De AI-agentindustrie beleeft momenteel een bekend verhaal. AI-agents maken gebruik van de algemene mogelijkheden van grote modellen om de oplossing van complexe gebruikerstaken te automatiseren met behulp van bestaande technologieën en tools. Dit positioneert ze als de meest veelbelovende weg voor de inzet van modeltechnologie van vandaag.
De afgelopen maanden is er een explosie van AI-agentproducten geweest. Hoogwaardige aanbiedingen zoals Manus hebben brede aandacht gekregen, en nieuwe modellen van OpenAI en Google worden in toenemende mate ‘AI-agent-ized’. Cruciaal is dat standaardprotocollen snel aan populariteit winnen.
Anthropic heeft eind vorig jaar MCP (Model Communication Protocol) als open-source uitgebracht. MCP heeft tot doel een open, gestandaardiseerde specificatie tot stand te brengen die grote taalmodellen in staat stelt naadloos te interageren met verschillende externe gegevensbronnen en tools, zoals bedrijfssoftware, databases en code repositories. Binnen enkele maanden na de release hebben OpenAI, Google, Alibaba en Tencent allemaal hun steun betuigd en het geïntegreerd. Hierna lanceerde Google A2A (Agent-to-Agent), met als doel de samenwerking en workflows tussen AI-agents te automatiseren. Dit heeft het ontluikende AI-agentlandschap verder aangewakkerd.
In essentie pakken deze protocollen twee belangrijke uitdagingen aan: MCP faciliteert verbindingen tussen agents en tool/service providers, terwijl A2A collaboratieve verbindingen tussen agents mogelijk maakt om zeer complexe taken te volbrengen.
Daarom kan MCP worden vergeleken met vroege unified interfaces, terwijl A2A lijkt op het HTTP-protocol.
Echter, in de geschiedenis van het internet werd de komst van HTTP gevolgd door een cruciaal element dat noodzakelijk was voor de echte welvaart van het internet: beveiligingsnormen gelaagd bovenop het protocol.
Vandaag staan MCP en A2A voor een soortgelijk probleem.
‘Toen HTTP opkwam, kwam het later voor aanzienlijke beveiligingsuitdagingen te staan. Het internet heeft deze evolutie meegemaakt’, legt Zixi uit, technisch leider van de IIFAA (Internet Industry Financial Authentication Alliance) Trusted Authentication Alliance en expert in AI-agentbeveiliging.
Deze uitdagingen kunnen zich in verschillende vormen manifesteren. Momenteel kunnen kwaadwillende actoren valse ‘weeropvraag’-tools maken en deze registreren bij MCP-servers, waarbij ze heimelijk gebruikersvluchtinformatie op de achtergrond stelen. Wanneer een gebruiker medicatie koopt via een agent, kan agent A verantwoordelijk zijn voor het kopen van cefpodoxime, terwijl agent B alcohol koopt. Door een gebrek aan platformoverschrijdende risico-identificatiemogelijkheden kan het systeem geen ‘gevaarlijke combinatie’-waarschuwing geven, zoals bestaande e-commerceplatforms wel doen. Nog kritischer is dat agent-to-agent authenticatie en data-eigendom onduidelijk blijven. Autoriseert de gebruiker een lokale applicatie op zijn apparaat, of synchroniseren ze privégegevens naar de cloud?
‘A2A stelt in zijn officiële documentatie dat het alleen de beveiliging van de transmissie op het hoogste niveau garandeert. Het laat de verantwoordelijkheid voor het waarborgen van de oorsprong van identiteit en credentials, dataprivacy en intentieherkenning over aan individuele bedrijven.’
De echte bloei van intelligente agents vereist dat deze problemen worden aangepakt. De IIFAA, waar Zixi werkt, is de eerste organisatie die dit probleem aanpakt.
‘In deze context is de IIFAA toegewijd aan het oplossen van een reeks problemen waarmee intelligente agents in de toekomst zullen worden geconfronteerd’, zegt Zixi. ‘In het tijdperk van A2A hebben we ook een vergelijkbaar product gedefinieerd, genaamd ASL (Agent Security Layer), dat kan voortbouwen op het MCP-protocol om de beveiliging van agents te waarborgen op het gebied van machtigingen, data, privacy en andere aspecten. Dit middleware-product pakt ook de uitdagingen aan van het overzetten van A2A naar toekomstige beveiligingsnormen.’
De IIFAA Intelligent Agent Trusted Interconnection Working Group is de eerste binnenlandse AI-agentbeveiligingsecosysteem-samenwerkingsorganisatie. Het is gezamenlijk geïnitieerd door de China Academy of Information and Communications Technology (CAICT), Ant Group en meer dan twintig andere technologiebedrijven en -instellingen.
Van ASL naar schaalbaarheid
‘De ontwikkeling van AI Agents verloopt sneller dan we hadden verwacht, zowel technologisch als in termen van de acceptatie van normen door het ecosysteem’, zegt Zixi.
Het concept van de IIFAA van een beveiligingsprotocol voor agent-to-agent communicatie ontstond al in november vorig jaar, voorafgaand aan de release van MCP. De IIFAA Intelligent Agent Trusted Interconnection Working Group werd officieel opgericht in december, samenvallend met de officiële release van MCP.
‘Kwaadwillende actoren beheersen soms sneller nieuwe technologieën dan verdedigers. We kunnen niet wachten tot er problemen ontstaan voordat we over orde discussiëren. Dat is de noodzaak van het bestaan van deze werkgroep’, verklaarde een IIFAA-lid in een eerdere presentatie. Het samen opbouwen van industrienormen voor beveiliging en wederzijds vertrouwen is cruciaal voor een gezonde ontwikkeling op lange termijn.
Volgens Zixi ligt hun huidige focus op het aanpakken van de volgende belangrijke problemen in de eerste fase:
Agent Trusted Identity: ‘We streven ernaar een Agent-certificeringssysteem op te bouwen op basis van gezaghebbende instellingen en wederzijdse erkenningsmechanismen. Net als het nodig hebben van een paspoort en visum voor internationale reizen, stelt dit gecertificeerde Agents in staat om snel lid te worden van een samenwerkingsnetwerk en voorkomt het dat niet-gecertificeerde Agents de samenwerkingsorde verstoren.’
Intent Trusted Sharing: ‘Samenwerking tussen intelligente agents is afhankelijk van de authenticiteit en nauwkeurigheid van intentie. Daarom is het delen van intentie cruciaal voor het waarborgen van efficiënte en betrouwbare multi-agent samenwerking.’
Context Protection Mechanism: ‘Wanneer een AI Agent verbinding maakt met meerdere MCP-servers (multi-channel protocol), wordt alle toolbeschrijvingsinformatie in dezelfde sessiecontext geladen. Een kwaadwillende MCP Server kan dit misbruiken om kwaadaardige instructies te injecteren. Contextbescherming kan kwaadwillige interferentie voorkomen, de systeembeveiliging handhaven, de integriteit van de gebruikersintentie waarborgen en vergiftigingsaanvallen voorkomen.’
Data Privacy Protection: ‘In multi-agent samenwerking kan het delen van data leiden tot privacybreuken. Privacybescherming is cruciaal voor het voorkomen van misbruik van gevoelige informatie.’
Agent Memory Trusted Sharing: ‘Het delen van geheugen verbetert de efficiëntie van multi-agent samenwerking. Het veilig delen van geheugen zorgt voor dataconsistentie, authenticiteit en beveiliging, waardoor manipulatie en lekken worden voorkomen, de effectiviteit van de samenwerking en het vertrouwen van de gebruiker worden verbeterd.’
Identity Trusted Circulation: ‘Gebruikers verwachten een naadloze en soepele service-ervaring in AI-native applicaties. Daarom is het bereiken van platformoverschrijdende, niet-intrusieve identiteitsherkenning essentieel voor het verbeteren van de gebruikerservaring.’
‘Dit zijn onze kortetermijndoelen. Vervolgens zullen we ASL vrijgeven aan de hele industrie. Dit is een software-implementatie, geen protocol-specificatie. Het kan worden toegepast op MCP en A2A om de beveiliging op bedrijfsniveau van deze twee protocollen te verbeteren. Dit is de kortetermijndoelstelling’, legt Zixi uit.
‘In het begin zullen we geen dingen specificeren op de beveiligingslaag. We zullen A2AS niet specificeren. In plaats daarvan hopen we dat als iemand in de toekomst A2AS specificeert, onze ASL een software-implementatiecomponent kan worden, net zoals SSL een software-implementatiecomponent van HTTPS is.’
De HTTPS Analogie: De toekomst van AI Agents beveiligen
Parallellen trekkend met de geschiedenis van HTTPS, stelt de verzekering van beveiliging de wijdverbreide acceptatie van functionaliteiten zoals betalingen in staat, waardoor de weg wordt vrijgemaakt voor grootschaliger commerciële mogelijkheden. Een soortgelijk ritme speelt zich momenteel af. Op 15 april werkte Alipay samen met de ModelScope-gemeenschap om de ‘Payment MCP Server’-service te onthullen. Dit stelt AI-ontwikkelaars in staat om naadloos Alipay-betalingsdiensten te integreren met behulp van natuurlijke taal, waardoor een snelle implementatie van betalingsfunctionaliteiten binnen AI-agents mogelijk wordt.
Het één voor één aanpakken van deze kortetermijndoelstellingen zal uiteindelijk resulteren in de vorming van een veilige Agent-samenwerkingsnorm en -omgeving. De sleutel tot dit proces is het bereiken van een schaaleffect. Binnenlandse MCP ‘winkels’ die snel in beweging komen, zijn al begonnen te handelen. Ant Group’s intelligente agentplatform Baibaoxiang’s ‘MCP Zone’ zal IIFAA’s beveiligingsoplossingen integreren. Deze ‘MCP Store’ ondersteunt momenteel de implementatie en aanroep van verschillende MCP-services, waaronder Alipay, Amap en Wuying, waardoor de snelste creatie van een intelligente agent die is verbonden met MCP-services in slechts 3 minuten mogelijk is.
Zixi gelooft dat de algemene mogelijkheden van grote modellen het potentieel hebben om gebruikerservaringen en interactieparadigma’s echt te revolutioneren. In de toekomst kan de huidige aanpak van het aanroepen van Apps om taken te voltooien worden vervangen door een supergateway die vertrouwt op een toolpool die achter de schermen verborgen is, vergelijkbaar met een MCP Store. Dit zal eenvoudiger worden en meer begrip hebben voor de behoeften van de gebruiker. Commercialisering wordt mogelijk.
‘De ontwikkeling van AGI is nu de fase van de intelligente agent ingegaan. Vergeleken met chatrobots en AI met beperkte redeneermogelijkheden, hebben intelligente agents zich eindelijk bevrijd van de point-to-point gesloten fase, waarmee ze echt een nieuw hoofdstuk in commerciële toepassingen openen.’
De IIFAA heeft onlangs ASL gelanceerd en de open-source release aangekondigd. Door openlijk code, normen en ervaring te delen, wil het technologische innovatie en iteratie versnellen, branchebedrijven en ontwikkelaars aansporen om op grote schaal deel te nemen en de standaardisatie van technologie binnen de industrie te bevorderen. Het open-source plan zal de meest permissieve Apache 2.0-licentie aannemen en de ontwerpdocumenten voor de codebibliotheek beveiligingspraktijken extern beschikbaar stellen. Wereldwijde ontwikkelaars kunnen deelnemen aan co-constructie binnen de Github-gemeenschap.
De noodzaak van beveiliging in AI Agent-ontwikkeling
De opkomst van AI-agents vertegenwoordigt een paradigmaverschuiving in de manier waarop we met technologie omgaan. We zijn niet langer beperkt tot discrete applicaties, maar we bewegen ons eerder naar een wereld waarin intelligente agents naadloos een veelvoud aan tools en diensten kunnen orkestreren om onze doelen te bereiken. Deze visie is echter afhankelijk van het aanpakken van de inherente beveiligingsrisico’s die gepaard gaan met zo’n krachtige technologie. Net zoals het internet HTTPS nodig had om veilige e-commerce en andere gevoelige transacties te faciliteren, hebben AI-agents robuuste beveiligingsnormen nodig om vertrouwen te bevorderen en wijdverbreide acceptatie mogelijk te maken.
Het huidige landschap van AI-agentontwikkeling wordt gekenmerkt door snelle innovatie en experimenten. Nieuwe modellen, protocollen en applicaties komen in een ongekend tempo op. Hoewel deze dynamiek ongetwijfeld opwindend is, vormt het ook een uitdaging: beveiligingsproblemen worden vaak ondergeschikt gemaakt aan snelheid en functionaliteit. Dit kan leiden tot kwetsbaarheden die kwaadwillende actoren kunnen uitbuiten, waardoor mogelijk gebruikersgegevens in gevaar komen, diensten worden verstoord en het vertrouwen in het hele ecosysteem wordt ondermijnd.
De analogie met de begindagen van het internet is bijzonder treffend. Bij gebrek aan wijdverbreide beveiligingsmaatregelen werd het internet geplaagd door oplichting, fraude en andere kwaadwillende activiteiten. Dit belemmerde de groei en verhinderde het om zijn volledige potentieel te bereiken. Pas met de komst van HTTPS en andere beveiligingsprotocollen werd het internet een veilig en betrouwbaar platform voor e-commerce, online bankieren en andere gevoelige transacties.
Op dezelfde manier hebben AI-agents een sterke basis van beveiliging nodig om hun transformatieve potentieel te realiseren. Zonder een dergelijke basis lopen ze het risico een broedplaats te worden voor nieuwe vormen van cybercriminaliteit en online uitbuiting. Dit kan innovatie verstikken, het vertrouwen van de gebruiker uithollen en uiteindelijk voorkomen dat AI-agents de alomtegenwoordige en gunstige technologie worden die velen voor ogen hebben.
De beveiligingsuitdagingen aanpakken
De beveiligingsuitdagingen waarmee AI-agents worden geconfronteerd, zijn veelzijdig en vereisen een uitgebreide aanpak. Enkele van de belangrijkste uitdagingen zijn:
- Authenticatie en autorisatie: Ervoor zorgen dat alleen geautoriseerde agents toegang hebben tot gevoelige data en middelen. Dit vereist robuuste authenticatiemechanismen en gedetailleerde toegangscontroles.
- Data Privacy: Het beschermen van gebruikersdata tegen ongeoorloofde toegang, gebruik of openbaarmaking. Dit vereist het implementeren van privacybehoudende technieken zoals anonimisering, encryptie en differentiële privacy.
- Intent Verification: Verifiëren dat de intentie van een agent is afgestemd op de doelen van de gebruiker en dat deze niet wordt gemanipuleerd door kwaadwillende actoren. Dit vereist het ontwikkelen van geavanceerde intentieherkennings- en verificatiealgoritmen.
- Contextual Security: Het beschermen van agents tegen kwaadaardige aanvallen die kwetsbaarheden in de omgeving uitbuiten. Dit vereist het implementeren van robuuste beveiligingsmaatregelen op alle lagen van het systeem, van de hardware tot de software.
- Agent-to-Agent Security: Ervoor zorgen dat agents veilig met elkaar kunnen communiceren en samenwerken. Dit vereist het ontwikkelen van veilige communicatieprotocollen en vertrouwensmechanismen.
De ASL van de IIFAA is een veelbelovende stap in de goede richting. Door een software-implementatie te bieden die de beveiliging van MCP en A2A verbetert, kan ASL helpen om enkele van deze uitdagingen aan te pakken. Er moet echter meer worden gedaan om een uitgebreid beveiligingskader voor AI-agents te creëren.
Het pad voorwaarts: samenwerking en standaardisatie
De ontwikkeling van veilige AI-agents vereist een gezamenlijke inspanning waarbij onderzoekers, ontwikkelaars, belanghebbenden uit de industrie en beleidsmakers betrokken zijn. Enkele van de belangrijkste stappen die moeten worden genomen, zijn:
- Open normen ontwikkelen: Het vaststellen van open normen voor AI-agentbeveiliging is cruciaal voor het waarborgen van interoperabiliteit en het bevorderen van innovatie.
- Best practices delen: Het delen van best practices voor veilige AI-agentontwikkeling kan helpen om veelvoorkomende kwetsbaarheden te voorkomen en een cultuur van beveiliging te bevorderen.
- Investeren in onderzoek: Investeren in onderzoek naar AI-agentbeveiliging is essentieel voor het ontwikkelen van nieuwe technieken en technologieën om opkomende bedreigingen aan te pakken.
- Onderwijs en bewustwording bevorderen: Het bevorderen van onderwijs en bewustwording over AI-agentbeveiliging kan helpen om de lat voor beveiliging hoger te leggen en verantwoorde ontwikkeling aan te moedigen.
- Regelgevingskaders vaststellen: Het vaststellen van regelgevingskaders voor AI-agentbeveiliging kan helpen om ervoor te zorgen dat beveiliging prioriteit krijgt en dat gebruikers worden beschermd.
Door samen te werken, kunnen we een toekomst creëren waarin AI-agents niet alleen krachtig en gunstig zijn, maar ook veilig en betrouwbaar. Dit vereist een gezamenlijke inspanning om de beveiligingsuitdagingen die voor ons liggen aan te pakken en een sterke basis van beveiliging te bouwen voor het AI-agentecosysteem. Alleen dan kunnen we het volledige potentieel van AI-agents ontsluiten en een werkelijk transformatieve technologie creëren. De inspanningen van organisaties als IIFAA zijn lovenswaardig in het leiden van dit initiatief, maar wijdverbreide acceptatie en naleving van beveiligingsnormen zijn cruciaal voor de veilige en welvarende ontwikkeling van AI-agents.