OutlierReport
Het stille risico in AI-connectors

Het stille risico in AI-connectors

·4 min leestijdBeveiliging en Privacy
Arthur Roschildt
Geschreven doorArthur Roschildt
In dit artikel

Het gevaarlijkste onderdeel van een AI-connector is misschien niet de code die je team heeft bekeken. Het kan ook een onopvallende zin zijn in de beschrijving van de tool, een zin die de agent vertelt wat hij moet gehoorzamen.

Dat is de ongemakkelijke les uit MCP-beveiligingsonderzoek dat op 5 mei 2026 verscheen. Een threat-modelingpaper in het Journal of Cybersecurity and Privacy vond dat tool poisoning de meest voorkomende en meest ingrijpende kwetsbaarheid aan de clientzijde was in zeven grote MCP-clients. Geen ransomware. Geen spectaculaire malware. Metadata: beschrijvingen, schema's, voorbeelden en instructies.

MCP, of Model Context Protocol, wordt de infrastructuur waarmee AI-agenten praten met agenda's, databases, repositories, browsers en interne tools. De belofte is simpel: geef het model bruikbare handen. Het verborgen risico is net zo simpel: elke nieuwe hand kan iets influisteren.

De fout ontstaat vóór de eerste API-call

Tool poisoning werkt omdat agenten niet alleen zien wat de gebruiker vraagt. Ze verwerken ook toolbeschrijvingen, schemas, namen, voorbeelden en instructies die uitleggen hoe een connector gebruikt moet worden. Als die laag een kwaadaardige opdracht bevat, kan de agent die behandelen als gewone werkinformatie.

Dat zet het gebruikelijke beveiligingsverhaal op zijn kop. Een team kan een connector goedkeuren omdat de endpoint normaal lijkt, de OAuth-scope redelijk klinkt en de leverancier betrouwbaar oogt. Ondertussen zit de aanval in de zachte laag rond de tool: de woorden die het gedrag van het model sturen.

Wie al las hoe hidden web prompts hijack AI browser agents, herkent het patroon. Alleen ligt het nu dichter bij de bedrijfsstack. De prompt wacht niet op een willekeurige webpagina. Hij zit verpakt in de connector die het team expres heeft geïnstalleerd.

De toeleveringsketen bestaat nu ook uit tekst

Digitale supply chain betekende jarenlang: pakketten, afhankelijkheden, buildscripts en containers. AI-agenten voegen een vreemdere categorie toe: vertrouwde instructies uit half vertrouwde tools.

De Stacklok-review van het MCP-ecosysteem in 2026 maakt de schaal concreet. In een scan van 15.923 MCP-servers en AI skills rapporteerde het bedrijf 757 gevallen waarin API-sleutels via tooluitvoer lekten, terwijl 36% een onvoldoende kreeg. De richting is duidelijk: connectorhygiëne loopt achter op connectorgebruik.

De link met AI agent servers that are hackable and rarely checked ligt voor de hand. Toch is het scherpere punt anders: serverexposure is een perimeterprobleem; vergiftigde metadata is een probleem van vertrouwen.

Saaie governance doet ertoe

IBM X-Force waarschuwde in april 2026 dat de adoptie van agentische AI sneller gaat dan kwetsbaarhedenbeheer, juist nu agenten meer autonomie en tooltoegang krijgen. Dat klinkt als bestuurstaal, maar de praktische correctie begint klein.

Voordat een MCP-server echte credentials krijgt, moet je een paar vragen beantwoorden. Wie kan de beschrijving, het schema of de voorbeelden wijzigen na goedkeuring? Laat de client metadatawijzigingen zien vóór de volgende run? Mag tooluitvoer geheimen of systeemachtige instructies bevatten? Kan de agent deze tool zonder nieuwe menselijke bevestiging aanroepen? Zijn er logs die laten zien welke tool een gevoelige actie beïnvloedde?

Dat vraagt geen paniek. Het vraagt dat je connectortekst behandelt als uitvoerbare invloed. Als je code beoordeelt maar toolbeschrijvingen overslaat, controleer je het slot terwijl je het briefje aan de sleutel negeert.

Wat teams deze week kunnen doen

Begin met een MCP-inventaris. Noteer elke connector, welke credentials hij kan bereiken, wie eigenaar is en of hij alleen gegevens leest of ook acties uitvoert. Scheid daarna read-only tools van tools die berichten versturen, records aanpassen, tickets aanmaken, geld verplaatsen of productiesystemen raken.

Voor tools die kunnen handelen, hoort menselijke bevestiging op het moment dat er gevolgen ontstaan, niet alleen bij installatie. Een vergiftigde connector is het gevaarlijkst wanneer toestemming één keer wordt gegeven en autoriteit daarna blijft bestaan.

Leen tot slot een les uit prompt injection defense programs: ga ervan uit dat instructies botsen. Systeem, gebruiker, webpagina, connector en tooluitvoer kunnen allemaal om gezag strijden. Je architectuur moet bepalen wie wint vóór een agent naar productiecredentials kijkt.

MCP-beveiliging is niet hopeloos. Ze is alleen jonger dan het vertrouwen dat we er nu al in leggen. De teams die het goed doen, zijn niet de teams met de meeste connectors, maar de teams die weten welke connector mag fluisteren en welke mag handelen.

Verder lezen:

Bronnen en Referenties

  1. Journal of Cybersecurity and PrivacyA May 5, 2026 MCP threat-modeling paper found tool poisoning to be the most prevalent and impactful client-side vulnerability across seven major MCP clients.
  2. StacklokA 2026 scan of 15,923 MCP servers and AI skills reportedly found 757 leaking API keys through tool outputs and 36% earning a failing grade.
  3. IBM X-ForceIBM warned in April 2026 that agentic AI adoption is outpacing vulnerability management as agents gain autonomy and tool access.

Lees over onze redactionele standaarden

Misschien vind je dit ook leuk: