Beveiligingsdashboard met statusmeldingen zoals netwerken zijn veilig en apps zijn up-to-date
Nieuws15 juli · 00:123 min leestijd

Ant Group stelt SingGuard-NSFA gratis open als beveiligingslaag voor AI-agents

Ant Group heeft SingGuard-NSFA open-source vrijgegeven, een gratis beveiligingslaag die autonome AI-agents afschermt tegen prompt-injectie, goal hijacking en tool-misbruik. Het lichtste model draait op bescheiden hardware onder een Apache 2.0-licentie.

Ant Group heeft SingGuard-NSFA opengesteld, een gratis beveiligingslaag die autonome AI-agents afschermt tegen prompt-injectie, goal hijacking en tool-misbruik. Het AI Security Lab van het bedrijf maakte de open-source release op 13 juli bekend.

De guardrail onderschept kwaadaardige verzoeken en valideert de reactie van een agent voordat die autonoom een handeling uitvoert. Dat is precies het gat waar klassieke beveiliging niet bij komt: een firewall of virusscanner ziet een agent die zelf besluit een verkeerd commando te draaien of een tool te misbruiken, niet aankomen.

Voor een Nederlands bedrijf dat AI-agents in productie zet, verandert dit de rekensom rond beveiliging. Waar het afdekken van dit soort agent-gedrag tot nu toe eigen bouwwerk of een betaalde dienst vroeg, ligt er nu een kant-en-klare, onder Apache 2.0 vrijgegeven verdedigingslaag die je commercieel mag inzetten en zelf mag hosten. Het lichtste model is 0,8 miljard parameters en draait dus op bescheiden hardware.

Wat het model afvangt, en hoe hard

SingGuard-NSFA deelt het risico van agents op in een taxonomie van 185 dreigingsscenario's over zeven categorieën: naast prompt-injectie ook rechtenmisbruik, diefstal van gevoelige data, gevaarlijke tool-operaties, het uitvoeren van kwaadaardige code en het uitputten van resources. Ant Group testte het model op een eigen benchmark van bijna 100.000 voorbeelden in 133 talen.

De cijfers die het bedrijf claimt zijn concreet. Alle modellen halen naar eigen zeggen een F1-score boven de 94 procent en steken volgens de repository 6 tot 12 punten boven concurrerende guardrails uit. Het compacte model van 0,8 miljard parameters presteert daarbij op het niveau van rivalen die met 8 miljard parameters draaien, terwijl de zwaarste variant van 9 miljard een reactietijd van rond de 50 milliseconden haalt, snel genoeg om een agent live te bewaken zonder merkbare vertraging. Naast 0,8B en 9B zijn er ook varianten van 2B en 4B, zodat je snelheid en nauwkeurigheid kunt afwegen tegen je hardware.

Een guardrail voor een dreiging die al concreet is

De release valt in een periode waarin autonome agents niet langer een laboratoriumexperiment zijn. Vorige week nog bleek uit onderzoek van Sysdig dat de eerste als 'autonoom' bestempelde AI-ransomware via een oud Langflow-lek 1.342 databaseconfiguraties versleutelde en een mislukte login binnen 31 seconden zelf corrigeerde, al had die aanval nog een mens nodig om het doelwit te kiezen. Het soort zelfstandig handelen dat zo'n aanval gevaarlijk maakt, is exact wat een guardrail als deze wil afvangen.

De grens van zulke bescherming is wel bekend. Adversa toonde deze maand aan dat oeroude shell-trucs de beveiliging van tien van de elf populaire open-source AI-codeeragents alsnog omzeilden. Een guardrail is dus een laag, geen slotgracht: hij verhoogt de drempel, maar vervangt basishygiëne als patchen, wachtwoordbeleid en het scheiden van rechten niet.

Wat deze stap tekent, is dat verdediging tegen agent-gedrag zich verplaatst van dure, gesloten diensten naar vrij beschikbare bouwstenen. Ant Group bracht in april met de TU van Beijing al ClawAegis uit voor het open-source agentraamwerk OpenClaw; SingGuard-NSFA trekt die lijn door naar een breder inzetbaar model. Voor wie agents draait, betekent het dat de vraag verschuift van of je zo'n laag kunt betalen naar of je hem hebt ingebouwd voordat je agent iets doet wat je niet had bedoeld.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Agents met een vangrail

Ik bouw AI-agents die echt werk overnemen en denk vanaf het eerste ontwerp mee over waar ze mogen handelen en waar niet, met bewaking en kill-switches ingebouwd. Van meedenken tot realiseren en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview
Nieuws
4

10 jul 14:35

'Friendly Fire' laat Claude Code en Codex kwaadaardige code draaien bij een beveiligingsreview

Het AI Now Institute toont met 'Friendly Fire' hoe Claude Code en Codex tijdens een beveiligingsreview via een gemanipuleerde README zelf een kwaadaardig programma op de host uitvoeren, zonder om toestemming te vragen.

Als een AI-agent zelfstandig kan hacken en gijzelen, is jouw incidentrespons te traag ontworpen
Inzicht
7 min

8 jul 21:04

Als een AI-agent zelfstandig kan hacken en gijzelen, is jouw incidentrespons te traag ontworpen

In de eerste door een AI-agent gedraaide ransomware herstelde het model een mislukte login in 31 seconden, zonder mens. Respons die op uren rekent, verliest. Wat standhoudt is architectuur vooraf, niet oplettendheid achteraf.

Een AI-agent draait nu zelf de complete ransomware-aanval
Nieuws
5 min

2 jul 12:33

Een AI-agent draait nu zelf de complete ransomware-aanval

Voor het eerst is gedocumenteerd dat een AI-agent zelfstandig een volledige ransomware-aanval uitvoert. Sysdig volgde JADEPUFFER, dat via een oud Langflow-lek inbrak en een productiedatabase versleutelde. Een governance-vraag voor elk bedrijf met AI-agents.

AI laten checken wat AI schreef is geen veiligheidslaag, het is dezelfde blinde vlek twee keer
Inzicht
7

11 jul 17:00

AI laten checken wat AI schreef is geen veiligheidslaag, het is dezelfde blinde vlek twee keer

Een tweede AI die de code van de eerste reviewt voelt als een controlelaag. Maar dezelfde promptinjectie die de coder fopt, fopt de reviewer. Onafhankelijkheid, niet intelligentie, maakt een review een review.

Brits AI-instituut vindt universele jailbreaks in OpenAI’s GPT-5.6
Nieuws
5 min

11 jul 08:11

Brits AI-instituut vindt universele jailbreaks in OpenAI’s GPT-5.6

Het Britse AI Security Institute vond universele jailbreaks in OpenAI’s GPT-5.6 die offensieve cybertaken ontsluiten, net nu het model breed uitrolt. Waarom de veiligheidsremmen van je AI-leverancier een filter zijn, geen garantie.

Aanvallers misbruiken kritiek lek in Gitea's Docker-image via één HTTP-header
Nieuws
4 min

10 jul 22:38

Aanvallers misbruiken kritiek lek in Gitea's Docker-image via één HTTP-header

Aanvallers misbruiken een kritiek lek in de officiële Docker-image van Gitea: met één HTTP-header doen ze zich voor als elke gebruiker, tot en met de beheerder. Wie zijn eigen Git-server self-host, moet nu updaten.