Hoe AI-Tools Nieuwe Beveiligingsrisico's Creeerden: Van Vercel tot Claude Code

Introductie

Op 19 april bevestigde Vercel wat veel security-onderzoekers al maanden voorspelden. Aanvallers drongen het bedrijf binnen via een gecompromitteerde AI-observability tool genaamd Context.ai en kregen toegang tot interne deployments, API-keys en broncode. De losgeleis was $2 miljoen. De aanvalsvector was geen zero-day exploit of een geavanceerde code-kwetsbaarheid. Het was een OAuth-token van een AI-tool die meer toegang had dan iemand zich realiseerde.

Dit was geen geisoleerd incident. In hetzelfde kwartaal vonden Check Point-onderzoekers remote code execution kwetsbaarheden in Claude Code. Johns Hopkins University demonstreerde dat AI-agents van Anthropic, Google en Microsoft gemanipuleerd konden worden om GitHub-credentials te stelen via prompt injection. En Cline, de populaire AI coding assistent, werd kortstondig omgetoverd tot een supply chain aanvalsvector die een kwaadaardig npm-package publiceerde. Het patroon is onmiskenbaar: AI-tools zijn het nieuwste en minst begrepen aanvalsoppervlak in softwareontwikkeling geworden.

De Vercel-inbraak: Een AI-Tool Was het Toegangspunt

De tijdlijn vertelt het verhaal duidelijk. In februari 2026 downloadde een medewerker van Context.ai Roblox auto-farm scripts die Lumma infostealer malware op hun machine installeerden. De malware verzamelde credentials voor Google Workspace, Supabase, Datadog, Authkit en, cruciaal, Vercel administratieve toegang. In april gebruikten aanvallers deze gestolen OAuth-tokens om lateraal door Vercel interne systemen te bewegen.

Een dreigingsactor die zichzelf ShinyHunters noemt claimde de verantwoordelijkheid. Ze deelden samples met ongeveer 580 werknemersrecords en beweerden toegang te hebben tot interne deployments, NPM-tokens en GitHub-tokens. Vercel verklaarde dat omgevingsvariabelen gemarkeerd als "sensitive" versleuteld bleven en geen bewijs van toegang toonden. Maar de schade aan vertrouwen was al aangericht.

Wat deze inbraak leerzaam maakt is niet de malware. Infostealers zijn oud nieuws. Het cruciale detail is dat een AI-tool, Context.ai, OAuth-toegang had gekregen die breed genoeg was om als brug te dienen naar Vercel productie-infrastructuur. Niemand auditte die permissies. Niemand vroeg zich af of een AI-observability platform dat niveau van toegang nodig had. Dit is het nieuwe normaal: AI-tools krijgen permissies waar een traditionele SaaS-leverancier van zou blozen, en niemand reviewt ze.

Claude Code: Wanneer Je AI-Assistent Shell-Toegang Heeft

Check Point-onderzoekers publiceerden in februari 2026 bevindingen die elk team dat AI coding tools gebruikt zorgen zouden moeten baren. Ze identificeerden drie afzonderlijke aanvalspaden in Claude Code, allemaal misbruikmakend van de diepe integratie van de tool met lokale ontwikkelomgevingen.

De eerste vector richtte zich op Hooks, het event-driven automatiseringssysteem dat Claude Code gebruikt om scripts voor en na bepaalde acties uit te voeren. Een kwaadaardige repository kon hook-configuraties bevatten die willekeurige shell-commando's uitvoeren zodra een developer de repo kloont en opent met Claude Code. De tweede vector misbruikte Model Context Protocol (MCP) servers. Door een gecraftede MCP-configuratie in een repository te plaatsen, kon een aanvaller Claude Code dwingen verbinding te maken met een kwaadaardige server die omgevingsvariabelen, API-tokens en SSH-keys exfiltreert. De derde vector misbruikte `.claude/settings.json` bestanden om omgevingsvariabelen te injecteren die legitieme overschrijven, waardoor API-calls werden omgeleid naar door de aanvaller beheerde endpoints.

Anthropic patchte deze kwetsbaarheden, maar de onderliggende architectuur blijft dezelfde. AI coding tools hebben diepe toegang tot je bestandssysteem, shell en omgeving nodig om nuttig te zijn. Die toegang is precies wat ze gevaarlijk maakt wanneer ze worden misbruikt. Het aanvalsoppervlak is geen bug. Het is de featureset. Voor teams die AI coding tools veilig willen gebruiken, behandelt onze vibe coding risicoanalyse de beveiligingsfundamenten.

Prompt Injection: AI-Agents die Credentials Stelen via Pull Requests

In april 2026 publiceerden onderzoekers van Johns Hopkins University een techniek die ze "comment and control" noemden. Het uitgangspunt is bedrieglijk eenvoudig. Veel teams draaien tegenwoordig AI-agents als onderdeel van hun GitHub Actions workflows voor geautomatiseerde code review, issue triage of security scanning. Deze agents lezen pull request titels, beschrijvingen en comments als input.

De onderzoekers demonstreerden dat een aanvaller door zorgvuldig gecraftede prompts in een PR-titel of issue-body te injecteren, de AI-agent kan instrueren om repository secrets, GitHub-tokens en API-keys te extraheren en vervolgens naar een externe server te exfiltreren. De aanval vereist geen speciale infrastructuur. De kwaadaardige instructies verstoppen zich in platte tekst die eruitziet als een normale PR-beschrijving. De AI-agent volgt ze omdat hij niet kan onderscheiden tussen legitieme instructies en geinjecteerde.

Claude Code Security Review, Gemini CLI Action en GitHub Copilot Agent waren allemaal bevestigd kwetsbaar. Wat de onthulling bijzonder zorgwekkend maakte was de reactie van de leveranciers. Volgens de onderzoekers patchten meerdere leveranciers stilletjes zonder CVE's of security advisories te publiceren. Teams die oudere versies van deze tools draaiden hadden geen manier om te weten dat ze blootgesteld waren. Dit soort risico's verschijnt niet in een traditionele vergelijking van security scanning tools.

De Cline Supply Chain Aanval: Van AI-Bot tot Kwaadaardig npm-Package

Snyk documenteerde wat mogelijk de meest creatieve AI-gerelateerde aanval van 2026 is in februari. Cline, een populaire open-source AI coding assistent, draait een bot die automatisch GitHub issues trieert met AI. Een security-onderzoeker ontdekte dat deze bot misbruikt kon worden via indirecte prompt injection gecombineerd met GitHub Actions cache poisoning.

De aanvalsketen werkte als volgt: dien een GitHub issue in met verborgen prompt injection instructies. Cline's AI triage bot verwerkt het issue, volgt de geinjecteerde instructies en wijzigt de GitHub Actions workflow cache. Bij de volgende CI-run zorgt de vergiftigde cache ervoor dat de pipeline een kwaadaardige versie van de Cline CLI naar npm publiceert. Gedurende acht uur voor detectie kon iedereen die Cline CLI installeerde of updatete een package ontvangen dat stilletjes de OpenClaw AI-agent op hun machine installeerde.

Acht uur is een eeuwigheid in npm-installaties. De aanval demonstreerde dat AI-gedreven automatisering in CI/CD-pipelines een fundamenteel nieuwe klasse supply chain risico introduceert. De bot die het project moest helpen beheren werd de vector die het compromitteerde.

Waarom AI-Tools Anders Zijn dan Traditionele Beveiligingsrisico's

Traditionele third-party tools opereren binnen gedefinieerde grenzen. Een monitoring service leest metrics. Een logging platform neemt logdata op. Een analytics tool trackt events. De permissies zijn smal, de datastroom is begrepen en het aanvalsoppervlak is begrensd.

AI-tools breken elk van deze aannames. Een AI coding assistent heeft lees- en schrijftoegang nodig tot je volledige codebase. Het heeft shell-toegang nodig om commando's uit te voeren. Het heeft netwerktoegang nodig om API's te bereiken. Het heeft toegang tot omgevingsvariabelen nodig om je configuratie te begrijpen. Het kan OAuth-tokens voor meerdere diensten nodig hebben om goed te functioneren. Elk van deze permissies is een potentieel aanvalspad.

De uitdaging verergert wanneer organisaties meerdere AI-tools tegelijk adopteren. Context.ai was verbonden met Vercel, Google Workspace, Supabase en Datadog via een enkel werknemersaccount. Een compromittering van een willekeurige tool creert een lateraal bewegingspad naar elke verbonden dienst. Dit is geen hypothetisch scenario. Het is precies wat er gebeurde bij de Vercel-inbraak.

We schreven eerder deze maand over de werkelijke kosten van het bouwen van AI-features. Beveiliging moet onderdeel zijn van die kostencalculatie. De API-rekeningen zijn het makkelijke deel. Het moeilijke deel is begrijpen welke vertrouwensgrenzen je impliciet creert wanneer je AI-tools verbindt met je infrastructuur.

Een Praktische Beveiligingschecklist voor Teams die AI-Tools Gebruiken

Na analyse van deze incidenten hebben we bij MG Software onze eigen beveiligingspraktijken herstructureerd. Dit zijn de concrete stappen die we nu afdwingen op elk project.

Ten eerste: audit elke OAuth-verbinding. Maak een lijst van elke AI-tool die toegang heeft gekregen tot je GitHub-repositories, cloud providers, databases of deployment platforms. Verifieer voor elk of de verleende permissies overeenkomen met wat de tool daadwerkelijk nodig heeft. Trek alles in wat overbodig is. Context.ai had geen Vercel admin-toegang nodig om zijn werk te doen.

Ten tweede: behandel AI-tool configuraties als onvertrouwde input. Kloon nooit een repository en open deze blindelings met een AI coding tool. Controleer op `.claude/settings.json`, `.cursorrules`, MCP-configuraties of hook-definities voordat je een AI-agent de codebase laat verwerken. Dit is het repository-equivalent van het controleren van e-mailbijlagen.

Ten derde: isoleer AI-agents in CI/CD. Als je AI-agents draait als onderdeel van je GitHub Actions workflows, zorg dan dat ze opereren in sandboxed omgevingen zonder toegang tot repository secrets. Gebruik read-only tokens waar mogelijk. Audit de output van de agent voordat je toestaat dat hij code wijzigt of deployments triggert.

Ten vierde: roteer credentials proactief. Vercel adviseerde credential-rotatie na de inbraak. Wacht niet op een breach-notificatie. Roteer API-keys, tokens en secrets op een regelmatig schema. Gebruik kortlevende tokens waar je infrastructuur dit ondersteunt.

Ten vijfde: gebruik hardware security keys voor kritieke accounts. Infostealers kunnen wachtwoorden en sessietokens verzamelen. Ze kunnen geen fysieke FIDO2-key stelen. Voor accounts die toegang verlenen tot deployment-infrastructuur, package registries of cloud providers zijn hardware keys niet langer optioneel. Ze zijn het minimum.

Wil je hulp bij het reviewen van je AI-tool permissies en deployment-beveiliging? Neem contact op. Wij auditen development pipelines voor precies dit soort risico's.

Wat Dit Betekent voor de Rest van 2026

Het patroon versnelt. AI-tool adoptie groeit sneller dan beveiligingspraktijken zich kunnen aanpassen. Elke nieuwe AI coding assistent, AI-powered CI-bot en AI-observability platform voegt OAuth-verbindingen, API-toegang en vertrouwensrelaties toe die het aanvalsoppervlak vergroten. De aanvallers letten op.

Verwacht meer inbraken die terug te herleiden zijn naar AI-tool compromitteringen. Verwacht meer prompt injection aanvallen gericht op AI-agents in geautomatiseerde workflows. Verwacht supply chain aanvallen die het vertrouwen misbruiken dat organisaties stellen in AI-gedreven automatisering. Dit zijn geen randgevallen. Het zijn de natuurlijke consequenties van het verlenen van brede toegang aan krachtige tools zonder evenredige controle.

De bedrijven die hier goed doorheen navigeren zijn degenen die AI-tools behandelen met dezelfde scepsis die ze toepassen op elke andere third-party leverancier: verifieer de permissies, monitor de toegang en plan voor de compromittering. De tools zijn krachtig. Ze veilig gebruiken vereist dat je hun integratiepunten met versiebeheer en deployment als eersteklas beveiligingsconcerns behandelt.

Conclusie

De Vercel-inbraak was geen verhaal over Vercel. Het was een verhaal over wat er gebeurt wanneer een hele industrie een nieuwe categorie tools adopteert zonder haar beveiligingsmodel bij te werken. AI coding assistenten, AI-powered CI-bots en AI-observability platforms zijn oprecht nuttig. Ze vertegenwoordigen ook de grootste uitbreiding van het software supply chain aanvalsoppervlak in jaren.

Geen van de hier beschreven incidenten vereiste bijzonder geavanceerde aanvallers. Een infostealer op een developer-laptop. Een prompt geinjecteerd in een pull request titel. Een gecrafted configuratiebestand in een gekloonde repository. Dit zijn low-complexity aanvallen die high-trust integraties misbruiken. De oplossing is niet het opgeven van AI-tools. De oplossing is dezelfde strengheid toepassen op AI-tool beveiliging die we toepassen op elk ander deel van de stack. Audit de permissies. Sandbox de agents. Roteer de credentials. En ga ervan uit dat elke tool met brede toegang uiteindelijk een doelwit wordt.