De Autoriteit Persoonsgegevens (AP) waarschuwt dat autonome kunstmatige intelligentie-agents, zoals het open-sourceprogramma OpenClaw, grote beveiligings- en privacyrisico’s met zich meebrengen. Volgens de toezichthouder kunnen deze systemen, die zelfstandig taken uitvoeren op computers en netwerken, ongemerkt toegang krijgen tot gevoelige gegevens en zo een aantrekkelijk doelwit vormen voor misbruik.
AI-agents zijn ontworpen om zelfstandig handelingen te verrichten, zoals het openen van bestanden, het versturen van e-mails of het uitvoeren van opdrachten op externe systemen. Juist die zelfstandigheid maakt ze volgens de AP risicovol. Wanneer zo’n agent brede toegangsrechten krijgt, kan een fout in de software of misbruik door kwaadwillenden grote gevolgen hebben. De toezichthouder spreekt in dit verband van een potentiële “blinde vlek” in de beveiliging, omdat gebruikers vaak niet precies weten welke acties een agent uitvoert.
Beveiligingszorgen
De AP wijst erop dat AI-agents kunnen worden ingezet om onbedoeld malware te installeren, gegevens te kopiëren of vertrouwelijke informatie te delen. Ook bestaat het risico dat deze systemen gevoelige data opslaan of verwerken zonder dat duidelijk is waar die informatie terechtkomt. Vooral organisaties die met persoonsgegevens werken, lopen daarmee het gevaar de privacywetgeving te overtreden.
Politieke aandacht
De waarschuwing heeft inmiddels geleid tot vragen in de Tweede Kamer. Kamerleden willen weten hoe de overheid de risico’s van autonome AI-agents beoordeelt en of het gebruik ervan binnen de overheid voldoende is gereguleerd. Daarbij wordt ook gekeken naar toepassingen in sectoren zoals zorg, infrastructuur en defensie, waar de impact van beveiligingsincidenten groot kan zijn.
Oproep tot voorzichtigheid
De AP adviseert organisaties om terughoudend te zijn met het inzetten van AI-agents op systemen met gevoelige informatie. Voorafgaand aan gebruik moeten grondige beveiligings- en privacyanalyses worden uitgevoerd en moet menselijke controle altijd mogelijk blijven. Volgens de toezichthouder is het essentieel dat duidelijk is welke bevoegdheden een AI-agent heeft en welke data wordt verwerkt.