Security van agent-frameworks
Security-analyse van grote AI-agent-frameworks waaronder LangChain, CrewAI, AutoGen, Semantic Kernel en OpenAI Assistants, met aandacht voor standaardconfiguraties, veelvoorkomende kwetsbaarheden en framework-specifieke aanvalsoppervlakken.
Security van agent-frameworks
Agent-frameworks abstraheren de complexiteit van het bouwen van AI-agents -- toolregistratie, geheugenbeheer, gespreksflow en redeneren in meerdere stappen. Deze abstractie is een tweesnijdend zwaard: frameworks maken het eenvoudig om krachtige agents te bouwen, maar ze maken het ook eenvoudig om onveilige agents te bouwen. Standaardconfiguraties geven prioriteit aan de developer experience boven security, door de community bijgedragen componenten worden zelden geaudit, en de frameworks zelf bevatten kwetsbaarheden die zich verspreiden naar elke applicatie die erop is gebouwd.
Frameworklandschap
De belangrijkste agent-frameworks vanaf begin 2026:
| Framework | Beheerder | Primaire use-case | Agentpatroon |
|---|---|---|---|
| LangChain / LangGraph | LangChain Inc. | Algemene agentontwikkeling | Chains, graphs, ReAct-agents |
| CrewAI | CrewAI Inc. | Multi-agent-samenwerking | Rolgebaseerde crews met taakdelegatie |
| AutoGen | Microsoft | Multi-agent-conversatie | Conversable agents met groepschat |
| Semantic Kernel | Microsoft | Enterprise AI-integratie | Plugingebaseerd met planner |
| OpenAI Assistants | OpenAI | Beheerde agent-deployment | Gehoste assistants met beheerde state |
Veelvoorkomende security-problemen over frameworks heen
Ondanks hun architectonische verschillen delen alle grote frameworks terugkerende security-problemen:
1. Gevaarlijke defaults
Frameworks worden geleverd met defaults die zijn geoptimaliseerd voor snelle setup, niet voor security:
| Framework | Gevaarlijke default | Impact |
|---|---|---|
| LangChain | PythonREPLTool beschikbaar zonder sandboxing | Willekeurige code-uitvoering op de host |
| CrewAI | Agents kunnen taken delegeren aan elke andere agent | Ongecontroleerde laterale beweging tussen agents |
| AutoGen | code_execution_config schakelt lokale code-uitvoering in | Container escape indien niet correct gesandboxed |
| Semantic Kernel | Auto-invoke-modus roept functies aan zonder bevestiging | Geen human-in-the-loop voor gevoelige operaties |
| OpenAI Assistants | Code Interpreter heeft standaard netwerktoegang | Data-exfiltratie via code-uitvoering |
2. Impliciet vertrouwen in tooluitvoer
Geen enkel groot framework behandelt tooluitvoer standaard als niet-vertrouwd. Wanneer een tool data retourneert, komt die data in de context van de agent terecht met dezelfde prioriteit als systeeminstructies. Dit is de grondoorzaak van de confused deputy-kwetsbaarheid in elk framework.
3. Community-componenten zonder audit
LangChain heeft 800+ community-integraties. CrewAI heeft een groeiende tool-marktplaats. Deze componenten worden zelden security-geaudit:
- Community-tools kunnen willekeurige code uitvoeren, netwerkverzoeken doen of toegang krijgen tot het bestandssysteem
- Toolbeschrijvingen (die het model als instructies leest) kunnen onbedoelde of kwaadaardige injectie-content bevatten
- Afhankelijkheden van community-tools kunnen supply chain-kwetsbaarheden introduceren
4. Geheugen zonder toegangscontroles
Alle frameworks die geheugen ondersteunen (LangChain, CrewAI, AutoGen, Semantic Kernel) slaan gespreksgeschiedenis en geleerde voorkeuren op zonder fijnmazige toegangscontroles. Er is geen standaardmechanisme voor:
- Het onderscheiden tussen geheugens op systeemniveau en op gebruikersniveau
- Het voorkomen dat tooluitvoer als geheugen wordt opgeslagen
- Het versleutelen van gevoelige geheugeninhoud
- Het afdwingen van geheugenisolatie tussen gebruikers in multi-tenant-deployments
Framework-specifieke kwetsbaarheden
LangChain / LangGraph
De uitgebreide abstractielaag van LangChain creëert een groot aanvalsoppervlak. Belangrijke aandachtspunten:
- Chain-compositie-aanvallen -- Chains die uitvoer direct tussen componenten doorgeven zonder sanitisatie
- Callback-exploitatie -- Aangepaste callbacks die bij elke agentactie worden uitgevoerd, inclusief tool calls
- Hub-prompt-risico's -- LangChain Hub-prompts worden door de community bijgedragen en kunnen injectie bevatten
- Agent executor-loops -- De standaard
max_iterationsis royaal, wat resource-uitputting mogelijk maakt
Zie LangChain Security Deep Dive voor gedetailleerde analyse.
CrewAI & AutoGen
Multi-agent-frameworks introduceren aanvalsoppervlakken tussen agents:
- Rolmanipulatie -- Agents met gedefinieerde rollen kunnen worden overgehaald om buiten hun rol te handelen
- Injectie tussen agents -- De uitvoer van agent A is de invoer van agent B, wat injectieketens creëert
- Delegatiemisbruik -- Hiërarchische delegatie kan worden geëxploiteerd voor privilege-escalatie
Zie CrewAI & AutoGen Security voor gedetailleerde analyse.
OpenAI Assistants
Het beheerde platform heeft zijn eigen unieke aandachtspunten:
- File search-exploitatie -- Geüploade bestanden kunnen injectie-payloads bevatten
- Code interpreter-misbruik -- Gesandboxed maar nog steeds in staat tot dataverwerking en exfiltratie
- Thread-injectie -- Het toevoegen van berichten aan threads kan de context vergiftigen
Zie OpenAI Assistants API Security voor gedetailleerde analyse.
Semantic Kernel
Gericht op enterprise, maar niet immuun:
- Plugin-vertrouwensmodel -- Alle geregistreerde plugins worden even sterk vertrouwd
- Planner-manipulatie -- De AI-planner kan worden gestuurd om plugins in onbedoelde volgordes aan te roepen
- Connector-exploitatie -- Database- en API-connectoren geven door het model gegenereerde queries door
Beoordelingsmethodologie
Identificeer het framework en de versie
Bepaal welk(e) framework(s) in gebruik zijn en hun exacte versies. Controleer op bekende CVE's en security-adviezen die specifiek zijn voor die versies.
Audit standaardconfiguraties
Beoordeel de configuratie van de agent ten opzichte van de defaults van het framework. Identificeer eventuele gevaarlijke defaults die niet zijn overschreven (code-uitvoering, onbeperkte toegang tot tools, open delegatie).
Inventariseer geregistreerde tools en componenten
Maak een lijst van alle tools, plugins, chains of integraties die bij de agent zijn geregistreerd. Identificeer door de community bijgedragen versus first-party componenten. Audit toolbeschrijvingen op injectie-content.
Test de afhandeling van tooluitvoer
Injecteer adversariële content via toolresultaten en observeer of de agent de geïnjecteerde instructies opvolgt. Dit test de (afwezigheid van) uitvoersanitisatie van het framework.
Test geheugenisolatie
Als de applicatie multi-tenant is, test dan of de geheugens van de ene gebruiker toegankelijk zijn voor een andere. Test of tooluitvoer in het geheugen wordt opgeslagen zonder sanitisatie.
Test framework-specifieke aanvalsoppervlakken
Pas framework-specifieke tests toe: chain-compositie voor LangChain, injectie tussen agents voor CrewAI/AutoGen, file search-vergiftiging voor OpenAI Assistants.
Een framework kiezen op basis van security-vereisten
Voor een gedetailleerde vergelijking van security-functies tussen frameworks, zie Security Comparison Matrix.
Gerelateerde onderwerpen
- LangChain Security Deep Dive -- Gedetailleerde analyse van LangChain-kwetsbaarheden
- CrewAI & AutoGen Security -- Security van multi-agent-frameworks
- OpenAI Assistants API Security -- Security van het beheerde platform
- Security Comparison Matrix -- Naast-elkaar-vergelijking van frameworks
- Function calling-exploitatie -- Tool calling-aanvallen die op alle frameworks van toepassing zijn
Wat is het gevaarlijkste standaardconfiguratiepatroon dat over meerdere agent-frameworks heen wordt gedeeld?
Referenties
- LangChain Security Documentation (2025)
- Microsoft AutoGen Security Considerations (2024)
- OpenAI Assistants API Documentation (2025)
- OWASP Top 10 for LLM Applications v2.0
- CrewAI Documentation (2025)