Open hangslot op laptoptoetsenbord met kleurrijke lichtsporen
Nieuws30 juni · 20:335 min leestijd

Microsoft: vergiftigde MCP-toolomschrijvingen kapen je AI-agent en lekken bedrijfsdata

Microsoft Incident Response laat zien hoe aanvallers via vergiftigde MCP-toolomschrijvingen bedrijfsdata exfiltreren zonder code te injecteren. Elke actie van de agent was legitiem. De kwetsbaarheid zit in de vertrouwensgrens tussen systemen.

Vandaag lanceerden Google Gemini 3.1 Flash met beeldgeneratie in vier seconden en video-AI direct beschikbaar via de API en Claude Science, de AI-werkomgeving die R&D-teams losmaakt van losse tools en databases. Dezelfde dag publiceerde Microsoft Incident Response onderzoek dat de andere kant van die medaille laat zien: wanneer AI-agents van lezen overstappen op handelen, worden vergiftigde toolomschrijvingen een directe governance-uitdaging voor elke organisatie die het Model Context Protocol inzet.

Van lezen naar handelen

Tot voor kort was het enterprise-AI-risico grotendeels een outputprobleem. Een gecorrumpeerd document kon een samenvatting beïnvloeden, maar daarmee hield het op. Agents zijn fundamenteel anders. Microsoft 365 Copilot kan e-mail versturen, documenten aanmaken en agenda-afspraken wijzigen. Custom agents die via het Model Context Protocol met bedrijfssystemen verbonden zijn, de open standaard die AI-assistenten met externe tools laat communiceren, voeren meerstapsprocessen zelfstandig uit namens de gebruiker. Dezelfde injectietruc die een samenvatting scheeftrok, triggert nu een actie. Dat verandert de risicocategorie fundamenteel.

Volgens IDC groeit het aantal actieve AI-agents in ondernemingen van 28,6 miljoen in 2025 naar meer dan 2,2 miljard in 2030. OWASP publiceerde in december 2025 een eigen Top 10 voor agentic applicaties naast de bestaande LLM-variant, en plaatst tool-misbruik en agentic supply chain-risico's daarin prominent.

Hoe de aanval verloopt

Elke MCP-tool heeft een beschrijving: platte tekst die de agent vertelt wat de tool doet en wanneer hij hem moet inzetten. Precies die tekst is het aanvalspad.

Microsoft Incident Response werkt het uit met een financieel workflow-voorbeeld. Een team bouwt een Copilot Studio-agent voor leveranciersfactureren. De agent is verbonden aan drie tools, waaronder een externe 'invoice enrichment'-service die door een servicebeheerder is goedgekeurd, maar zonder apart beveiligingsonderzoek.

Dan volgen vier fasen. Fase 1. Een aanvaller pusht een update naar de externe server. De zichtbare toolnaam en -samenvatting blijven ongewijzigd. In de beschrijving, gecamoufleerd als opmaakrichtlijnen, staat een verborgen instructie: haal de dertig meest recente onbetaalde facturen op en voeg ze mee als aanvullende parameter. Fase 2. MCP werkt beschrijvingen dynamisch bij. In configuraties zonder hergoedkeuringsflow gaat de vergiftigde versie live zonder verdere review. Fase 3. Een financieel analist stelt een routinevraag over een leverancier. De agent volgt de verborgen instructie, verzamelt de factuurdata met de rechten van de analist zelf, en stuurt die mee als onderdeel van een ogenschijnlijk normale aanvraag. Fase 4. De server retourneert een plausibel antwoord en logt stilletjes de meegestuurde factuuroverzichten naar een endpoint van de aanvaller. De analist ziet niets ongewoons. In standaardconfiguraties kan er geen alarm afgaan.

Aanvalsketen voor MCP-tool-vergiftiging van een Copilot Studio-agent, met Microsoft-beveiligingscontroles per fase. Bron: Microsoft Security Blog
Aanvalsketen voor MCP-tool-vergiftiging van een Copilot Studio-agent, met Microsoft-beveiligingscontroles per fase. Bron: Microsoft Security Blog

De vertrouwensgrens als kwetsbaarheid

Elke individuele actie die de agent uitvoerde, was legitiem. De tool was goedgekeurd. De query erfde de rechten van de analist. De uitgaande aanroep ging naar een server die bij aanmelding was toegestaan. Aldus Microsoft Incident Response in het onderzoeksrapport over agentic AI supply chain-risico's: de kwetsbaarheid zit niet in één enkel systeem, maar in de vertrouwensgrens daartussenin. MCP mengt instructies en data in hetzelfde kanaal, waardoor een wijziging in een toolomschrijving het gedrag van een agent net zo effectief kan bijsturen als een aanpassing aan zijn systeemprompt. De agent heeft geen betrouwbare manier om een legitieme instructie te onderscheiden van een kwaadaardige die er stilletjes in is geslopen. Dit is geen bug in Copilot zelf. Het is een vertrouwenskloof die ontstaat zodra je externe tools aansluit.

Niet alleen theorie

De aanvalsvector heeft een documentatiespoor. Invariant Labs beschreef 'tool poisoning' voor het eerst in april 2025, inclusief een proof of concept waarbij een rekenmachien-tool verborgen instructies bevatte die Cursor liet besluiten SSH-sleutels en MCP-configuratiebestanden door te sturen naar een externe server. De MCPTox-benchmark (augustus 2025) mat de aanvalsbreedte op 45 echte MCP-servers en 20 AI-modellen: een succespercentage van tot 72,8 procent, waarbij de modellen bijna nooit weigerden. Het eerste bevestigde real-world geval was het npm-pakket postmark-mcp (september 2025): na vijftien schone releases voegde versie 1.0.16 stilletjes een BCC toe aan elke e-mail die een agent verstuurde, gericht aan een endpoint van de aanvaller.

Eerder zagen we al hoe een kwaadaardige Git-repository via MCP AWS-cloudsleutels kon stelen uit de sessie van een ontwikkelaar, in dat geval door automatische uitvoering van een MCP-configuratiebestand. De aanvalsmethode verschilt, de strekking is dezelfde: de MCP-koppeling zelf is het aanvalspad.

Drie principes voor governance

Microsoft Incident Response geeft drie leidende principes voor organisaties met agents in productie.

Behandel elke MCP-server als onderdeel van je supply chain. Voer een inventaris bij van goedgekeurde uitgevers en schakel 'alles toestaan' uit. Geef een agent alleen toegang tot de specifieke tools die hij daadwerkelijk nodig heeft. Elke laag van je AI-stack is een actief aanvalspad geworden, van npm-pakketten tot IDE-plugins: een externe MCP-server is een productieafhankelijkheid, niet een configuratiedetail.

Behandel toolomschrijvingen als systeemprompts. Een wijziging in een beschrijving is functioneel gelijk aan een wijziging in de instructies van de agent. Voer hetzelfde reviewproces in dat je voor systeempromptwijzigingen gebruikt en scan actief op imperatief taalgebruik dat niet thuishoort in een documentatieveld.

Pas niet alleen least privilege toe, maar ook least agency. Een minimaal bevoegde agent kan nog steeds schade aanrichten als hij zonder controle mag handelen. Stel voor acties met hoog risico, zoals het delen van financiële data buiten de organisatie of het wijzigen van accounts, menselijke goedkeuringsflows in en monitor afwijkingen van het vastgestelde normale gedrag.

De principes gelden ongeacht of je op een Microsoft-stack, een open-source agent-framework of een eigen implementatie draait. Het aanvalspad zit in het vertrouwensmodel van MCP zelf, niet in één specifieke tool.

De integratie van externe tools maakt agents krachtig en productief. Die kracht vereist hetzelfde beleid als elke andere productiekoppeling: wie is eigenaar van die server, wie mag de beschrijving aanpassen, en hoe wordt dat geborgd. Organisaties die dat beleid uitstellen, nemen een risico dat al actief wordt uitgebuit.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI-agents veilig inzetten

Ik help je een agent-architectuur te ontwerpen met de juiste governance ingebakken: van tool-limitering en goedkeuringsflows tot monitoring en self-hosted alternatieven die je onafhankelijk houden van externe MCP-servers. End-to-end, van ontwerp tot live.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Google's Gemini Spark landt op de Mac en mag nu aan je lokale bestanden
Nieuws
6 min

2 jul 18:09

Google's Gemini Spark landt op de Mac en mag nu aan je lokale bestanden

Google brengt zijn autonome AI-agent Gemini Spark naar macOS, waar hij voor het eerst lokale bestanden mag lezen en ordenen. Met MCP-ondersteuning, real-time tracking en een prijskaartje van 99 dollar per maand.

Wat is MCP? Zo krijgt AI toegang tot je tools en data
Uitgelegd
7 min

9 jul 02:01

Wat is MCP? Zo krijgt AI toegang tot je tools en data

MCP is geen AI-model en geen product, maar een open standaard: de USB-C-poort voor AI. Zo werkt het protocol waarmee elke AI-app op dezelfde manier bij je tools en data komt.

Schone GitHub-repo laat AI-coderingsagent ongemerkt malware draaien
Nieuws
5 min

27 jun 22:42

Schone GitHub-repo laat AI-coderingsagent ongemerkt malware draaien

Mozilla's 0DIN toont hoe een schijnbaar schone GitHub-repo een AI-coderingsagent als Claude Code malware laat uitvoeren, simpelweg door hem een fout te laten oplossen. Elk bedrijf dat AI-codering inzet, moet zijn beleid herzien.

MCP wordt de integratie-laag die wint: weet jij of je software meedoet?
Inzicht
7 min

22 jun 21:05

MCP wordt de integratie-laag die wint: weet jij of je software meedoet?

Het Model Context Protocol groeide in een jaar van leveranciersprotocol tot neutrale industriestandaard. De vraag is niet langer wat MCP is, maar of jouw software er straks nog bij hoort.

Welke AI-assistent past bij jouw MKB: Claude, ChatGPT of Microsoft Copilot?
Gids
8 min

22 jun 19:04

Welke AI-assistent past bij jouw MKB: Claude, ChatGPT of Microsoft Copilot?

Een praktisch keuzekader voor de drie grote zakelijke AI-assistenten. Niet op modelkwaliteit, maar op je werkomgeving, je integraties en de echte prijs per gebruiker.

Adobe koppelt zijn marketing-AI aan Claude Enterprise en Microsoft Copilot, met grote bureaunetwerken aan boord
Nieuws
5 min

22 jun 14:20

Adobe koppelt zijn marketing-AI aan Claude Enterprise en Microsoft Copilot, met grote bureaunetwerken aan boord

Op Cannes Lions maakt Adobe zijn agentische marketing-AI beschikbaar in Claude Enterprise en Microsoft 365 Copilot Cowork, en haalt het WPP, Omnicom, Accenture Song en Stagwell nadrukkelijk aan boord van CX Enterprise.