Terwijl kunstmatige intelligentie verandert van een passieve chatbot naar een actieve ‘agent’ die beslissingen kan nemen en taken kan uitvoeren, is er een nieuwe grens van digitaal risico ontstaan. De voornaamste zorg? AI-agenten gaan op hol met uw creditcards.
Om deze dreigende veiligheidskloof aan te pakken heeft de FIDO Alliance – de marktleider op het gebied van authenticatiestandaarden – de lancering aangekondigd van twee nieuwe werkgroepen. Gesteund door grote spelers uit de sector, zoals Google en Mastercard, streven deze groepen ernaar de fundamentele beveiligingsprotocollen op te bouwen die nodig zijn om de ‘agentische handel’ te regelen.
De verschuiving van passieve AI naar autonome agenten
Traditionele AI vereist constante menselijke impulsen. ‘Agentische AI’ is echter ontworpen om namens een gebruiker te handelen. Stel je voor dat je tegen een AI zegt: “Koop deze sneakers als ze onder de $ 100 zakken”, en dat de agent de voorraad in de gaten houdt en de betaling autonoom uitvoert.
Hoewel dit enorm veel gemak biedt, introduceert het ongekende kwetsbaarheden:
– Agentkaping: Een slechte acteur kan een agent onderscheppen en hem malafide instructies geven.
– Gebrek aan intentieverificatie: Zonder duidelijke protocollen kunnen verkopers geen onderscheid maken tussen een legitieme, door de gebruiker geautoriseerde transactie en een storing of een kwaadaardige opdracht.
– Privacyrisico’s: Het faciliteren van deze transacties vereist het delen van gevoelige gegevens via een complex web van platforms, verkopers en banken.
Bouwen aan een “beveiligingsbasislijn” voor AI
De FIDO Alliance werkt eraan om ervoor te zorgen dat de industrie de fouten uit het wachtwoordtijdperk niet herhaalt. Net zoals de wereld uiteindelijk overging op veiligere authenticatie om gemakkelijk gestolen wachtwoorden te vervangen, moet de industrie nu vangrails opzetten voor autonome interacties.
Het nieuwe initiatief richt zich op drie kernpijlers:
1. Cryptografische validatie: Geavanceerde wiskunde gebruiken om te bewijzen dat een agent strikt handelt binnen de parameters die door de menselijke gebruiker zijn ingesteld.
2. Weerstand tegen phishing: Het creëren van autorisatiemechanismen die niet gemakkelijk kunnen worden misleid door social engineering of identiteitsdiefstal.
3. Transparantie en verhaal: Het opzetten van kaders zodat als een transactie fout gaat, er een duidelijk, verifieerbaar ‘papieren spoor’ is om geschillen tussen gebruikers en verkopers op te lossen.
Bijdragen uit de branche: AP2 en verifieerbare intentie
Om dit proces te versnellen dragen Google en Mastercard open source-tools bij aan de werkgroepen, waarbij ze de jaren van ontwikkeling omzeilen die doorgaans voor dergelijke standaarden nodig zijn.
- Google’s Agent Payments Protocol (AP2): Biedt een methode om cryptografisch te verifiëren dat een gebruiker daadwerkelijk een specifieke transactie wilde laten plaatsvinden.
- Mastercard’s Verifiable Intent Framework: Een veilig mechanisme dat is ontworpen om gebruikers gedetailleerde controle te geven over wat een agent mag doen.
“We willen cryptografisch bewijs leveren dat een transactie door de gebruiker zelf is geautoriseerd, maar houden dit privé”, zegt Stavan Parikh, VP en GM van betalingen bij Google. Deze aanpak maakt ‘selectieve openbaarmaking’ mogelijk, wat betekent dat een handelaar alleen ziet wat hij moet zien om de bestelling uit te voeren, waardoor de bredere privacy van de gebruiker wordt beschermd.
De race tegen snelle adoptie
De belangrijkste uitdaging is snelheid. AI-technologie evolueert veel sneller dan de traditionele cyclus van industriële standaardisatie. Zoals Mastercard’s Chief Digital Officer, Pablo Fourez, opmerkt, ‘comprimeert’ het snelle tempo van de AI-ontwikkeling tijdlijnen die vroeger jaren in slechts maanden duurden.
Om het ecosysteem te laten slagen, moeten deze protocollen niet alleen technisch verantwoord zijn, maar ook praktisch genoeg om door handelaren en banken op grote schaal te kunnen worden toegepast. Zonder deze vangrails zouden de hoge kosten van fraude en wantrouwen van de consument juist de innovatie kunnen onderdrukken die agentische AI zo veelbelovend maakt.
Conclusie
Terwijl AI-agenten overstappen van experimentele tools naar reguliere financiële actoren, haast de industrie zich om cryptografische standaarden vast te stellen die ervoor zorgen dat autonomie niet ten koste gaat van de veiligheid. Het succes van dit initiatief zal bepalen of de toekomst van AI-handel wordt bepaald door naadloos gemak of door wijdverbreide financiële uitbuiting.
