, delegatiebeperkingen, herbevestiging bij goal drift
- Action control plane, deny-by-default, parameter-level authorization, just-in-time rechten, transactielimieten, separation of duties
- Data control plane, classificatie en labeling, purpose-based access control, taint tracking, DLP, egresscontrole, RAG-bronverificatie
- Runtime control plane, container of microVM-isolatie, read-only filesystem, immutable images, signed artifacts, AI-BOM, resource- en kostengrenzen
- Assurance control plane, volledige traces, action graph logging, onafhankelijke policy decision point, continuous evaluation, kill switch
Belangrijk is dat de agent nooit rechtstreeks bij databases, SaaS-API's of cloudcontrolplanes komt. Iedere actie loopt door een deterministische policy enforcement gateway. De NSA Zero Trust Implementation Guides en Trail of Bits' executable governance bieden complementaire handvatten voor deze aanpak.
Praktische beoordeling
| Onderdeel | Score |
|---|---|
| Threat modelling | 8,5/10 |
| Identity en IAM | 9/10 |
| Tool security | 8/10 |
| Supply chain | 8/10 |
| Memory security | 6,5/10 |
| Prompt-injectionweerbaarheid | 7/10 |
| Intent alignment | 5/10 |
| Multi-agent governance | 6,5/10 |
| Compliance-uitwerking | 6/10 |
| Implementatiebruikbaarheid | 8,5/10 |
Strategische conclusie
Anthropic levert een van de betere praktische raamwerken voor agent security. Het document maakt drie noodzakelijke verschuivingen expliciet: van gebruikersidentiteit naar agent- en workloadidentiteit, van least privilege naar least agency, en van applicatieautorisatie naar autorisatie per actie.
De belangrijkste beperking is dat het raamwerk vooral bepaalt wie welke actie mag uitvoeren, maar onvoldoende bepaalt of de actie nog bij de geautoriseerde bedoeling hoort. Voor een gereguleerde enterprise is Foundation geen productiebaseline. De praktische baseline moet grotendeels overeenkomen met het Enterprise-niveau, aangevuld met intent contracts, sequence-aware authorization, data lineage en een onafhankelijke policy enforcement layer.
De formule is: Zero Trust + Zero Standing Privilege + Verifiable Intent + Controlled Data Flow + Runtime Containment.
Voor organisaties die nu agentic AI adopteren, en dat zijn er steeds meer, is dit geen theoretische exercitie. De BIO2-baseline vereist al netwerksegmentatie en access control. De EU AI Act verlangt aantoonbare cybersecurity voor hoog-risico AI-systemen. En OWASP's agentic control plane documenteert wat er misgaat als je deze controls niet implementeert.
Wie vandaag investeert in deze architectuur, heeft morgen een compliance-voorsprong. Wie wacht, gaat rennen zodra de eerste audit langskomt.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.