In een belangrijke stap voor AI-beveiliging hebben Google-onderzoekers een fundamenteel kwetsbaarheidspatroon geïdentificeerd dat de integriteit van AI-agentensystemen bedreigt.
Op 15 juni 2025 publiceerde het beveiligingsteam van Google 'Een introductie tot Google's benadering van AI-agentbeveiliging', geschreven door Santiago Díaz, Christoph Kern en Kara Olive. Het artikel schetst Google's ambitieuze raamwerk voor het beveiligen van AI-agenten, die zij definiëren als 'AI-systemen die hun omgeving waarnemen, beslissingen nemen en autonoom handelen om door gebruikers gedefinieerde doelen te bereiken.'
Het onderzoek belicht twee primaire beveiligingszorgen: ongewenste acties (onbedoeld, schadelijk of in strijd met beleid) en het lekken van gevoelige data (ongeautoriseerde openbaarmaking van privé-informatie). Om deze risico’s te beperken, pleit Google voor een hybride, gelaagde verdedigingsstrategie die traditionele beveiligingsmaatregelen combineert met dynamische, op redeneren gebaseerde verdedigingen.
Hierop volgde op 16 juni 2025 een gerelateerde publicatie waarin het concept van de 'dodelijke drie-eenheid' voor AI-agenten werd geïntroduceerd – een gevaarlijke combinatie van drie mogelijkheden die ernstige beveiligingsrisico’s veroorzaken: toegang tot privégegevens, blootstelling aan onbetrouwbare content en het vermogen tot externe communicatie. Wanneer deze drie elementen samenkomen in een AI-systeem, kunnen aanvallers de agent mogelijk misleiden om gevoelige informatie te benaderen en deze te exfiltreren.
Beveiligingsonderzoeker Simon Willison, die enkele jaren geleden de term 'prompt-injectie' introduceerde, benadrukte het belang van inzicht in dit kwetsbaarheidspatroon. 'Als jouw agent deze drie functies combineert, kan een aanvaller hem eenvoudig misleiden om jouw privégegevens te benaderen en naar die aanvaller te sturen,' merkte Willison op in zijn analyse van het Google-onderzoek.
De timing van dit onderzoek is bijzonder relevant nu AI-agenten steeds autonomer worden en toegang krijgen tot gevoelige systemen. Grote technologiebedrijven zoals Microsoft, Google en Anthropic hebben de afgelopen twee jaar soortgelijke beveiligingsproblemen ervaren in hun AI-producten, met tientallen gedocumenteerde exfiltratie-aanvallen op systemen als ChatGPT, Microsoft Copilot en Google Bard.
Het onderzoek van Google stelt drie kernprincipes voor agentbeveiliging voor: agenten moeten duidelijk gedefinieerde menselijke controleurs hebben, hun bevoegdheden moeten zorgvuldig worden beperkt en hun acties en planningen moeten observeerbaar zijn. Deze richtlijnen bieden een waardevol kader voor ontwikkelaars en organisaties die AI-agentensystemen implementeren, terwijl zij navigeren door het complexe beveiligingslandschap van steeds autonomere AI.