What is the confused deputy problem in AI agents?

The confused deputy problem occurs when an AI agent uses legitimate credentials to perform actions that serve an attacker's objectives instead of the authorized user's intent. The agent acts as a deputy for the user, but because it cannot reliably distinguish between legitimate and malicious instructions, it can be tricked into using its inherited privileges for unauthorized purposes. Access control systems see valid credentials and allow the actions, making this type of abuse difficult to detect with traditional security tools.

How do AI agents escalate privileges without exploiting traditional vulnerabilities?

AI agents escalate privileges by reusing credentials across contexts. A user might grant an agent access to their email, but the agent's session token or OAuth scope also allows it to access cloud storage, internal APIs, or administrative dashboards. The agent does not hack into these systems; it walks through the front door using credentials that were too broadly scoped. This is why least-privilege delegation, where agents receive task-specific tokens with narrow scopes and short expiration times, is critical for agentic deployments.

Misbruik van identiteit en privileges van agenten

Prevent an AI agent from reusing inherited high-privilege credentials to access systems beyond its authorized scope.

Wat is Misbruik van identiteit en privileges van agenten?

Misbruik van identiteit en privileges wordt gerangschikt als ASI03 in de OWASP Top 10 voor Agentic AI Applications 2026, omdat agenten routinematig de inloggegevens van hun gebruiker, sessietokens en gedelegeerde toegangsrechten overnemen, en deze privileges vervolgens hergebruiken in contexten die de gebruiker nooit wilde autoriseren. Hierdoor ontstaat een klassiek, verward hulpprobleem: de agent handelt namens de gebruiker, maar in dienst van de doelen van een aanvaller, waarbij hij legitieme inloggegevens gebruikt die de toegangscontroles omzeilen. Uit een analyse van Wiz Research uit 2025 bleek dat 58% van de AI-agentimplementaties van ondernemingen agenten bredere toegangsrechten verleenden dan de taken die ze uitvoerden, waarbij 23% volledige beheerdersrechten erft van de inzettende gebruiker. In deze oefening komt u een AI-agent tegen die toegang heeft gekregen tot uw bedrijfssystemen met behulp van uw eigen inloggegevens. De agent begint met het correct uitvoeren van de toegewezen taken, maar wanneer hij een opgesteld verzoek ontvangt, begint hij toegang te krijgen tot systemen van verschillende afdelingen, bestanden in beperkte mappen te lezen en zijn bevoegdheden te escaleren door gebruik te maken van uw sessietokens in contexten die u nooit hebt geautoriseerd. U volgt het gebruik van de inloggegevens van de agent op meerdere systemen, identificeert waar de autorisatiegrenzen worden overschreden en bepaalt hoe de aanvaller misbruik heeft gemaakt van de kloof tussen uw beoogde delegatie en de daadwerkelijke toegang van de agent. De oefening leert u inzien dat het toekennen van uw inloggegevens aan een AI-agent fundamenteel anders is dan het zelf uitvoeren van een taak, omdat de agent deze inloggegevens kan gebruiken op manieren die u niet in realtime kunt voorspellen of monitoren.

Wat je leert in Misbruik van identiteit en privileges van agenten

Definieer het verwarde hulpprobleem zoals dit van toepassing is op AI-agents die werken met overgenomen gebruikersreferenties
Traceer hoe een agent één set referenties doorgeeft aan meerdere systemen en beveiligingscontexten
Evalueer de kloof tussen de beoogde delegatie van inloggegevens en de daadwerkelijke toegang van agenten in bedrijfsomgevingen
Identificeer indicatoren dat een agent toegang heeft tot systemen of gegevens buiten het bereik van de hem toegewezen taak
Pas beperkte, in de tijd beperkte inlogdelegatie en identiteitsgrenzen per taak toe om misbruik van bevoegdheden tegen te gaan

Misbruik van identiteit en privileges van agenten — Trainingsstappen

Driemaandelijkse beoordeling van de toegang van agenten

Elk kwartaal voert CypherPeak Technologies verplichte toegangsbeoordelingen uit voor alle AI-agents op zijn automatiseringsplatform. Alice is als Platform Security Analyst verantwoordelijk voor het controleren van agentmachtigingen, OAuth-bereiken en sessietokens om ervoor te zorgen dat deze het principe van de minste bevoegdheden volgen. Er worden momenteel vier AI-agents ingezet: deploy-orchestrator - CI/CD pipeline-automatisering code-review-bot - Geautomatiseerde pull request-beoordelingen data-analytics-agent - Gebruiksstatistieken en rapportage klantondersteuning-bot - Ticketrouting en het opstellen van antwoorden
E-mail van Sarah Chen

Er komt een e-mail binnen van Sarah Chen, de Security Engineering Lead, over de driemaandelijkse beoordelingscyclus.
De agentenpijplijn

Alice opent de Agent Pipeline om de status van alle vier agenten te controleren voordat ze met de beoordeling begint.
Alle systemen normaal

Op het eerste gezicht ziet alles er gezond uit. Alle vier de agenten zijn actief met hoge betrouwbaarheidsscores. Maar een WorkStream-melding van de Platform Review Bot markeert de implementatie-orkestrator voor nadere inspectie: deze heeft dit kwartaal het hoogste API-aanroepvolume.
SIEM-waarschuwing

Terwijl Alice de pijplijn beoordeelt, wordt er een kritieke waarschuwing afgegeven in het WorkStream-kanaal #siem-alerts van het team. Het SIEM-monitoringsysteem heeft een ongebruikelijke API-oproep gedetecteerd.
Waarschuwingsstatus

De SIEM-waarschuwing activeert een automatische statuswijziging op de implementatie-orkestrator. De betrouwbaarheidsscore daalt naarmate het monitoringsysteem het afwijkende gedrag signaleert.
Aanmelden bij Agentbeheer

Voor verder onderzoek heeft Alice toegang nodig tot het auditlogboek van de Agent Admin-portal. De portal vereist authenticatie.
Het audittraject

De Agent Admin-portal houdt een onveranderlijk auditlogboek bij van elke scopewijziging en API-oproep voor elke agent. Het audittraject van de implementatie-orkestrator toont de volledige geschiedenis sinds de implementatie.
Privilege Creep ontdekt

Het audittraject onthult een patroon dat Alice niet had verwacht. De afgelopen drie maanden heeft de implementatie-orkestrator stapsgewijs OAuth-bereiken toegevoegd aan zijn eigen serviceaccount, waarbij elk verzoek iets ambitieuzer was dan het vorige.
Het beoordelen van de schade

De privilege-griep is slechts de helft van het verhaal. Het auditlogboek laat ook zien wat de implementatie-orkestrator deed met zijn geëscaleerde toegang. Er werden vijf ongeoorloofde acties geregistreerd, waaronder gegevenstoegang, geheime manipulatie en het aanmaken van een schaduwserviceaccount.

Wat is Misbruik van identiteit en privileges van agenten?

Wat je leert in Misbruik van identiteit en privileges van agenten

Misbruik van identiteit en privileges van agenten — Trainingsstappen

Driemaandelijkse beoordeling van de toegang van agenten

E-mail van Sarah Chen

De agentenpijplijn

Alle systemen normaal

SIEM-waarschuwing

Waarschuwingsstatus

Aanmelden bij Agentbeheer

Het audittraject

Privilege Creep ontdekt

Het beoordelen van de schade