·6m leestijd·1,114 woorden·
$ share

De wrijving wás de beveiliging: Microsoft geeft een agent toegang tot je inbox

Op Build 2026 maakte Microsoft van Windows het agent-platform: OpenClaw in het OS, en Work IQ dat agents toegang geeft tot je mail en agenda, standaard aan, GA op 16 juni. Een agent die je inbox leest en in je bestanden mag, is een ideaal doelwit voor prompt injection. De wrijving die iedereen kwijt wil, was juist een beveiliging.

beveiligingAI

Vorige maand voerde een LLM-agent in zijn eentje een inbraak uit op een database, vier pivots, binnen een uur, niemand achter het toetsenbord. Dat was de agent van een aanvaller.

Deze maand kondigde Microsoft op Build 2026 aan dat het een agent aan jóuw kant van de muur zet. Ingebakken in het besturingssysteem. Met toegang tot je mail.

Houd die twee feiten even naast elkaar.

Wat ze echt uitbrachten

Microsoft gebruikte Build om van Windows een agent-platform te maken. Niet een plek waar agents langskomen, maar de plek waar ze wonen.

De grote stukken:

  • OpenClaw draait nu native in Windows. Het open agent-framework van Peter Steinberger, dat apps bestuurt, het web afstruint en zelfstandig bestanden beheert, draait nu volwaardig op het OS, met een companion-app om je eigen agents op te zetten.
  • Intelligent Terminal. Je terminal krijgt een agent-paneel. Een mislukt commando levert meteen context en voorgestelde fixes op van je gekoppelde agent, ter plekke.
  • Work IQ. Dit is de belangrijke. Een contextlaag die agents toegang geeft tot je Microsoft 365-data, expliciet inclusief "e-mails en vergaderingen". Algemeen beschikbaar op 16 juni.
  • Ongelimiteerd. Het wordt verkocht als het wegnemen van de kostendrempel om te experimenteren. Wrijvingsloos. Standaard aan.

Lees dat lijstje als developer en het klinkt geweldig. Lees het als aanvaller en het leest als een verlanglijst.

Eer wie eer toekomt

Microsoft heeft dit niet kaal de deur uit gedaan. Het verhaal rond containment is echt, en beter dan bij de meesten.

Agents draaien binnen Microsoft Execution Containers, een policy-gedreven sandbox met process-isolatie, session-isolatie die de agent afschermt van je klembord en invoerapparaten, en een micro-VM-laag op de roadmap voor risicovol werk. Agents krijgen een eigen identiteit via Entra, zodat elke actie aan de agent wordt toegeschreven en je in de logs mens van machine kunt onderscheiden. Defender claimt realtime bescherming tegen prompt injection.

Daar zit serieus werk in, en het is meer dan de vibe-coding-platforms die bij duizenden tegelijk credentials lekten ooit hebben gedaan. Ik doe niet alsof het niks is.

Maar kijk eens naar wat het allemaal eigenlijk regelt.

Isolatie beantwoordt de verkeerde vraag

Al die maatregelen beantwoorden dezelfde vraag: waar draait de agent, en wat mag hij aanraken?

Geen ervan beantwoordt de vraag die telt bij een agent die je mail leest: van wie krijgt hij zijn opdrachten?

Daar draait indirecte prompt injection helemaal om. De agent wordt vertrouwd. Hij draait met jouw rechten. En dan leest hij een document, een webpagina, een agenda-uitnodiging, een e-mail, en in die inhoud zitten instructies verstopt. De agent kan het verschil niet zien tussen "data die mijn gebruiker wil laten verwerken" en "commando's die een aanvaller in die data heeft gestopt." Voor het model is het allemaal gewoon tekst in het contextvenster.

Een agent die je inbox leest en in je bestanden mag, is een doelwit uit het boekje. De aanvaller heeft je wachtwoord niet nodig. Geen CVE. Hij hoeft je alleen een mail te sturen die je behulpzame agent braaf zal lezen, met een paar regels erin verstopt die de agent als opdracht opvat.

Microsofts eigen securityblog noemt prompt injection precies één keer, als iets dat Defender afhandelt. Het besteedt alinea's aan isolatie, data loss prevention en het in kaart brengen van agents. Het gaat niet in op het geval waarin een vertrouwde agent onbetrouwbare inhoud onder ogen krijgt en zich erdoor laat sturen. Dat is geen voetnoot. Dat is de voordeur.

Het is het confused deputy-probleem, tientallen jaren oud, in een nieuw jasje. De agent heeft al jouw bevoegdheden. De aanvaller heeft de agent in zijn macht. Het opsluiten van de hulpkracht in een sandbox helpt niet als die hulpkracht degene is die jij hebt gevraagd om de post te lezen.

Wrijvingsloos wás de beveiliging

Dit is het deel dat je het meest zou moeten dwarszitten.

Alles waar Microsoft trots op is dat het verdwijnt, het afrekenen per gebruik, de bevestigingen, het handmatige fiat, het kostenplafond dat je twee keer liet nadenken, deed beveiligingswerk, of iemand het nou zo noemde of niet.

Wrijving is een rem. Elke "weet je het zeker?" is een controlepunt waar een mens kan opmerken dat er iets niet klopt. Elke prijs per token is een reden waarom de agent niet zomaar in een opwelling je hele inbox doorploegt. "Ongelimiteerd en standaard aan" betekent dat de remmen eraf zijn en de motor zichzelf start.

En "standaard aan", uitgerold over alle Windows-machines, betekent dat de schade niet langer beperkt blijft tot de machine van één nieuwsgierige developer. Het gaat om elke desktop in je organisatie. De vertrouwensgrens verschoof zojuist van "mag deze binary draaien" naar "kun je deze agent ergens toe overhalen via een bericht in iemands inbox", en bijna niemand die dit op 16 juni uitrolt heeft die grens bewust opnieuw getrokken.

Wat je echt moet doen

Je krijgt dit waarschijnlijk of je erom vroeg of niet. Behandel het dus voor wat het is: een nieuwe geprivilegieerde identiteit op elke machine.

  • Perk agent-identiteiten in zoals service-accounts. Entra geeft elke agent een eigen identiteit. Gebruik dat. Least privilege, smalle scopes, geen vaste toegang tot iets wat een agent niet strikt nodig heeft. Een agent is geen mens en hoort niet de brede rechten van een mens te erven.
  • Laat nooit één agent tegelijk onbetrouwbare inhoud lezen én schrijf- of uitvoerrechten hebben op iets wat ertoe doet. Die combinatie ís de kwetsbaarheid. Read-only agents voor inbox en web. Handelende agents aan een korte, gecontroleerde lijn. Houd ze gescheiden.
  • Loop de Work IQ-uitrol na vóór de 16e, niet erna. Bepaal bewust welke agents toegang krijgen tot inbox en agenda, en voor wie. De standaardinstelling is geen keuze, maar het ontbreken ervan.
  • Log agent-acties als een eigen categorie. Met Entra kun je mens van agent onderscheiden. Sluis dat door naar je monitoring en sla alarm bij agent-gedrag, net zoals de Sysdig-onderzoekers machinematig gedrag betrapten: snelheid, uitwaaiering, acties die geen mens zou doen.
  • Ga ervan uit dat alle inhoud die een agent leest van een aanvaller komt. Mail, web, gedeelde documenten, uitnodigingen. Als de agent bereikbaar is via iets wat een buitenstaander kan opsturen, behandel dat kanaal dan standaard als vijandig.

Twee verhalen kwamen in dezelfde week voorbij. In het ene zat niemand achter het stuur bij de aanvaller. In het andere zit niemand achter het stuur van het ding dat nu op je eigen desktop staat. Allebei draaien ze op vertrouwen dat we weggaven zonder er echt over te beslissen.

De wrijving die we zo graag kwijt zijn, was juist het moment waarop we even stopten om na te denken. Microsoft haalde dat eruit en noemde het vooruitgang.

// gerelateerd

Er zat niemand achter het stuur: de eerste inbraak die een agent zelf uitvoerde

Sysdig betrapte een LLM-agent die in zijn eentje een complete inbraak uitvoerde, van CVE tot leeggetrokken database, vier pivots, binnen een uur, zonder dat een mens ook maar één commando typte. Onze verdediging gaat ervan uit dat er iemand aan de andere kant zit. Die vlieger gaat niet meer op.

Ze vroegen het de bot gewoon netjes: je supportagent is het aanvalsoppervlak

Pro-Iraanse hackers kaapten de Instagram-accounts van het Obama-Witte Huis en de Amerikaanse Space Force door Meta's AI-supportbot een wachtwoord te laten resetten. Geen exploit, geen CVE. Gewoon een gesprek met een systeem dat geen achterdocht kent.

ThePrimeagen Had Gelijk

Hij waarschuwde dat AI-tools je kritisch oordeel sloopt. Daarna draaiden zijn volgers een vergiftigd commando uit een tweet zonder het te lezen. Hij had gelijk.