Geeky Saturday: MCP-aanvallen, quantum-cryptografie en agentic hackers. Drie ontwikkelingen die de IT-wereld dit jaar permanent veranderen.

Het is zaterdag. Tijd voor iets wat we de rest van de week niet altijd kunnen doen: even echt de diepte in. Niet omdat het moet, maar omdat we het leuk vinden. Welkom bij Geeky Saturday.

Vandaag gaat het nerdy. Héél nerdy. We behandelen drie ontwikkelingen die elk op zichzelf al een artikel waard zijn, maar die samen een beeld geven van hoe de IT-securitywereld er over twaalf maanden uitziet. Zet een kop koffie. Dit wordt wat langer.

Flowerbed engineering helpt organisaties dagelijks met detectie, respons en weerbaarheid via gecertificeerde partnerships met Arctic Wolf, Fortinet en andere partners. De drie onderwerpen van vandaag raken direct aan wat wij zien in de praktijk, en aan wat we de komende tijd steeds vaker zullen moeten uitleggen.

MCP is de USB-C van AI-agents. En net als USB-C kun je er ook malware op zetten.

Als je werkt met Claude, Cursor, Claude Code of een van de tientallen AI-assistenten die de afgelopen jaren zijn gelanceerd, gebruik je waarschijnlijk MCP. Model Context Protocol is het open protocol van Anthropic dat AI-agents verbindt met externe tools: je e-mail, je bestanden, je GitHub-repos, je Slack, je database. Het is de reden dat je Claude kunt vragen om een pull request te maken of een agendasamenvatting te schrijven.

In een jaar tijd zijn er duizenden MCP-servers gebouwd. De Smithery-marktplaats alleen al telt honderden tools. Claude.ai heeft er ingebouwde connectors voor. Claude Code integreert ze naadloos. Het is de USB-C van AI-tooling: één standaard connector voor alles.

En net als USB-C kun je er ook malware op aansluiten.

Onderzoekers van Invariant Labs beschreven eerder dit jaar wat ze tool poisoning noemen: een aanvalsvorm waarbij kwaadaardige instructies worden verborgen in de metadata van een MCP-tool, de beschrijving die de AI gebruikt om te begrijpen wat het gereedschap doet. De AI ziet die instructies. De gebruiker niet.

Het gedocumenteerde voorbeeld is alarmerend. In een demonstratie werd een MCP-server gebouwd met een ogenschijnlijk onschuldige tool, een "willekeurig dagelijks feit." Verborgen in de tool-omschrijving stonden instructies om de WhatsApp-integratie die ook in de agent actief was te gebruiken om het volledige chatarchief van de gebruiker naar een aanvallergecontroleerd telefoonnummer te sturen. De gebruiker installeerde de tool. De AI voerde de instructies uit. Het WhatsApp-archief was weg.

Dat is niet de enige aanvalsvorm. Er zijn er inmiddels meerdere gedocumenteerd. Rug pull attacks werken zo: een tool wordt gepubliceerd en is tijdelijk veilig, vervolgens wordt de tool-omschrijving gewijzigd zonder dat de gebruiker of de AI-agent dat ziet. De agent laadt de nieuwe, vergiftigde instructies bij de volgende sessie. Geen melding. Geen waarschuwing. Cross-server shadowing laat een kwaadaardige server de instructies van een legitieme server overschrijven via gemanipuleerde naamgeving. Resource content poisoning gaat nog een laag dieper: in plaats van de tool-omschrijving worden de data zelf vergiftigd zodat de AI bij het verwerken ervan als het ware instructies ontvangt ingepakt als data.

De GitHub MCP-aanval die Invariant Labs documenteerde laat zien hoe ver dit kan gaan. Een kwaadaardige GitHub issue, gewoon een bug report in een public repo, bevatte prompt-injection-instructies. Toen een AI-agent die de GitHub MCP-server gebruikte de issue oplas, volgde het de instructies erin op: het haalde inhoud op uit private repositories en lekte die terug naar een publieke pull request.

Meer dan vijf procent van de open-source MCP-servers die zijn geanalyseerd, bevat al sporen van tool poisoning. Niet door externe aanvallers, maar verborgen door de makers zelf. Bewust of per ongeluk, het resultaat is hetzelfde: een AI-agent die doet wat de aanvaller wil, terwijl de gebruiker denkt dat alles normaal verloopt.

Wat doe je eraan? Minimale rechten per MCP-server. Audit welke servers je hebt geïnstalleerd en of je die daadwerkelijk vertrouwt. Gebruik alleen servers van bronnen die je kent. Activeer menselijke goedkeuring voor elke destructieve actie. En monitor wat je AI-agents doen, niet alleen wat ze zeggen te doen.

Je RSA-sleutel is sterker dan ooit. Tot de kwantumcomputer er is. En die komt.

In maart introduceerde Fortinet post-quantum certificaten in FortiOS 8.0. Niet als marketingfunctie, maar als concrete implementatie van NIST-standaarden die dit jaar finaal zijn geworden. Als dat je aandacht niet trekt, lees dan dit stuk aandachtig.

RSA, het meest gebruikte publieke-sleutelcryptografiesysteem ter wereld, is wiskundig kwetsbaar voor kwantumcomputers. Het fundament van RSA is het probleem van de priemgetalfactorisatie: als je een groot getal neemt dat het product is van twee priemgetallen, is het praktisch onmogelijk om die twee priemgetallen terug te vinden met een klassieke computer. Dat kost honderdduizenden jaren rekentijd voor sleutels van voldoende lengte.

Shor's algoritme, in 1994 bedacht door Peter Shor, bewijst dat een kwantumcomputer van voldoende grootte dat probleem in polynomiale tijd oplost. Niet honderdduizend jaar. Uren of minder. Een kwantumcomputer met genoeg stabiele qubits maakt RSA waardeloos.

Die kwantumcomputer bestaat nog niet. Maar "bestaat nog niet" is niet hetzelfde als "bestaat nooit." En hier wordt het voor IT-nerds interessant: het aanvalsscenario hoeft niet te wachten op een kwantumcomputer. Het wordt "harvest now, decrypt later" genoemd. Aanvallers, inclusief staatsgesponsorde groepen, onderscheppen vandaag al versleuteld verkeer en bewaren het versleuteld. Ze kunnen het nu niet ontsleutelen. Over vijf of tien jaar, als kwantumcomputers beschikbaar zijn, ontsleutelen ze het alsnog. Alles wat je vandaag verzendt, kan in de toekomst worden gelezen als het in de verkeerde handen valt.

Dit is geen hypothetisch risico voor toekomstige generaties. Dit is een beslissing die jij nu neemt over data die nu wordt verstuurd.

NIST publiceerde in 2024 zijn finale standaarden voor post-quantum cryptografie: CRYSTALS-Kyber voor sleuteluitwisseling en CRYSTALS-Dilithium voor digitale handtekeningen. Beide zijn gebaseerd op wiskundige problemen die ook voor kwantumcomputers hard blijven. Fortinet heeft deze standaarden geïmplementeerd in FortiOS 8.0 voor beheerkanalen en VPN-verbindingen. Microsoft werkt aan post-quantum ondersteuning in Azure. Google heeft het al in Chrome. Maar de meeste organisaties hebben geen idee welke van hun systemen op dit moment RSA gebruiken en wanneer ze die moeten upgraden.

Wat je nu kunt doen: maak een inventarisatie van je cryptografiegebruik. Welke systemen gebruiken VPN? Welke certificaten verlopen wanneer? Waar wordt TLS gebruikt? Dat is de kaart die je nodig hebt om de migratie te plannen. De migratie zelf hoeft niet morgen, maar de inventarisatie wel.

De aanvaller heeft ook een agent. En die werkt 24 uur per dag, 7 dagen per week.

We schreven onlangs over Claude Mythos en Project Glasswing. Over hoe Anthropic's nieuwste model duizenden zero-day kwetsbaarheden vond in elk groot besturingssysteem en elke grote browser. Maar er is een andere kant van dat verhaal die we bewust voor nu hebben bewaard.

Eerder publiceerde Anthropic een blog over wat zij de eerste bekende AI-georkestreerde cyberespionagecampagne noemden. Een Chinese staatsgesponsorde groep had Claude Code gebruikt, niet als adviestools, maar als uitvoerder. De agents voerden spearphishing-campagnes uit, pasten berichten aan per doelwit, onderzochten netwerken en exfiltreerden data. Dertig organisaties wereldwijd werden geraakt voor Anthropic de campagne detecteerde en de accounts beëindigde.

Dat was met de modellen van eind 2025. Mythos is fundamenteel anders.

Waar Claude Opus 4.6 vrijwel nooit succesvol was bij het ontwikkelen van werkende exploits, slaagt Mythos Preview er 181 keer in bij hetzelfde benchmark-experiment waarbij Opus 4.6 slechts tweemaal slaagde. Het gat tussen "AI die kwetsbaarheden identificeert" en "AI die ze ook daadwerkelijk uitbuit" is gedicht.

Wat dit betekent voor de tijdlijn van een aanval, is fundamenteel. Een menselijke aanvaller die een zero-day ontdekt, heeft weken nodig om een werkende exploit te ontwikkelen, te testen, te verbergen en in te zetten. Een model als Mythos kan die stappen in uren doorlopen. Het gat tussen ontdekking en exploit is verkleind van weken naar uren. Het gat tussen exploit en aanval is verdwenen.

Alex Stamos, securityexpert en oud-beveiligingshoofd van Facebook, schat dat open-weight modellen over zes maanden op vergelijkbaar niveau zitten als de huidige frontier-modellen. Op dat moment is de technologie niet meer achter slot bij Anthropic, maar beschikbaar voor iedereen. Inclusief criminele groepen. Inclusief statelijke actoren met minder scrupules.

Wat vraagt dit van jouw organisatie? De traditionele securityaanpak is gebaseerd op het idee dat aanvallers menselijk traag zijn. Detectie na een paar dagen, respons binnen een week, goed genoeg. Dat model werkt niet meer als aanvallers AI-agents inzetten die ononderbroken werken, snel itereren en geen fouten maken door vermoeidheid of gebrek aan focus. Gedragsdetectie wordt de norm. Niet "zit er malware in dit bestand" maar "gedraagt dit systeem zich anders dan gisteren."

Wat deze drie verhalen met elkaar verbindt

MCP tool poisoning, post-quantum cryptografie en agentic aanvallen lijken drie aparte onderwerpen. Maar ze hebben een gemeenschappelijke kern.

In alle drie de gevallen gaat het om aanvallen of risico's die niet zichtbaar zijn via de traditionele blik. Je ziet de vergiftigde tool niet omdat het een tool-omschrijving is, geen code. Je ziet het harvest-now-decrypt-later risico niet omdat de data nu nog versleuteld is. Je ziet de agentic aanvaller niet omdat die zich gedraagt zoals legitiem verkeer, totdat het te laat is.

De verdediging die hier tegenover staat, is ook gemeenschappelijk: zicht, continuiteit en gedragsanalyse. Weten wat er in je omgeving draait. Continu monitoren wat er verandert. En begrijpen dat de aanvaller vandaag gereedschappen heeft die de verdediger van gisteren nooit voor mogelijk hield.

MDR en SOC-as-a-Service via Arctic Wolf, diensten waarbij Flowerbed engineering organisaties 24/7 bewaakt, zijn precies gebouwd voor dit dreigingsmodel. Continue monitoring op netwerk, endpoint en cloudomgeving. Gedragsanalyse die aanvallers detecteert niet op basis van bekende handtekeningen, maar op basis van wat ze doen nadat ze binnen zijn. Dat is het niveau van detectie dat een agentic aanvaller vereist.

Als gecertificeerd partner hebben we de kennis, de tools en de partnerships om dit voor jouw organisatie concreet te maken. Neem gerust contact op als je wil weten hoe jouw organisatie ervoor staat. Tot volgende week.