Een van de meest zichtbare gevolgen van AI in cyberaanvallen is de opkomst van hyperrealistische deepfakes. Krijg je een videogesprek van je CEO met het verzoek om geld over te maken? Dan is waakzaamheid cruciaal. Zelfs als alles klopt , uiterlijk, stem en gedrag, biedt dat geen zekerheid meer. AI beheerst inmiddels de kunst van overtuigende imitatie.
Er vindt een grote verschuiving plaats in softwareontwikkeling: de opkomst van Natural Language Programming. Dit heeft de drempel voor het schrijven van geavanceerde code aanzienlijk verlaagd. Wat vroeger weken aan handmatig werk vereiste, kan nu in enkele uren worden gerealiseerd. Dit stelt aanvallers in staat om zeer snel aangepaste, polymorfe payloads te ontwikkelen. Deze snelle ontwikkelcyclus maakt het steeds moeilijker voor traditionele beveiligingsmaatregelen om bij te blijven, en zal organisaties uiteindelijk dwingen hun security‑houding te herzien.
De volgende stap is de opkomst van Agentic AI, die de schaal en snelheid van cyberaanvallen naar een nieuw niveau tilt. In tegenstelling tot scripts kunnen deze AI‑agents redeneren en zich aanpassen, waarbij ze handmatig werk veel effectiever overnemen dan traditionele automatisering ooit kon. Dit industrialiseert de offensieve lifecycle en stelt aanvallers in staat een always‑on aanwezigheid te realiseren die een volledige aanvalsketen kan afhandelen. Voor ons als defenders betekent dit dat het volume aan geavanceerde aanvallen explosief zal toenemen, waardoor het onmogelijk wordt om uitsluitend op handmatige interventie te vertrouwen om voor te blijven.
In november 2025 publiceerde AI‑bedrijf Anthropic een rapport3 waarin zij de ontdekking beschrijven van de eerste AI‑georkestreerde cyberespionagecampagne, uitgevoerd met hun agentische AI‑coderingstool Claude Code. De aanvallers gebruikten Claude Code niet alleen als adviseur, maar ook om daadwerkelijk een cyberaanval uit te voeren.
Claude Code is vanzelfsprekend getraind om schadelijk gedrag, waaronder cyberaanvallen, te vermijden. De aanvallers wisten de AI‑agent echter te misleiden door zich voor te doen als medewerkers van een cybersecuritybedrijf dat beveiligingstests uitvoerde voor klanten. Daarnaast splitsten zij hun aanvallen op in kleine, ogenschijnlijk onschuldige taken die door Claude Code werden uitgevoerd.
De aanvallers slaagden erin een grotendeels door AI aangedreven aanvalskader te ontwikkelen, met agents die verschillende tools gebruikten, vaak via het Model Context Protocol (MCP). Zij lieten Claude Code verkenningen uitvoeren van de infrastructuur van de doelorganisatie in een fractie van de tijd die een team van menselijke cybercriminelen nodig zou hebben. Claude Code identificeerde en testte beveiligingslekken en genereerde aanvalspayloads die waren afgestemd op de specifieke kwetsbaarheid. Het verzamelde inloggegevens, gebruikte deze om verdere toegang tot systemen te verkrijgen en extraheerde een grote hoeveelheid privédata. Tot slot produceerde het zelfs een uitgebreid rapport ter ondersteuning van volgende aanvalsfases.
Na elke fase voorzag de AI‑agent de menselijke operator van een samenvatting van de bevindingen, om richting te krijgen voor de vervolgstappen. Volgens schattingen van Anthropic was de menselijke operator slechts betrokken gedurende een klein deel van de totale looptijd. In bepaalde fasen voerde de AI‑agent taken uit over een periode van één tot vier uur, terwijl de actieve betrokkenheid van de operator beperkt bleef tot slechts twee tot tien minuten. Dit verschil illustreert de ware schaal en efficiëntie van door AI ondersteunde offensieve operaties.
Vanzelfsprekend maken dezelfde capaciteiten die cybercriminelen in staat stellen om hyperschaalbare cyberaanvallen uit te voeren, ook de versnelling en opschaling van defensieve maatregelen mogelijk. Hoewel automatisering al een fundamenteel onderdeel is van de moderne SOC, is deze traditioneel gebaseerd op statische playbooks met vooraf gedefinieerde structuren. AI‑agents transformeren deze workflows daarentegen tot contextbewuste, dynamische processen die gebruikmaken van realtime data, in plaats van het volgen van lineaire beveiligingscontroles.
Tijdens Ignite in november 2025 kondigde Microsoft aan dat Security Copilot wordt inbegrepen voor alle Microsoft 365 E5‑klanten, waarmee agentische AI wordt geïntegreerd in de dagelijkse security‑workflow. Binnen dit model bevat elke E5‑licentie een toewijzing van Security Compute Units (SCU’s), die fungeren als de ‘brandstof’ voor deze AI‑gedreven taken. Hoewel nog wordt onderzocht in hoeverre de inbegrepen credits deze AI‑taken kunnen ondersteunen zonder extra kostenimpact, markeert dit een belangrijk moment om deze nieuwe verdedigingsmogelijkheden op te nemen in de security‑houding. In de meest recente ontwikkelingen introduceerde Microsoft de Microsoft 365 E7 ‘Frontier Suite’, waarin E5 wordt gebundeld met Microsoft 365 Copilot en het nieuwe Agent 365 control plane, wat het strategische belang van AI voor Microsoft onderstreept.
Cegeka Modern SOC heeft deze nieuwe mogelijkheden al uitgebreid gevalideerd, waaronder de phishing‑triage‑agent, die een hoog potentieel laat zien voor het versnellen van incidentafhandeling. Hoewel deze agents aanzienlijke versnelling bieden, kunnen zij nog steeds fouten maken. Dit betekent dat menselijk toezicht essentieel blijft om bevindingen te valideren en agents waar nodig bij te sturen. Wij zijn ervan overtuigd dat de combinatie van AI‑agents en menselijke expertise ervoor zorgt dat het Modern SOC een beslissend voordeel behoudt ten opzichte van aanvallers die AI al inzetten om op te schalen.
1. https://www.brusselstimes.com/1760976/cyberattack-at-brussels-airport-continues-hackers-likely-used-ai-expert-says
2. https://www.theregister.com/2026/01/23/ai_cyberattack_google_security
3. https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf
4. https://en.wikipedia.org/wiki/Model_Context_Protocol
5. https://learn.microsoft.com/en-us/copilot/security/security-copilot-inclusion
6. https://techcommunity.microsoft.com/blog/partnernews/partner-blog--introducing-microsoft-365-e7-the-frontier-suite/4500520