Meer dan 6 op de 10 organisaties heeft specifieke controles tegen AI-gerelateerde security-risico’s. Toch wordt de helft van hen alsnog getroffen door een verdacht of bevestigd AI-incident. Dat blijkt uit onderzoek van Proofpoint.
Organisaties adopteren AI sneller dan ze het kunnen beveiligen. Dat concludeert Proofpoint in het rapport 2026 AI and Human Risk Landscape, gebaseerd op een survey onder ruim 1.400 CISO’s, CTO’s en IT-securitymanagers wereldwijd, aangevuld met eigen dreigingsonderzoek. Bijna 9 op de 10 organisaties heeft AI-assistenten voorbij de pilotfase, en 76 procent test of rolt autonome agents actief uit. Wat opvalt, is dat het probleem niet zit in gebrek aan investeringen. Meer dan 90 procent van de organisaties heeft een specifiek of algemeen budget voor AI-beveiliging, en 63 procent zegt AI-securitycontroles te hebben.
Toch biedt die investering geen garantie. Van de organisaties met AI-specifieke controles meldt 50 procent alsnog een verdacht of bevestigd AI-gerelateerd incident. Sara Pan, product evangelist bij Proofpoint en verantwoordelijk voor het team dat zich richt op security-awareness, noemt dat cijfer veelzeggend. “We zien een grote kloof tussen de snelheid van AI-adoptie en het vertrouwen in de daadwerkelijke beveiliging ervan”, zegt ze tijdens een webinar over het rapport. “Bijna 90 procent van de organisaties heeft AI-assistenten al voorbij de pilotfase draaien, maar meer dan de helft is niet volledig overtuigd dat hun controles een gecompromitteerd AI-systeem zouden opmerken.”
Controles zonder garantie
Het rapport zet die kloof scherp neer. Van de respondenten is 52 procent niet volledig overtuigd dat hun controles een gecompromitteerde AI zouden detecteren, ook al heeft 63 procent die controles wel geïmplementeerd. Volgens Proofpoint is dat geen kwestie van onderpresterende securityteams, maar van een structureel probleem: AI ging in productie voordat het governance-model er klaar voor was. Slechts 48 procent van de organisaties zegt dat beveiliging vanaf het begin bij de AI-strategie betrokken was, tegenover 52 procent dat securitybetrokkenheid omschrijft als reactief, inconsistent of achterlopend.
Dat de bestaande controles tekortschieten, komt volgens het rapport doordat ze zijn gebouwd voor een dreigingsmodel van vóór AI. Organisaties hebben wel bescherming tegen klassieke e-mailthreats, maar missen specifieke controles tegen prompt injection, manipulatie van agents en dataschending die zich verspreidt over meerdere kanalen tegelijk. Precies dat onderscheid maakt volgens Proofpoint het verschil tussen coverage en daadwerkelijke controle.
Aanvallen bewegen zich over kanalen
Waar aanvallen vroeger vaak beperkt bleven tot één kanaal, verspreiden ze zich nu sneller over meerdere platformen tegelijk. Yaniv Niron, Director of AI and Collaborative Research bij het bedrijf en actief in zowel offensief als defensief onderzoek, noemt vooral de lage drempel voor aanvallers opvallend. “Wat mij het meest verraste, is hoe eenvoudig het is geworden om met AI complexe aanvallen uit te voeren”, zegt hij. “De drempel voor aanvallers ligt veel lager dan verwacht.”
Niron beschrijft hoe AI het beheer van gestolen accounts verandert. Waar een aanvaller vroeger handmatig toegang tot een gehackt cloudaccount moest onderhouden, bijvoorbeeld door tokens te vernieuwen, doet AI dat nu automatisch. Daardoor kan één aanvaller tienduizenden gecompromitteerde accounts tegelijk beheren. Wat voorheen een arbeidsintensieve operatie was, is met AI een schaalbaar proces geworden.
Ook prompt injection via e-mail rukt op. Een verborgen instructie in een bericht kan een AI-agent verleiden om gevoelige informatie prijs te geven. Proofpoint-onderzoekers troffen een phishingmail aan die zich voordeed als een routinemelding van Gmail, maar in de broncode verborgen tekst bevatte die specifiek was ontworpen om AI-detectiesystemen te overbelasten in plaats van te misleiden. Niet de gebruiker was hier het doelwit, maar de beveiliging zelf.
Onder organisaties die al een AI-incident meldden (42 procent van de totale respondentengroep) ligt de blootstelling nog breder dan gemiddeld: 67 procent rapporteert dreigingsactiviteit in e-mail, 57 procent in SaaS- of cloudapplicaties en 53 procent in AI-assistenten of agents zelf. Dat is opnieuw een ander cijfer dan de 50 procent onder organisaties met specifieke AI-controles die alsnog geraakt worden: het eerste gaat over de volledige steekproef, het tweede specifiek over bedrijven die al in bescherming hebben geïnvesteerd.
Vertrouwen als blinde vlek
Opvallend is welk risico organisaties zelf het laagst inschatten. Slechts 19 procent van de respondenten noemt erosie van vertrouwen in digitale communicatie een topzorg, de laagst scorende zorg in de hele survey. Volgens Pan is dat een onderschatting. “Ik denk dat organisaties het risico van vertrouwde interacties echt onderschatten”, zegt ze. “Aanvallers verplaatsen zich niet langer van het ene naar het andere kanaal zonder reden. AI is verweven in e-mail, in samenwerkingsplatforms, in SaaS-workflows zoals communicatie in de toeleveringsketen en klantinteracties. Mensen vertrouwen AI-gegenereerde samenvattingen, partners vertrouwen gedeelde workflows, organisaties geven AI-assistenten toegang tot gevoelige systemen. Dat vertrouwen vormt precies de laag die aanvallers kunnen manipuleren.”
Een voorbeeld van hoe die vertrouwenslaag wordt uitgebuit, komt uit onderzoek van Proofpoint zelf: aanvallers gebruikten de AI-websitebouwer Lovable om in enkele minuten een overtuigend nagemaakt YouTube-appealcentrum te bouwen, compleet met echte metadata per kanaal. Gebruikers die hun kanaal-URL indienden, kregen instructies om via een nagebootst Google-dialoogvenster commando’s uit te voeren die uiteindelijk informatiestelende malware installeerden. Geen technische kennis was nodig om de site te bouwen, aldus de onderzoekers.
Onderzoek als achteraf probleem
Wanneer een incident zich toch voordoet, blijkt de opsporing zwak. Slechts een derde van de organisaties zegt volledig voorbereid te zijn op het onderzoeken van een AI- of agent-gerelateerd incident, en 41 procent kan dreigingen niet kanaaloverstijgend correleren. Beheer van meerdere securitytools ervaart circa 95 procent als minstens gemiddeld uitdagend.
Volgens Niron vraagt dat om een andere manier van forensisch onderzoek. “Omdat aanvallers AI-tools gebruiken, ook na een inbraak, genereer je waarschijnlijk veel meer logs dan wanneer een mens zou hebben gehackt”, zegt hij. “Traditioneel forensisch onderzoek moet daarom worden aangepast, om ook te kunnen herkennen hoe AI zich gedraagt als aanvaller, in vergelijking met een mens.”
Dat organisaties tegelijkertijd hun AI-adoptie versnellen en hun securitymodel nog aan het bijbouwen zijn, is volgens Proofpoint geen tijdelijke groeipijn maar een structureel kenmerk van deze fase. De vraag die daarmee onbeantwoord blijft, is niet of AI het aanvalsoppervlak vergroot, dat staat vast, maar of organisaties op tijd het onderscheid leren maken tussen een systeem waarvan ze denken dat het beveiligd is, en een systeem waarvan ze het daadwerkelijk weten.