Bedrijven integreren kunstmatige intelligentie in hoog tempo in hun bedrijfsprocessen, maar laten de beveiliging daarbij vaak achterwege. Dat blijkt uit het nieuwste rapport State of AI Security 2026 van technologiebedrijf Cisco. Volgens het onderzoek lopen organisaties daardoor het risico dat nieuwe AI-systemen een aantrekkelijk doelwit worden voor cyberaanvallen.
Waar AI enkele jaren geleden nog vooral als hulpmiddel werd gebruikt, vormt het in 2026 steeds vaker de kern van bedrijfssoftware en digitale workflows. Tegelijkertijd ontbreekt het nog aan breed geaccepteerde beveiligingsnormen voor AI-toepassingen. Volgens Cisco leidt die combinatie tot een nieuw en grotendeels onbeschermd aanvalsoppervlak.
Cisco
“De snelle adoptie van AI en agentic AI-protocollen heeft een nieuw en onbewaakt aanvalsoppervlak gecreëerd”, zegt Jan Heijdra, Field CTO Security van Cisco Nederland.
Uit eerdere onderzoeken van Cisco bleek al dat bedrijven ambitieus zijn met AI. In de AI Readiness Index van 2025 gaf 83 procent van de organisaties aan zogeheten agentic AI te willen integreren in hun processen. Toch voelde slechts 29 procent zich toen voldoende voorbereid om dat veilig te doen. Inmiddels zijn AI-modellen en -applicaties niet alleen hulpmiddelen, maar ook doelwit van cybercriminelen. Aanvallen zoals jailbreaks en prompt injections komen inmiddels dagelijks voor.
Een recent incident, het zogenoemde OpenClaw-debacle, liet volgens Cisco zien hoe kwetsbaar autonome AI-agents kunnen zijn wanneer beveiliging ontbreekt. Dergelijke systemen kunnen de integriteit van complete AI-ecosystemen in gevaar brengen.
Nieuwe aanvalsvectoren
Een belangrijke rol speelt het zogeheten Model Context Protocol (MCP), een standaard waarmee AI-modellen gekoppeld worden aan tools, databronnen en andere agents. Het protocol wordt inmiddels breed gebruikt, maar de beveiliging ervan bleef achter bij de snelle adoptie.
Volgens het rapport zijn er al diverse kwetsbaarheden ontdekt. Zo kan via zogeheten MCP tool poisoning vertrouwelijke informatie worden buitgemaakt, bijvoorbeeld volledige WhatsApp-gesprekken. Ook zijn er supply-chain-aanvallen gemeld waarbij kwaadwillende servers AI-agents misleiden en e-mails naar aanvallers doorsturen.
Veel organisaties hebben traditionele beveiligingscontroles overgeslagen omdat ze AI zo snel mogelijk wilden integreren in kritieke workflows. Volgens Cisco moeten MCP-servers, tool-registries en zogenoemde context brokers daarom net zo streng worden beveiligd als API-gateways of databases.
Nieuwe dreigingen door autonome AI
Cisco identificeerde inmiddels veertien typen dreigingen rond MCP en zeventien varianten van agent-to-agent-aanvallen. In het nieuwe beveiligingskader van het bedrijf worden negentien potentiële aanvalsdomeinen en meer dan 150 aanvalstechnieken beschreven waarmee AI-systemen kunnen worden gecompromitteerd.
Cybercriminelen proberen daarbij niet alleen de veiligheidsmechanismen van generatieve AI te omzeilen, maar richten zich ook op autonome agents die taken uitvoeren namens gebruikers. Deze aanvalsvorm staat bekend als “excessive agency”: systemen krijgen te veel autonomie over gevoelige bedrijfsprocessen.
Onderzoek van Cisco naar acht veelgebruikte open-weight taalmodellen laat zien dat zogenoemde multi-turn jailbreak-aanvallen in bijna 93 procent van de gevallen succesvol zijn. Dat wijst volgens het bedrijf op structurele zwaktes in huidige AI-modellen.
Staten en hackers benutten AI
De dreiging komt bovendien niet alleen van cybercriminelen. Ook statelijke actoren experimenteren met AI-technologie. In China werd bijvoorbeeld een AI-tool gekraakt om spionagecampagnes grotendeels te automatiseren. In Rusland wordt AI ingezet voor malwareontwikkeling, terwijl Noord-Koreaanse groepen deepfake-technologie gebruiken voor financiële fraude.
Cisco verwacht dat aanvallen in de toekomst nog geavanceerder worden, bijvoorbeeld via manipulatie van vectordatabases waarin AI-modellen informatie opslaan.
Volgens Heijdra moeten organisaties daarom een fundamenteel andere beveiligingsstrategie hanteren. Hij pleit voor een zogenoemde defence-in-depth-aanpak, gecombineerd met een Zero Trust-architectuur, waarbij AI-systemen continu worden gecontroleerd en gemonitord.
“Organisaties moeten AI behandelen als een kritieke infrastructuur,” zegt hij. “Alleen met gelaagde beveiliging en continue evaluatie kunnen ze de risico’s beheersen.”