3min Security

AI-gebruik in cloud is vaak indirect en onduidelijk

AI-gebruik in cloud is vaak indirect en onduidelijk

AI is in korte tijd uitgegroeid tot een vast onderdeel van cloudomgevingen. Daardoor verschuiven ook de beveiligingsuitdagingen. Volgens nieuw onderzoek van Wiz gebruiken organisaties AI steeds vaker indirect via software van derden, waardoor risico’s in de toeleveringsketen minder zichtbaar worden.

Uit het State of AI in the Cloud 2026-rapport van Wiz blijkt dat 81 procent van de organisaties managed AI-diensten inzet. Daarnaast draait 90 procent self-hosted AI-software. Opvallend is dat AI-modellen lang niet altijd rechtstreeks worden geïmplementeerd. Van de organisaties die zelfgehoste AI gebruiken, maakt 68 procent daar deels gebruik van via software van derden. Bij 18 procent verloopt het AI-gebruik zelfs volledig via dergelijke indirecte componenten.

Daardoor kunnen organisaties kwetsbaarheden overnemen zonder dat deze expliciet zijn geïmplementeerd of centraal worden beheerd.

Volgens Wiz is AI inmiddels doorgedrongen tot vrijwel alle lagen van moderne cloudomgevingen. De technologie vormt een integraal onderdeel van ontwikkelomgevingen, automatisering en cloudinfrastructuur.

Daardoor verschuift de aandacht van securityteams. Naast bewust geïnstalleerde software moeten zij ook zicht krijgen op AI-functionaliteit die via leveranciers, frameworks en andere afhankelijkheden wordt meegeleverd.

AI-programmeerhulpen brengen nieuwe risico’s

AI-ondersteunde softwareontwikkeling is inmiddels gemeengoed. Minstens 80 procent van de onderzochte organisaties gebruikt AI-extensies binnen ontwikkelomgevingen, terwijl 71 procent één of meer AI-codingassistenten inzet.

Volgens Wiz gebeurt die adoptie vaak buiten de centrale IT-organisatie. Ontwikkelaars voegen zelfstandig AI-tools toe, waardoor shadow AI ontstaat. Dat bemoeilijkt toezicht, omdat meerdere AI-systemen code kunnen genereren zonder uniforme beleidsregels of centrale monitoring.

Daarnaast wijst het onderzoek op beveiligingsproblemen in AI-gegenereerde software. Ongeveer één op de vijf organisaties die AI-platformen voor vibe coding gebruikt, kreeg te maken met applicaties met structurele beveiligingsproblemen. Volgens Wiz schuilt het risico vooral in het op grote schaal reproduceren van onveilige programmeerpatronen.

Ook AI-agents winnen snel terrein. Volgens het rapport heeft 57 procent van de organisaties minimaal één self-hosted AI-agenttechnologie geïmplementeerd. Ze worden vooral gebruikt voor ontwikkeltaken, koppelingen met externe systemen en het orkestreren van workflows.

De markt is sterk versnipperd. Wiz ziet veel verschillende agentframeworks naast elkaar bestaan, zonder duidelijke standaard.

Een vergelijkbare ontwikkeling is zichtbaar bij Model Context Protocol (MCP)-servers. Die zijn inmiddels aanwezig in 80 procent van de onderzochte cloudomgevingen. Bij 5 procent zijn één of meer MCP-servers rechtstreeks via internet bereikbaar, wat volgens Wiz een nieuw aanvalsvlak creëert.

AI-beveiliging onderdeel van cloudsecurity

Volgens Niek Khasuntsev, Customer Engineer bij Wiz, is AI inmiddels zo verweven met cloudomgevingen dat beveiliging geen afzonderlijk AI-vraagstuk meer is. Organisaties moeten vooral inzicht houden in waar AI draait, hoe systemen verbonden zijn met data, identiteiten en automatisering en welke risico’s daaruit voortkomen. Dat wordt volgens hem steeds belangrijker nu AI het operationele model van cloudomgevingen verandert.