Persoon in hoodie werkt in het donker aan meerdere computerschermen
Nieuws7 juli · 04:244 min leestijd

Sysdig verduidelijkt: de 'eerste' autonome AI-ransomware had toch een mens nodig

De als 'eerste autonome' bestempelde AI-ransomware had toch een mens nodig. Sysdig-onderzoeker Michael Clark verduidelijkt dat een medewerker het doelwit koos, de aanvalsinfrastructuur opzette en de gestolen inloggegevens aanleverde. Alleen de technische uitvoering liep autonoom.

De 'eerste' volledig autonome AI-ransomware-aanval had toch een mens nodig. Een medewerker koos het slachtoffer, richtte de aanvalsinfrastructuur in en leverde de gestolen inloggegevens waarmee de AI-agent de productiedatabase binnenkwam, verduidelijkt beveiligingsbedrijf Sysdig.

Dat verschuift hoe je het risico van 'autonome' AI-agents realistisch inschat. Dit was geen druk-op-de-knop-cybercrime die zichzelf van doelwit tot losgeld regelt, maar een hybride operatie: mensenwerk voor de opzet, een taalmodel voor de uitvoering. De drempel om zo'n aanval op te tuigen blijft daardoor voorlopig hoog. Wat wel nieuw en snel is, zit in de uitvoering: het model draaide de technische keten op machinesnelheid af.

Wat de mens deed, en wat het model deed

Sysdig-onderzoeker Michael Clark zette de rolverdeling recht tegenover TechCrunch. Een mens zette de operatie op en stuurde hem aan, richtte de command-and-control-server en de staging-server voor de gestolen data in, en koos zelf het slachtoffer. De inloggegevens waarmee de agent de database kraakte, verzamelde het model niet zelf: iemand bemachtigde ze via een eerdere inbraak en gaf ze door aan de operatie.

Wat het model daarna wel zelf deed, blijft opvallend. In het eerste gedocumenteerde geval van ransomware die van inbraak tot losgeld door een AI-agent werd aangestuurd telde Sysdig ruim 600 doelgerichte payloads, versleutelde de agent 1.342 databaseconfiguraties en corrigeerde hij een mislukte login binnen 31 seconden, met zijn redenering uitgeschreven in gewone taal. De technische uitvoering liep dus autonoom; de strategische keuzes eromheen niet.

Waarschijnlijk een opengewicht-model zonder remmen

Welk model de aanval dreef, is niet bevestigd. Microsoft-onderzoeker Geoff McDonald vermoedt een open-weight model waarvan de veiligheidstraining is weggehaald, geen frontier-model, omdat de veiligheidslagen van de grote labs in zijn eigen red-teaming juist goed standhielden. De gestolen API-sleutels van OpenAI, Anthropic, DeepSeek en Gemini die op de machine lagen, waren buit, geen bewijs dat die modellen de aanval stuurden.

Dat detail raakt precies de zorg rond zelf-gehoste AI: een opengewicht-model dat je lokaal draait, kun je van zijn ingebouwde weigeringen ontdoen. Dezelfde openheid die je onafhankelijk maakt van een leverancier, maakt het model ook bruikbaar voor wie kwaad wil.

De menselijke schakels die nog resten

Het woord 'autonoom' doet in de kop veel werk. De eerlijke lezing is dat elke stap die nu nog een mens vergt, doelwitkeuze, infrastructuur en toegang, een schakel is die later ook geautomatiseerd kan worden. Vandaag koopt dat verdedigers tijd.

Die tijd zit in de basis. Dezelfde hygiëne die de oorspronkelijke aanval had gestopt, oude patches installeren, standaardwachtwoorden weghalen en credentials scheiden van processen die vanaf het web bereikbaar zijn, breekt ook de hybride variant. De vraag is niet of de menselijke schakels verdwijnen, maar hoe snel, en of je basisbeveiliging tegen die tijd op orde is.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI-agents veilig inzetten

Dezelfde autonomie die een aanvaller misbruikt, wil je zelf juist veilig benutten. Ik denk mee over waar een AI-agent wel en niet aan mag, ontwerp de grenzen en het toezicht eromheen en bouw hem self-hosted waar dat kan, van eerste opzet tot beheer.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Welk AI-model draait onder je SaaS, en kun je wisselen? Een inkoperschecklist
Gids
8 min

29 jun 17:00

Welk AI-model draait onder je SaaS, en kun je wisselen? Een inkoperschecklist

Onder elke AI-functie draait een model dat je leverancier koos, ergens host en stil kan vervangen. Met deze vijf vragen weet je voor je tekent welk model er draait, waar je data heen gaat en of je kunt wisselen.

Wat is een AI-agent? Een taalmodel in een lus met gereedschap
Uitgelegd
8 min

10 jul 13:52

Wat is een AI-agent? Een taalmodel in een lus met gereedschap

Nee, een AI-agent is geen autonoom brein. Het is hetzelfde taalmodel als in een chatbot, in een lus gezet met gereedschap. Zie de lus draaien en je snapt waar het misgaat en waarom guardrails erbij horen.

Wat is MCP? Zo krijgt AI toegang tot je tools en data
Uitgelegd
7 min

9 jul 02:01

Wat is MCP? Zo krijgt AI toegang tot je tools en data

MCP is geen AI-model en geen product, maar een open standaard: de USB-C-poort voor AI. Zo werkt het protocol waarmee elke AI-app op dezelfde manier bij je tools en data komt.

Google DeepMind breidt Gemini-agents uit met achtergronduitvoering en directe MCP-koppeling
Nieuws
3 min

8 jul 18:21

Google DeepMind breidt Gemini-agents uit met achtergronduitvoering en directe MCP-koppeling

Google DeepMind breidt Managed Agents in de Gemini API uit met vier functies: achtergronduitvoering, een directe koppeling met externe MCP-servers, eigen functies en het vernieuwen van credentials. Dat maakt het bouwen van productierijpe AI-agents op Gemini eenvoudiger.

Google's Gemini Spark landt op de Mac en mag nu aan je lokale bestanden
Nieuws
6 min

2 jul 18:09

Google's Gemini Spark landt op de Mac en mag nu aan je lokale bestanden

Google brengt zijn autonome AI-agent Gemini Spark naar macOS, waar hij voor het eerst lokale bestanden mag lezen en ordenen. Met MCP-ondersteuning, real-time tracking en een prijskaartje van 99 dollar per maand.

Microsoft steekt 2,5 miljard in 'Frontier Company' die AI-engineers ín je bedrijf plaatst
Nieuws
6 min

2 jul 16:10

Microsoft steekt 2,5 miljard in 'Frontier Company' die AI-engineers ín je bedrijf plaatst

Microsoft lanceert The Microsoft Frontier Company: 2,5 miljard dollar en 6.000 mensen die AI-systemen bij klanten bouwen en draaien. Twee dagen na AWS' vergelijkbare stap wordt de uitrol van AI het nieuwe slagveld.