Na de Zapier-bug: geef je AI-stafchef nooit organisatiebrede toegang via één automatiseringslaag

In mei 2026 publiceerden onderzoekers van Token Security een keten van vijf kwetsbaarheden in Zapier. Het slimme — en het enge — is dat geen van die bugs op zichzelf rampzalig was. Het was de keten. Een aanvaller met een gratis account kon zich opwerken, bij interne opslag komen met meer dan 1.100 private software-images, en uiteindelijk een publishing key bemachtigen voor code die draait in de browser van elke ingelogde Zapier-gebruiker.

Vertaal dat naar wat het in de praktijk betekent. De aanvaller kon handelen als een legitieme gebruiker: Zaps aanpassen, e-mails versturen, bestanden verplaatsen, databasegegevens ophalen. En naar de buitenwereld toe zag dat er volledig echt uit, want de acties kwamen uit het account van die gebruiker.

In één geval vonden de onderzoekers een werkende sleutel die gekoppeld was aan de CTO van een AI-bedrijf — genoeg om e-mails te sturen vanuit de Gmail van die executive.

Zapier heeft snel gepatcht, binnen weken, en de maximale bug bounty uitbetaald. Er is geen bewijs dat het in het wild is misbruikt. Maar dat is niet het punt. Het punt is de architectuur die dit mogelijk maakte: als één automatiseringslaag de sleutels van je hele koninkrijk vasthoudt, dan is de straal van elke inbraak meteen organisatiebreed.

Ik wil hier eerlijk zijn, want het is makkelijk om dit als een anti-Zapier-stuk te lezen. Dat is het niet. Het probleem is structureel, en het geldt voor elke generieke automation hub die credentials centraliseert.

Modellen zoals Zapier MCP werken doordat integratie-credentials — API-keys, OAuth-tokens, wachtwoorden — op de servers van het platform worden bewaard. Voor een operator betekent dat: toegang tot je CRM, je e-mail, je documenten, je facturatie zit allemaal op één plek. Het platform handelt namens jou, over 9.000-plus apps. Dat is precies waarom het zo handig is. En precies waarom het één enkel faalpunt is.

Voeg daar een AI-agent aan toe en je vermenigvuldigt het aanvalsoppervlak. Een agent via Zapier MCP kan elk van de 30.000-plus acties triggeren over duizenden apps heen. De standaard guardrails voor AI-agents zijn minimaal — de last van beveiliging en governance ligt bij jou, de onderneming. Een agent die gecompromitteerd raakt, of die via prompt injection wordt misleid, heeft dan dezelfde brede toegang als waarvoor je hem hebt opgezet.

En dit is geen hypothese. Zapier heeft afzonderlijk een inbraak gemeld waarbij een aanvaller bij private code-repositories kwam door een verkeerd geconfigureerde MFA-instelling. Tijdens het onderzoek bleek dat klantdata per ongeluk in die repositories was gekopieerd als onderdeel van een debugproces. Configuration drift, slechte credential-hygiëne, gebrek aan zicht — zo ontstaat datalekkage in SaaS.

Hier komt mijn onpopulaire standpunt, en ik sta erachter. Voor directiewerk is een generieke automation hub geen veilige control plane.

Een AI-stafchef organisatiebrede toegang geven via één laag is alsof je een junior medewerker de loper geeft van elk kantoor, elke serverruimte en elke kluis in je bedrijf. Het is comfortabel. Tot het dat niet meer is.

Wat ik bij oprichters en managers steeds weer zie, is dat ze de toegang opzetten vanuit het ideaal: 'mijn assistent moet alles kunnen, anders is het geen echte chief of staff.' Maar een goede chief of staff in een echt bedrijf heeft ook niet onbeperkte toegang tot alles. Die heeft toegang tot wat de taak vereist, met escalatie naar jou voor de rest. Dat is geen gebrek aan vertrouwen. Dat is hoe verantwoorde delegatie werkt.

De principes die je hier weggeeft als je organisatiebrede toegang verleent, zijn least privilege en segmentatie. Zonder die twee is een inbraak in één workflow nooit te beperken tot één afdeling. Het verschil tussen 'iemand kon één Calendly-link manipuleren' en 'iemand kon e-mails sturen vanuit de Gmail van de CEO en records uit HubSpot trekken' is precies dit ontwerp.

Je krijgt nu de tegenwerping: maar het platform heeft SOC 2 Type II, SOC 3, GDPR- en CCPA-compliance, SAML-SSO, SCIM, 2FA, granulaire rechten, audit logs. Klopt allemaal. TLS 1.2+ in transit, AES-256 at rest, jaarlijkse pentests, een bug bounty-programma.

Die controls zijn noodzakelijk. Ze zijn niet voldoende. Geen enkele daarvan neemt het systemische risico weg van één laag die organisatiebrede credentials en rechten vasthoudt. De onderzoekers van Token Security zeiden het zelf: de kwetsbaarheid was geen enkele bug, het was de keten — een patroon dat waarschijnlijk ook in andere SaaS-automatiseringsplatforms zit.

En dan is er nog het schaduwprobleem. Uit een Zapier-onderzoek bleek dat slechts 35% van de leiders zegt dat hun AI-tools via een echt goedkeuringsproces gaan. 31% van de ondernemingen ontdekt elke maand 'rogue' AI-tools. 14% heeft geen enkel zicht op welke AI-tools medewerkers gebruiken. En 76% heeft al negatieve gevolgen ondervonden door losgekoppelde of schaduw-AI.

Governance op papier betekent weinig als Operations en IT — juist de afdelingen die het vaakst niet-goedgekeurde AI gebruiken — buiten je zicht koppelingen leggen.

Het alternatief is niet 'geen automatisering'. Het is bewuste segmentatie. Concreet, voor de stack waar de meeste operators in zitten:

Werk met taakgebonden service-accounts, niet met je persoonlijke logins. Een workflow die nieuwe leads uit Pipedrive naar Slack pusht, hoeft geen toegang tot je Gmail of je Stripe te hebben. Geef die workflow een eigen account met alleen die twee scopes. Wordt die ene workflow gecompromitteerd, dan is de straal die ene workflow — niet je hele bedrijf.

Minimaliseer scopes per integratie. Bij OAuth-koppelingen accepteren mensen reflexmatig de volledige scope. Maar 'lezen uit één Notion-database' is iets heel anders dan 'volledige workspace-toegang'. 'Een issue aanmaken in Linear' is iets anders dan 'alle projecten beheren'. Kies de smalle variant, ook als het meer klikwerk kost bij het opzetten.

Trek aparte goedkeuringsgrenzen per proces. Een agent die concept-antwoorden in je inbox klaarzet, mag dat autonoom doen. Een agent die geld beweegt in Stripe of een deal-stage wijzigt in HubSpot, niet — daar zet je een menselijke bevestiging tussen. De grens hangt af van de onomkeerbaarheid van de actie, niet van het gemak.

Houd gevoelige credentials onder eigen controle. Voor de echt gevoelige workflows: beheer de keys en tokens on-premises of in een private cloud, in plaats van ze bij een derde partij te laten cachen.

Audit continu. Loop je automation-logs en je OAuth-scopes regelmatig na. Configuration drift is sluipend — een scope die vorig kwartaal klopte, kan deze maand te breed zijn omdat een workflow is uitgebreid.

Bij Moments fungeert de AI als always-on chief of staff, gekoppeld aan je e-mail, agenda, contacten, documenten en browser. Juist daarom ligt dit onderwerp voor mij niet abstract.

Een stafchef is waardevol omdat hij context heeft over je hele dag — de thread die wegzakt, de follow-up die je vergat, de context-switch-kost van vijf tools naast elkaar. Maar context hebben is niet hetzelfde als overal vrij spel hebben. Het verschil tussen een echte chief of staff en een taakmanager zit deels in oordeel: weten wanneer je zelf handelt en wanneer je escaleert.

Dat oordeel moet je ook in de techniek inbouwen. Brede zichtbaarheid voor context, smalle bevoegdheid voor actie, en een duidelijke grens waarboven jij beslist. Een agent die je inbox leest om een briefing te maken, is iets anders dan een agent die zelfstandig betalingen mag wijzigen.

De Zapier-keten was een bijna-ongeluk, geen losstaand incident. Naarmate AI-automatisering breder wordt, bepalen de architectuurkeuzes van vandaag of je veerkrachtig blijft of de volgende krantenkop wordt. Mijn advies blijft hetzelfde: één laag, één lek, één ramp — vermijd dat ontwerp.

Geef je AI-stafchef het zicht van een goede rechterhand. Niet de loper van het hele gebouw.