Bedrijven negeren AI-security ten gunste van snelheid, waarschuwt Cisco

Anno 2026 gebruiken organisaties AI niet langer als hulpmiddel alleen. Steeds meer bedrijfsprocessen en tools zijn AI-gedreven. Die brede adoptie, gecombineerd met de niet-geteste grenzen van AI en het ontbreken van AI-beveiligingsnormen, vereist een fundamenteel andere aanpak van cybersecurity. Toch stelt Cisco in zijn nieuwste State of AI Security 2026-rapport vast dat organisaties in 2025 wel vaart maakten met AI, maar hun security niet aanpasten.

“De snelle adoptie van AI en agentic AI protocollen heeft een nieuw en onbewaakt aanvalsoppervlak gecreëerd”, waarschuwt Jan Heijdra, Field CTO Security van Cisco Nederland.

Vorig jaar gaf 83% van organisaties in Cisco’s AI Readiness Index aan van plan te zijn om Agentic AI in hun bedrijfsprocessen te integreren. Toch voelde slechts 29% zich ook echt klaar om deze technologieën op een veilige manier in te zetten. In 2026 zijn AI-modellen en -applicaties tegelijk tool én doelwit geworden, met dagelijkse jailbreaks en prompt injections. Het recente OpenClaw-debacle toonde aan dat autonome agents zonder passende beveiliging de integriteit van het volledige AI-ecosysteem in gevaar kunnen brengen.

Te snel aan de slag met AI brengt reële risico’s
Volgens het 2026 State AI Security rapport is er een nieuw en onbewaakt aanvalsoppervlak ontstaan binnen kunstmatige intelligentie. Het Model Context Protocol (MCP) is weliswaar uitgegroeid tot een breed gedragen standaard voor het koppelen van modellen aan tools, data en andere agents, maar de adoptie ervan is veel sneller gegaan dan de beveiliging kon volgen.

In 2025 schoot de beveiliging van het protocol nog tekort. Cisco’s rapport somt tal van kwetsbaarheden en aanvallen op: van MCP tool poisoning waarmee volledige WhatsApp-gesprekken heimelijk werden buitgemaakt, tot supply-chain-aanvallen via malafide, nagebootste MCP-servers waarmee e-mails van AI-agents stilletjes naar aanvallers werden doorgestuurd. Organisaties die LLM’s in hoog tempo in kritieke workflows integreerden, hebben traditionele beveiligingsprocessen mogelijk overgeslagen om geen snelheid te verliezen.

“Organisaties moeten MCP-servers, agent tool registries (een soort catalogus van tools en functies die een AI-agent mag gebruiken) en context brokers (of het verbindingsstuk tussen modellen, tools en databronnen) even streng behandelen als een klassieke API-gateway of database. Ze hebben best practices voor MCP-beveiliging nodig en doen er ook goed aan om openbronscanners te gebruiken die MCP dreigingen herkennen en isoleren”, zegt Heijdra.

Nieuwe dreigingen vragen om een nieuwe beveiligingskader
Cisco heeft inmiddels 14 dreigingstypen opgenomen in zijn MCP-taxonomie en 17 in zijn classificatie van agent-to-agent-dreigingen (A2A). Het Integrated AI Security and Safety Framework, Cisco’s nieuwe dreigingsraamwerk voor de beveiliging van opkomende AI-modellen, omvat 19 aanvalsdoelen en ruim 150 aanvalstechnieken waarmee AI-systemen gecompromitteerd kunnen worden. Cybercriminelen proberen namelijk niet alleen de guardrails van generative AI-modellen te omzeilen: ze compromitteren ook agents die namens gebruikers processen uitvoeren, databases raadplegen en code pushen. Deze nieuwe aanvalstechniek noemt men excessive agency. Nu organisaties wereldwijd AI-systemen zonder toezicht controle geven over kritieke bedrijfsfuncties, groeit het uit tot een primaire kwetsbaarheid. Dat maakt van data protection en data loss prevention een urgent aandachtspunt. Uit Cisco’s eigen dreigingsonderzoek naar acht veelgebruikte open-weight LLM’s blijkt dat multi-turn jailbreak-aanvallen een slagingspercentage van bijna 93% bereikten, wat een fundamentele zwakte in de huidige modellen blootlegt.

Staatsdreiging
De dreiging wordt bovendien concreter door statelijke actoren: in China kraakte men Anthropics Claude Code om zo zo tot 90% van een spionagecampagne te automatiseren; in Rusland werden grote taalmodellen gebruikt voor malwareontwikkeling en om statische analyse te omzeilen; aan Noord-Korea gelieerde groepen zetten deepfake in voor financiële diefstal; en in Iran ten slotte werd AI ingezet om cyberoperaties te versterken, zowel voor de ontwikkeling van exploits als voor precieze targeting van fysieke doelen. Naarmate het dreigingsspectrum uitbreidt, hebben vele organisaties moeite om bij te blijven. Cisco verwacht dat hackers in de nabije toekomst dieper in het geheugen van een model zullen doordringen, met onder meer vector embedding attacks, waarbij ze knoeien met de vectordatabases waarin AI-modellen nieuw aangeleerde informatie opslaan voor later gebruik.
“In een onduidelijk en onzeker AI-beveiligingslandschap raden we aan om AI te benaderen met een defence-in-depth-strategie en een Zero Trust-architectuur: kies modellen met een sterke basisweerbaarheid tegen aanvallen, implementeer gelaagde bescherming om afwijkende of risicovolle activiteit te detecteren en te blokkeren, geef prioriteit aan dreigingsspecifieke mitigaties en zet continue evaluatie in op AI-assets”, besluit Jan Heijdra.

Over het State of AI Security-rapport
Het State of AI Security 2026-rapport is de tweede jaarlijkse AI-beveiligingsanalyse van Cisco en biedt cybersecurity-professionals, bedrijfsleiders en beleidsmakers houvast in dit nieuwe en complexe vakgebied. De State of AI Security 2026 gaat dieper in op de evolutie van prompt injection-aanvallen en jailbreaks, de kwetsbaarheid van de AI-toeleveringsketen, en het groeiende risico van agentische AI via het Model Context Protocol (MCP). Het rapport analyseert ook de AI-beleidsaanpak van drie grote spelers: de Verenigde Staten, de Europese Unie en de Volksrepubliek China.