Agentic AI Supply Chain Security: Wanneer de Skills van uw AI-agent het Aanvalspad Worden
Agent-skills, plugins en MCP-servers zijn uitvoerbare code, geen configuratie. Inventariseer, test en verhard uw agentic AI supply chain in 2026.
TL;DR
- In januari 2026 werd CVE-2026-25253 de eerste CVE ooit toegekend aan een agentic AI-systeem, nadat een gemanipuleerd skillpakket remote code execution bereikte in een skill-runtime.
- Agent-skills, plugins en MCP-servers zijn uitvoerbare code van derden, geen passieve configuratie, en de meeste organisaties hebben geen inventaris van wat ze geïnstalleerd hebben.
- Een rapport uit 2026 identificeerde tientallen agent-frameworkcomponenten met kwetsbaarheden die via supply chain compromise geïntroduceerd waren.
- Prompt injection test wat een aanvaller uw model kan laten zeggen of doen. Supply chain testing test wat de agent überhaupt mag uitvoeren en bereiken.
- Behandel elke skill, plugin en MCP-verbinding als een dependency: inventariseer ze, toets ze, en red team ze voor ze in productie gaan.
Agentic AI is voorbij de chatbot. Agents boeken, kopen, schrijven code en beheren infrastructuur namens u, en ze krijgen die mogelijkheden door skills, plugins en MCP-servers te installeren, net zoals een ontwikkelaar een open-source package installeert. Dat gemak creëerde een nieuwe supply chain, en in 2026 leverde die zijn eerste CVE op. De AI-systemen penetratietesten van Sectricity dekken deze laag steeds vaker mee, naast de model-niveau risico's uit Prompt Injection Uitgelegd en de toegangsproblemen uit Je AI-agent kan bij je productiedatabase.
Wat Is de Agentic AI Supply Chain?
Elke component waar een agent op steunt om te handelen, zijn skills, plugins, tool-definities en de MCP-servers waarmee hij verbindt, is software geschreven door iemand anders. Ze komt uit een marktplaats, een package registry of een GitHub-repository, en draait met welke rechten de agent ook heeft. Dat is een supply chain in dezelfde zin als de npm- of pip-dependencies van uw applicatie, alleen heeft bijna niemand die geïnventariseerd.
Skills, plugins, MCP-servers en frameworks als nieuwe dependencies
Een skill of plugin is geen statische instelling. Het is uitvoerbare logica die de agent laadt en draait, vaak met de mogelijkheid om bestanden te lezen, API's aan te roepen of interne systemen te bereiken. Hoe het Model Context Protocol zelf misbruikt wordt als aanvalsvector beschreven we in Hoe hackers MCP misbruiken; de supply chain-invalshoek zit een laag hoger: de geïnstalleerde component kan al kwaadaardig of kwetsbaar zijn voordat er ook maar één MCP-aanroep gebeurt.
Het Nieuwe Aanvalsoppervlak: Hoe Agentcomponenten Gecompromitteerd Raken
Kwaadaardige of typosquatted skill-packages
Aanvallers publiceren skill-packages met namen die lijken op populaire packages, of nemen een legitiem package over nadat het een gebruikersbasis heeft opgebouwd. Eenmaal geïnstalleerd draait het package met de volledige rechten van de agent.
Kwetsbare agent-frameworkcomponenten
Naast bewust kwaadaardige packages bevatten de frameworks en libraries waarop agents gebouwd zijn ook gewone kwetsbaarheden, het soort dat een codereview of componentscan normaal zou opvangen, behalve dat deze componenten draaien binnen een autonome uitvoeringslus in plaats van een passieve applicatie.
CVE-2026-25253: de eerste CVE toegekend aan een agentic AI-systeem
In januari 2026 werd aangetoond dat een gemanipuleerd skillpakket remote code execution bereikte binnen de skill-runtime van een agent. Het was de eerste keer dat een CVE-identifier specifiek werd toegekend aan een agentic AI-systeem in plaats van aan een traditionele applicatie of library, en het bevestigde dat skill-runtimes dezelfde aandacht verdienen als elke andere uitvoeringsomgeving.
Waarom Dit Verschilt van Traditioneel Software Supply Chain Risico
Agents handelen autonoom, op machinesnelheid
Een gecompromitteerde dependency in een traditionele applicatie wacht tot ze getriggerd wordt door een aanvraag. Een gecompromitteerde skill binnen een autonome agent kan door de agent zelf worden aangeroepen, in een lus, zonder mens ertussen. Het blootstellingsvenster wordt gemeten in de tijd die de agent nodig heeft om te beslissen ze aan te roepen.
Vertrouwensgrenzen vervagen tussen code, data en instructies
In een normale applicatie zijn code en data gescheiden. In een agent kunnen een document dat de agent leest, de output van een tool en een instructie allemaal in dezelfde context terechtkomen en op dezelfde manier behandeld worden. Een kwetsbare of kwaadaardige skill hoeft geen mens te misleiden, ze hoeft alleen door de agent aangeroepen te worden.
Wat Organisaties Fout Doen
Skills behandelen als statische configuratie, niet als uitvoerbare code
Teams die nooit een ongereviewde library in productie zouden toelaten, laten routinematig een ongereviewde skill of plugin toe in de toolset van een agent, omdat het eruitziet als configuratie in plaats van code.
Geen inventaris van wat een agent kan bereiken of uitvoeren
Zonder een lijst van elke skill, plugin en MCP-verbinding waar een agent toegang toe heeft, kan een organisatie een basisvraag niet beantwoorden: wat kan deze agent eigenlijk doen, en bij welke systemen.
Hoe Test en Verhard je je Agentic AI Supply Chain
Inventariseer elke skill, plugin en MCP-verbinding
Begin met een volledige lijst van wat er geïnstalleerd is, waar het vandaan komt, en met welke rechten het draait. Dit is dezelfde discipline als een software bill of materials, toegepast op agent-componenten.
Red team de agent, niet enkel het model
Testen op modelniveau (prompt injection, jailbreaks) is nodig maar niet voldoende. Een red team-opdracht tegen een agentic systeem test wat er gebeurt als een skill kwaadaardig of gecompromitteerd is, niet enkel wat er gebeurt bij een adversariële prompt.
Vendor- en component-vetting vóór deployment
Toets externe skills en MCP-servers vóór deployment op dezelfde manier als u een nieuwe softwareleverancier zou beoordelen, en herhaal die toetsing op een vast ritme. Organisaties die naar NIS2- of EU AI Act-bewijslast toewerken, doen er goed aan dit op te nemen in hun bestaande penetratietest-programma in plaats van het als een aparte oefening te behandelen.
Veelgestelde vragen
Wat is agentic AI supply chain security?
Het is de praktijk van het identificeren, toetsen en testen van elke skill, plugin, tool-definitie en MCP-server waarvan een AI-agent afhankelijk is, aangezien elk daarvan uitvoerbare code van derden is die draait met de rechten van de agent.
Hoe verschilt dit van prompt injection?
Prompt injection richt zich op wat het model via zijn input wordt opgedragen te doen. Supply chain security richt zich op de componenten die de agent laadt en uitvoert, ongeacht wat een prompt zegt. Meer hierover in Prompt Injection Uitgelegd.
Wat was CVE-2026-25253?
Het was de eerste CVE specifiek toegekend aan een agentic AI-systeem, na een aangetoonde remote code execution in een skill-runtime via een gemanipuleerd skillpakket, in januari 2026.
Kan penetratietesten agent-skills en plugins dekken?
Ja. AI-systemen penetratietesten kunnen het reviewen van geïnstalleerde skills en plugins omvatten, het testen van MCP-verbindingen, en het beoordelen van wat een agent kan bereiken als een component gecompromitteerd is.
Hoe vaak moeten we onze agentic AI-stack testen?
Minstens jaarlijks, in lijn met het ritme dat verwacht wordt voor andere gereguleerde security testing, en opnieuw telkens er nieuwe skills, plugins of MCP-servers aan productie-agents worden toegevoegd.
Vereisen NIS2 of de EU AI Act dit soort testen?
Geen van beide noemt agentic AI supply chains expliciet, maar beide verwachten dat organisaties gestructureerde, bewijsgebaseerde testing van de systemen waar ze op steunen kunnen aantonen. Een agent met ongereviewde componenten van derden is een moeilijke lacune om te verdedigen tegenover een auditor.
Gerelateerde diensten en bronnen
Sectricity test agentic AI-implementaties van begin tot einde, van het model zelf tot de skills, plugins en MCP-servers waar het van afhangt. Onze AI-systemen penetratietesten dekken deze componentlaag rechtstreeks, en voor organisaties die willen weten hoe hun agent zich gedraagt onder een echte, mensgeleide aanval in plaats van een gescript testje, gaan onze red team-opdrachten verder. Beide sluiten aan op het bredere penetratietest-programma dat veel van onze klanten al draaien voor NIS2- en EU AI Act-bewijslast. Als u ze nog niet gelezen hebt, behandelen Prompt Injection Uitgelegd en Je AI-agent kan bij je productiedatabase de model- en toegangsrisico's die naast het supply chain-risico uit deze post staan.