Shadow AI ontdekken in je organisatie
Shadow AI verbergt zich in identity, SaaS, endpoints, code en cloud. Leer ongekeurde AI-tools ontdekken en waar menselijke validatie telt.
TL;DR
- Shadow AI is elke AI-tool, model, agent of ingebedde AI-functie die zonder goedkeuring of controle in je organisatie draait.
- Het verspreidt zich over vijf lagen: identity, SaaS, endpoints, code en cloud. Geen enkele tool ziet ze allemaal.
- Het meeste ontdek je met data die je al hebt: DNS- en egress-logs, OAuth-grants, SSO-logs, secrets in code en uitgavenoverzichten.
- De snelst groeiende blinde vlek is lokale agentic AI: MCP-servers zonder authenticatie op laptops die SSH-keys kunnen lezen en naar een extern model sturen.
- Ontdekken levert een inventaris op. Testen of die AI-systemen echt misbruikt kunnen worden is een aparte stap, en die vraagt menselijke validatie.
Vraag de meeste organisaties welke AI-tools er binnen hun muren draaien, en het eerlijke antwoord is "dat weten we niet." Dat gat is vandaag een van de grootste onbeheerde risico's in security. Wie degelijke discovery opzet, vindt telkens veel meer AI dan het management verwachtte. Deze gids legt uit wat shadow AI is, hoe je het vindt over de vijf lagen waar het zich verbergt, en waar een gestructureerde AI-pentest past zodra je weet wat je hebt. We trekken ook een duidelijke lijn tussen wat een eenmalige discovery-audit wel en niet ziet, want die eerlijkheid is het verschil tussen echt zicht en een vals gevoel van controle.
Wat shadow AI precies is
Shadow AI is een deelverzameling van shadow IT, maar met een ander risicoprofiel. Een klassieke ongekeurde SaaS-app bewaart data. Een AI-tool verwerkt ze, en bewaart ze vaak, soms om een model te trainen waarmee je geen enkel contract hebt. Het verbergt zich ook beter, omdat AI-functies steeds vaker ingeschakeld binnenkomen in tools die je al goedkeurde: je CRM, je office-suite, je meeting notes. Niemand installeerde een nieuwe app. Iemand klikte op een knop.
De schaal is niet theoretisch. Onderzoek van Gartner toont dat 69% van de organisaties vermoedt of bevestigt dat medewerkers ongeautoriseerde AI-tools gebruiken, en discovery-audits leggen geregeld tientallen AI-tools in actief gebruik bloot, meestal zonder goedkeuring, security review of verwerkersovereenkomst. Gratis accounts komen vaak voor, waardoor bedrijfsdata wegvloeit naar diensten die ze mogelijk gebruiken om te trainen.
De vijf lagen waar shadow AI zich verbergt
Shadow AI betekent niet langer een medewerker die een chatbot opent in een browsertab. Het verspreidt zich via vijf parallelle kanalen, elk met eigen telemetrie.
Identity
Medewerkers loggen in bij AI-diensten met bedrijfscredentials via SSO en OAuth. Elke grant laat een spoor na in de consent-logs van je identity provider. OAuth is intussen het meest voorkomende transport: een AI-app krijgt lees- of schrijftoegang tot Drive, mail of Slack, vaak permanent, zonder ooit je netwerkperimeter te raken.
SaaS
AI-functies activeren standaard binnen gelicentieerde tools. Notion AI, Slack AI, Salesforce Einstein, Zoom AI Companion. Die zien er niet uit als nieuwe tools, dus klassieke discovery mist ze.
Endpoint
Desktop-AI-apps en browserextensies lezen mee wat de gebruiker leest. Coding-assistenten sturen codefragmenten naar externe API's. In 2026 breidden endpoint-leveranciers hun runtime-detectie uit naar desktop-AI-apps, net omdat die er bijna identiek uitzien als legitiem gebruikersgedrag.
Code
API-keys voor AI-providers belanden rechtstreeks in repositories en CI/CD-pipelines. Een key die buiten formele review is aangemaakt, is shadow AI met productiebereik.
Cloud
Interne applicaties roepen onder de motorkap model-endpoints aan. Een engineer zet een LangChain-service op een publiek endpoint dat interne data verwerkt, en niemand keurde dat goed.
De nieuwe blinde vlek: lokale agentic AI en MCP
De gevaarlijkste ontwikkeling van 2026 is agentic AI die lokaal draait. Engineers zetten Model Context Protocol-servers op hun laptop om assistenten te koppelen aan bestanden, databases en interne tools. Veel daarvan draait zonder authenticatie, op localhost, bereikbaar voor elk proces op de machine. Een laptop met meerdere draaiende MCP-servers is in feite een ongedocumenteerde broker die SSH-keys, .env-bestanden en credential stores kan lezen, en die context bij elke prompt naar een extern model stuurt. Er is geen SaaS-auditlog dat die tool-calls registreert, en klassieke shadow IT-discovery ziet het helemaal niet. Hoe aanvallers dit protocol rechtstreeks misbruiken, lees je in Hoe hackers MCP misbruiken.
Hoe je shadow AI ontdekt met data die je al hebt
Goede discovery is een governance- en visibility-oefening, en je komt ver zonder iets te kopen. Begin met DNS- en egress-traffic-analyse, op zoek naar nieuwe verbindingen naar bekende modelproviders en AI-domeinen. Voeg identity- en secrets-audits toe: bekijk OAuth-grants in Microsoft 365 en Google Workspace, en scan code-repositories op ingebedde AI API-keys. Haal SSO- en auditlogs op en filter ze tegen een onderhouden catalogus van AI-tools. Bekijk uitgaven- en kaartdata op AI-abonnementen die buiten aankoop om zijn genomen. Draai tot slot external attack surface scanning om klantgerichte applicaties te vangen die een LLM-integratie lanceerden zonder review.
Combineer minstens drie van die signalen. Netwerklogs alleen missen het meeste, omdat zoveel AI-gebruik browser-based en SaaS-embedded is. Classificeer daarna elke bevinding op risico. Een browserextensie die publieke webpagina's samenvat, is niet dezelfde dreiging als een agent met schrijftoegang tot een productiedatabase. Scheid wat een tool kan lezen van wat het kan wijzigen, en prioriteer daarop.
Waar tools stoppen en menselijke validatie begint
Commerciële discovery-platformen zijn echt en nuttig, maar eerlijke leveranciers geven toe dat de dekking onvolledig is door de categoriegrens, niet door een productfout. Geen enkele engine ziet een developer die lokaal een model offline draait, een analist die data plakt in een persoonlijk AI-account buiten het netwerk, of een tool die is aangemaakt met een privé-mailadres. Een discovery-audit geeft je een momentopname-inventaris. Het zegt niet of de AI-systemen die je vond, echt misbruikt kunnen worden.
Die tweede vraag is waar testen begint. Een AI-integratie vinden is discovery. Vaststellen of ze tegen je gebruikt kan worden via prompt injection, tool poisoning of excessive agency, is AI-systemen pentesten, en elke bevinding daar wordt manueel gevalideerd. Discovery vertelt je wat je hebt. Testen vertelt je wat een aanvaller ermee kan doen.
Veelgestelde vragen
Wat is het verschil tussen shadow AI en shadow IT?
Shadow IT is elke technologie die zonder IT-goedkeuring wordt gebruikt. Shadow AI is de deelverzameling met AI-tools, modellen, agents en ingebedde AI-functies. Het draagt een eigen risico omdat AI je data actief verwerkt en vaak bewaart, en omdat AI-functies zich steeds vaker verbergen in al goedgekeurde software, wat ze moeilijker detecteerbaar maakt met klassieke discovery.
Kan ik shadow AI ontdekken met tools die ik al heb?
Grotendeels wel. DNS-logs, proxy-logs, SSO- en OAuth-consent-logs, scans van code-repositories en uitgavendata dekken het grootste deel van het oppervlak. De sleutel is meerdere signalen combineren in plaats van op een te vertrouwen, want netwerktelemetrie alleen mist browser-based en SaaS-embedded AI-gebruik.
Waarom vangt mijn bestaande DLP of CASB het niet allemaal?
Die tools zijn gebouwd vóór de huidige AI-golf. Ze geven een gedeeltelijke basis, maar zijn niet ontworpen voor inspectie op promptniveau of voor het ontdekken van AI-functies ingebed in gesanctioneerde SaaS. OAuth-integraties en lokale agentic AI missen ze volledig.
Is ontdekken hetzelfde als mijn AI testen op beveiligingsfouten?
Nee. Discovery levert een inventaris op van welke AI er draait. Testen stelt vast of die systemen misbruikt kunnen worden. Een gestructureerde AI-pentest dekt prompt injection, modelmanipulatie, data-extractie en de beveiliging van elke tool die het model kan aanroepen, met menselijke validatie op elke bevinding.
Moet ik elke ongekeurde AI-tool blokkeren zodra ik ze vind?
Alles blokkeren duwt het gebruik meestal verder ondergronds. Een effectiever patroon is classificeren op risico, alleen de hoog-risico tools beperken die gevoelige data raken, en goedgekeurde alternatieven aanbieden voor de rest zodat mensen een veilig pad hebben.
Gerelateerde diensten en bronnen
Ben je begonnen met in kaart brengen waar AI in je omgeving draait en wil je weten of die systemen standhouden onder aanval, dan dekt onze AI-pentest prompt injection, modelmanipulatie en de beveiliging van gekoppelde tools en API's, met elke bevinding gevalideerd door een menselijke tester. Voor het bredere beeld van hoe AI-security testen verschilt van klassiek applicatietesten, lees onze gids over AI-systemen pentesten. En als AI maar een deel is van een bredere compliancevraag, legt ons overzicht van pentesten binnen EU-kaders uit hoe een goed afgebakend programma meerdere verplichtingen tegelijk kan invullen.