Vandaag lanceerden Google Gemini 3.1 Flash met beeldgeneratie in vier seconden en video-AI direct beschikbaar via de API en Claude Science, de AI-werkomgeving die R&D-teams losmaakt van losse tools en databases. Dezelfde dag publiceerde Microsoft Incident Response onderzoek dat de andere kant van die medaille laat zien: wanneer AI-agents van lezen overstappen op handelen, worden vergiftigde toolomschrijvingen een directe governance-uitdaging voor elke organisatie die het Model Context Protocol inzet.
Van lezen naar handelen
Tot voor kort was het enterprise-AI-risico grotendeels een outputprobleem. Een gecorrumpeerd document kon een samenvatting beïnvloeden, maar daarmee hield het op. Agents zijn fundamenteel anders. Microsoft 365 Copilot kan e-mail versturen, documenten aanmaken en agenda-afspraken wijzigen. Custom agents die via het Model Context Protocol met bedrijfssystemen verbonden zijn, de open standaard die AI-assistenten met externe tools laat communiceren, voeren meerstapsprocessen zelfstandig uit namens de gebruiker. Dezelfde injectietruc die een samenvatting scheeftrok, triggert nu een actie. Dat verandert de risicocategorie fundamenteel.
Volgens IDC groeit het aantal actieve AI-agents in ondernemingen van 28,6 miljoen in 2025 naar meer dan 2,2 miljard in 2030. OWASP publiceerde in december 2025 een eigen Top 10 voor agentic applicaties naast de bestaande LLM-variant, en plaatst tool-misbruik en agentic supply chain-risico's daarin prominent.
Hoe de aanval verloopt
Elke MCP-tool heeft een beschrijving: platte tekst die de agent vertelt wat de tool doet en wanneer hij hem moet inzetten. Precies die tekst is het aanvalspad.
Microsoft Incident Response werkt het uit met een financieel workflow-voorbeeld. Een team bouwt een Copilot Studio-agent voor leveranciersfactureren. De agent is verbonden aan drie tools, waaronder een externe 'invoice enrichment'-service die door een servicebeheerder is goedgekeurd, maar zonder apart beveiligingsonderzoek.
Dan volgen vier fasen. Fase 1. Een aanvaller pusht een update naar de externe server. De zichtbare toolnaam en -samenvatting blijven ongewijzigd. In de beschrijving, gecamoufleerd als opmaakrichtlijnen, staat een verborgen instructie: haal de dertig meest recente onbetaalde facturen op en voeg ze mee als aanvullende parameter. Fase 2. MCP werkt beschrijvingen dynamisch bij. In configuraties zonder hergoedkeuringsflow gaat de vergiftigde versie live zonder verdere review. Fase 3. Een financieel analist stelt een routinevraag over een leverancier. De agent volgt de verborgen instructie, verzamelt de factuurdata met de rechten van de analist zelf, en stuurt die mee als onderdeel van een ogenschijnlijk normale aanvraag. Fase 4. De server retourneert een plausibel antwoord en logt stilletjes de meegestuurde factuuroverzichten naar een endpoint van de aanvaller. De analist ziet niets ongewoons. In standaardconfiguraties kan er geen alarm afgaan.

De vertrouwensgrens als kwetsbaarheid
Elke individuele actie die de agent uitvoerde, was legitiem. De tool was goedgekeurd. De query erfde de rechten van de analist. De uitgaande aanroep ging naar een server die bij aanmelding was toegestaan. Aldus Microsoft Incident Response in het onderzoeksrapport over agentic AI supply chain-risico's: de kwetsbaarheid zit niet in één enkel systeem, maar in de vertrouwensgrens daartussenin. MCP mengt instructies en data in hetzelfde kanaal, waardoor een wijziging in een toolomschrijving het gedrag van een agent net zo effectief kan bijsturen als een aanpassing aan zijn systeemprompt. De agent heeft geen betrouwbare manier om een legitieme instructie te onderscheiden van een kwaadaardige die er stilletjes in is geslopen. Dit is geen bug in Copilot zelf. Het is een vertrouwenskloof die ontstaat zodra je externe tools aansluit.
Niet alleen theorie
De aanvalsvector heeft een documentatiespoor. Invariant Labs beschreef 'tool poisoning' voor het eerst in april 2025, inclusief een proof of concept waarbij een rekenmachien-tool verborgen instructies bevatte die Cursor liet besluiten SSH-sleutels en MCP-configuratiebestanden door te sturen naar een externe server. De MCPTox-benchmark (augustus 2025) mat de aanvalsbreedte op 45 echte MCP-servers en 20 AI-modellen: een succespercentage van tot 72,8 procent, waarbij de modellen bijna nooit weigerden. Het eerste bevestigde real-world geval was het npm-pakket postmark-mcp (september 2025): na vijftien schone releases voegde versie 1.0.16 stilletjes een BCC toe aan elke e-mail die een agent verstuurde, gericht aan een endpoint van de aanvaller.
Eerder zagen we al hoe een kwaadaardige Git-repository via MCP AWS-cloudsleutels kon stelen uit de sessie van een ontwikkelaar, in dat geval door automatische uitvoering van een MCP-configuratiebestand. De aanvalsmethode verschilt, de strekking is dezelfde: de MCP-koppeling zelf is het aanvalspad.
Drie principes voor governance
Microsoft Incident Response geeft drie leidende principes voor organisaties met agents in productie.
Behandel elke MCP-server als onderdeel van je supply chain. Voer een inventaris bij van goedgekeurde uitgevers en schakel 'alles toestaan' uit. Geef een agent alleen toegang tot de specifieke tools die hij daadwerkelijk nodig heeft. Elke laag van je AI-stack is een actief aanvalspad geworden, van npm-pakketten tot IDE-plugins: een externe MCP-server is een productieafhankelijkheid, niet een configuratiedetail.
Behandel toolomschrijvingen als systeemprompts. Een wijziging in een beschrijving is functioneel gelijk aan een wijziging in de instructies van de agent. Voer hetzelfde reviewproces in dat je voor systeempromptwijzigingen gebruikt en scan actief op imperatief taalgebruik dat niet thuishoort in een documentatieveld.
Pas niet alleen least privilege toe, maar ook least agency. Een minimaal bevoegde agent kan nog steeds schade aanrichten als hij zonder controle mag handelen. Stel voor acties met hoog risico, zoals het delen van financiële data buiten de organisatie of het wijzigen van accounts, menselijke goedkeuringsflows in en monitor afwijkingen van het vastgestelde normale gedrag.
De principes gelden ongeacht of je op een Microsoft-stack, een open-source agent-framework of een eigen implementatie draait. Het aanvalspad zit in het vertrouwensmodel van MCP zelf, niet in één specifieke tool.
De integratie van externe tools maakt agents krachtig en productief. Die kracht vereist hetzelfde beleid als elke andere productiekoppeling: wie is eigenaar van die server, wie mag de beschrijving aanpassen, en hoe wordt dat geborgd. Organisaties die dat beleid uitstellen, nemen een risico dat al actief wordt uitgebuit.
Veelgestelde vragen
AI-agents veilig inzetten
Ik help je een agent-architectuur te ontwerpen met de juiste governance ingebakken: van tool-limitering en goedkeuringsflows tot monitoring en self-hosted alternatieven die je onafhankelijk houden van externe MCP-servers. End-to-end, van ontwerp tot live.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
