36% van de AI-agentservers is hackbaar, en niemand kijkt
Iedereen heeft het over AI-agents als de volgende grote productiviteitssprong. Bedrijven racen om ze in te zetten voor klantenservice, inkoop, softwareontwikkeling, onderzoek. De belofte klinkt onweerstaanbaar: autonome software die voor je denkt, beslist en handelt.
Wat vrijwel niemand benoemt, is de infrastructuur waarop die agents draaien. En die infrastructuur vertoont serieuze scheuren.
36,7% van de MCP-servers is kwetsbaar
Het Model Context Protocol (MCP) is het bindweefsel tussen AI-agents en hun gereedschappen. Het geeft agents toegang tot bestanden, databases, API’s en code-uitvoering. Beveiligingsonderzoekers van Equixly scanden meer dan 7.000 MCP-servers en ontdekten dat 36,7% kwetsbaar was voor server-side request forgery (SSRF): een aanval waarbij een server wordt misleid om interne bronnen te benaderen die normaal onbereikbaar horen te zijn.
In een proof-of-concept op Microsofts MarkItDown MCP-server haalden onderzoekers AWS-toegangssleutels, geheime sleutels en sessietokens op via een EC2-metadata-endpoint. Dat is geen theoretisch risico: het is volledige overname van een cloudaccount.
Trend Micro vond daarnaast 492 MCP-servers die zonder enige authenticatie op het internet stonden. Geen wachtwoorden, geen tokens. Gewoon open deuren.
De marktplaats voor AI-vaardigheden is al gecompromitteerd
Als kwetsbare servers het enige probleem waren, zou het beheersbaar zijn. Maar de toeleveringsketen zelf is vergiftigd.
Snyk’s ToxicSkills-onderzoek scande 3.984 agent-vaardigheden op ClawHub (de grootste marktplaats voor AI-agentcapaciteiten) en vond dat 36% prompt-injectietechnieken bevatte. Daarvan bevatten 1.467 actieve kwaadaardige payloads. In totaal had 534 vaardigheden, circa 13,4%, minstens één kritiek beveiligingsprobleem: verspreiding van malware, diefstal van inloggegevens of installatie van achterdeurtjes.
Elke bevestigde kwaadaardige vaardigheid combineerde payloads op codeniveau met prompt-injectie, waarmee zowel de softwarelaag als de instructielaag tegelijk werd aangevallen. Je AI-agents zijn in 92% van de gevallen te kapen via prompt-injectie alleen. Voeg daar een gecompromitteerde vaardigheid aan toe en de aanvaller heeft volledige controle.
Eén gecompromitteerde agent kostte een fabrikant 3,2 miljoen dollar in 72 uur
Een middelgroot productiebedrijf zette een agentgebaseerd inkoopsysteem in. Aanvallers compromitteerden de leveranciersvalidatie-agent via een supply-chain-aanval op de AI-modelleverancier. De agent begon bestellingen goed te keuren van lege bv’s die door de aanvallers werden beheerd.
Omdat multi-agentsystemen beslissingen doorgeven aan volgende schakels, verwerkte de betalingsagent elke frauduleuze bestelling automatisch. Tegen de tijd dat voorraadtellingen de afwijking aan het licht brachten, was ruim 2,9 miljoen euro overgemaakt naar rekeningen die het bedrijf niet kon terugvorderen.
De oorzaak: één gecompromitteerde agent in een keten waarin geen enkele agent de ander controleerde. Dit is precies het patroon waar beveiligingsonderzoekers steeds voor waarschuwen. Wanneer 65% van de bedrijven geen enkele verdediging heeft tegen prompt-injectie, wordt het vertrouwen tussen agents de zwakste schakel.
Waarom niemand controleert
Het MCP-ecosysteem kent geen verplichte beveiligingstoetsing. Alleen al tussen januari en februari 2026 dienden onderzoekers meer dan 30 CVE’s in gericht op MCP-servers, clients en infrastructuur. Van 2.614 onderzochte MCP-implementaties bleek 82% bestandsoperaties te gebruiken die kwetsbaar zijn voor padtraversal-aanvallen. De kwetsbaarheden zijn niet exotisch: het zijn dezelfde OWASP Top 10-fouten waar webapplicaties al twee decennia mee worstelen. Injectie, gebrekkige authenticatie, SSRF.
Het verschil is snelheid. AI-gedreven aanvallen zijn je beveiligingsteam 29 minuten voor, en MCP-servers geven aanvallers een directe route naar je cloudinfrastructuur, databases en interne API’s.
Bedrijven die AI-agents inzetten zonder hun MCP-servers te auditen, doen in feite hetzelfde als al hun interne systemen zonder firewall op het publieke internet aansluiten. Het probleem van schaduw-AI dat bedrijven gemiddeld 3,8 miljoen euro per datalek kost staat op het punt aanzienlijk te verergeren.
Wat je nu moet doen
Drie stappen, te beginnen vandaag. Ten eerste: audit elke MCP-server waarmee je organisatie verbinding maakt. Controleer op SSRF, padtraversal en authenticatielekken. Het Vulnerable MCP Project biedt een doorzoekbare database van bekende problemen.
Ten tweede: behandel AI-agentvaardigheden als externe softwareafhankelijkheden. Scan ze vóór installatie. Uit Snyk’s onderzoek blijkt dat visuele inspectie vrijwel niets opvangt; geautomatiseerd scannen is het absolute minimum.
Ten derde: implementeer agent-naar-agentverificatie. Geen enkele agent zou zelfstandig financiële transacties mogen goedkeuren, toegang tot inloggegevens mogen krijgen of infrastructuur mogen wijzigen zonder onafhankelijke bevestiging van een tweede, geïsoleerde agent.
De AI-agentrevolutie is echt. Maar de toeleveringsketencrisis eronder ook. De bedrijven die overleven, zijn de bedrijven die hun AI-infrastructuur met dezelfde zorgvuldigheid behandelen als elk ander stuk kritieke software.
Aanbevolen leesvoer:
Bronnen en Referenties
- BlueRock MCP Trust Registry: 36.7% of MCP Servers Exposed to SSRF — BlueRock Security analyzed 7,000+ MCP servers and found 36.7% potentially vulnerable to SSRF attacks, including a proof-of-concept against Markitdown MCP that retrieved AWS IAM credentials.
- MCP Security 2026: 30 CVEs in 60 Days — Between Jan-Feb 2026, 30+ CVEs were filed against MCP servers. 43% were exec/shell injection, 20% tooling infrastructure flaws, 13% authentication bypass.
- Three Flaws in Anthropic MCP Git Server Enable Code Execution — CVE-2025-68143/68144/68145 in Anthropic official Git MCP server enabled remote code execution via prompt injection.
- OWASP MCP Top 10 — OWASP published the MCP Top 10 security framework covering model misbinding, context spoofing, prompt-state manipulation, and covert channel abuse.
Lees over onze redactionele standaarden →
