De regel werd nooit geschonden

Op 30 juni 2026 publiceerde het beveiligingsteam van Microsoft een waarschuwing over de tools waarmee jouw AI-agents verbinding maken. Het probleem is geen virus of een ongepatchte fout. Het is de korte beschrijving in gewone taal die bij elk tool wordt geleverd om de agent te vertellen wat het tool doet en wanneer het te gebruiken. Een agent leest die tekst en vertrouwt erop. Als een aanvaller die tekst aanpast, volgt de agent de aanpassing.

Microsofts voorbeeld is bewust alledaags. Een financiele agent krijgt de opdracht om de laatste dertig onbetaalde facturen te verzamelen en naar een server te sturen. Elke afzonderlijke stap ziet er legitiem uit, dus er gaat nergens een alarm af. De agent wordt niet gehackt. Hij wordt geinstrueerd, op een plek die niemand dacht te bewaken.

Het is al gebeurd

Dit is geen laboratoriumscenario. In september 2025 vonden onderzoekers een npm-pakket genaamd postmark-mcp dat een legitiem e-mailtool had nagebootst gedurende vijftien schone releases. Versie 1.0.16 voegde stiekem een enkele regel toe die elke e-mail die de agent verstuurde in het geheim naar een extern adres kopieerde. Teams die het tool maanden eerder hadden goedgekeurd, waren blootgesteld op het moment dat ze bijwerkten.

De reden dat dit soort aanvallen blijft werken, is dat de meeste controles het model in de gaten houden, niet de gereedschapskist. Een prompt-filter leest wat de gebruiker typt. Het herleest niet de beschrijving van een tool dat de agent al zes maanden vertrouwt, en dat is precies waar de instructie zich nu verbergt.

Behandel je tools als een supply chain

Microsofts eigen richtlijn is het juiste kader voor een ondernemer. Elk gekoppeld tool is onderdeel van je supply chain. Houd een lijst bij van goedgekeurde tool-uitgevers, zet 'sta alles toe' uit, en laat elke agent alleen de specifieke tools gebruiken die hij nodig heeft. Behandel de beschrijving van een tool als een system prompt, beoordeel elke wijziging eraan zoals je een codewijziging zou beoordelen, en markeer commando's die niets te zoeken hebben in een helpveld.

Niets daarvan vereist een nieuw product. Het vereist dat je weet waarmee je agents verbonden zijn, wie het geschreven heeft, en wat er veranderd is sinds je het goedkeurde. De meeste bedrijven die agents uitrollen in finance, inkoop en support kunnen die drie vragen vandaag niet beantwoorden, en dat is het echte risico.