De instellingen die voorkomen dat AI je bestanden wist

Een AI-agent wiste bijna alle bestanden op de Mac van een gebruiker. Met deze instellingen in ChatGPT, Claude en andere agent-tools beperk je dat risico.

Gert-Jan Lasterie· 15 juli 2026· 6 min· de praktijk
Foto: Francisco De Legarreta

Het risico dat een AI-agent bestanden wist of ongewenste acties uitvoert beperk je grotendeels zelf, met een handvol instellingen: geef de agent een afgebakende werkmap, laat goedkeuringsvragen aan staan voor ingrijpende acties, koppel systemen met alleen-lezen-rechten waar dat kan en zorg voor back-ups met versiegeschiedenis. De aanleiding om die instellingen deze week na te lopen is er. OpenAI's nieuwste model GPT-5.6 Sol wiste vrijwel de complete bestandsmap van een gebruiker en beveiligingsbedrijf Tego AI toonde aan dat Claude in Slack via botberichten tot ongewenste acties te bewegen is.

Een verkeerd gelezen variabele en je bestanden zijn weg

Matt Shumer, oprichter van AI-bedrijf OthersideAI, testte vorige week de nieuwe Ultra-modus van GPT-5.6 Sol. Hij gaf de agent volledige toegang tot zijn Mac ("Full Access", de naam zegt het eigenlijk al). Ruim een uur later zag hij dat er iets mis was: een subagent had de omgevingsvariabele $HOME verkeerd gelezen en was bezig zijn complete thuismap te verwijderen. Toen hij het proces stopte, was het grootste deel van zijn bestanden al weg.

Hij was niet de enige. Ontwikkelaar Bruno Lemos meldde dat hetzelfde model zijn productiedatabase wiste. Het opvallendste: OpenAI had dit gedrag zelf al beschreven. In de systeemkaart van eind juni staat dat het model een grotere neiging vertoont dan zijn voorganger om verder te gaan dan wat de gebruiker bedoelde. In een interne test kreeg het model de opdracht drie specifieke virtuele machines te verwijderen. Het kon ze niet vinden en verwijderde toen eigenhandig drie andere. Zonder te vragen.

In dezelfde week publiceerde het Israëlische beveiligingsbedrijf Tego AI onderzoek naar Claude Tag, de Slack-integratie van Anthropic. De onderzoekers zagen dat de agent reageerde op berichten met de letterlijke tekst "@Claude", ook wanneer die berichten van een bot of webhook kwamen. In hun demonstratie liet een botbericht de agent interne informatie ophalen, in Slack plaatsen en daarna de oorspronkelijke bron verwijderen. Anthropic bestrijdt dat dit onder de standaardinstellingen gebeurt. De vraag die Tego-CTO Tal Melamed opwerpt blijft evengoed staan: wie mag jouw agent eigenlijk instructies geven?

Het korte antwoord: reken op de instellingen, niet op het oordeel van het model

De oplossing zit in de rechten die je de agent geeft. Elke serieuze agent-tool heeft instellingen die bepalen waar de agent bij mag en wanneer hij eerst toestemming moet vragen. Vergelijk het met een schilder die je badkamer komt doen: die geef je de sleutel van de badkamer. De rest van het huis blijft op slot. "Full Access" aanzetten is de complete sleutelbos weggeven, inclusief die van de meterkast.

Melamed formuleerde het scherp: een veiligheidsfilter in het model is een nuttige verdediging, maar het mag niet de laatste grens zijn. Een model kan een verzoek verkeerd begrijpen, de verkeerde afzender vertrouwen of simpelweg een fout maken. De grens moet dus in de rechten zitten die jij hebt ingesteld. Behandel een agent als een krachtige gebruiker met een eigen account, met alle rechtenbeperkingen die daarbij horen.

Zo zet je de instellingen goed in ChatGPT en Codex

Codex, de agent achter ChatGPT Work, kent twee knoppen die samen de speelruimte bepalen: de sandbox (waar mag de agent lezen en schrijven) en het goedkeuringsbeleid (wanneer moet hij eerst vragen). De standaardinstelling is verstandig: schrijven mag alleen in de actieve werkmap, netwerktoegang staat uit, voor alles daarbuiten komt een goedkeuringsvraag.

  • Werk in de Auto-modus: de agent mag zelfstandig aan de slag in de werkmap en vraagt toestemming zodra hij daarbuiten wil. Wil je alleen overleggen of plannen, schakel dan via het commando /permissions naar alleen-lezen.

  • Vermijd Full Access. Dat was de modus waarin Shumers bestanden verdwenen. Zie je in een handleiding de vlag --yolo staan, dan weet je genoeg.

  • Laat netwerktoegang uit staan, of beperk die tot een lijst met domeinen die je zelf hebt goedgekeurd.

  • Beheer je dit voor een organisatie? Dwing deze keuzes dan centraal af via het beheerde beleid in de Codex-instellingen, zodat niet elke collega zijn eigen afweging hoeft te maken.

Zo beperk je Claude in Slack

Voor Claude Tag zitten de knoppen aan de beheerkant, op claude.ai onder de admin-instellingen. Daar bepaal je wie de agent mag aanroepen en waar hij bij kan.

  • Beperk wie Claude mag gebruiken. Standaard kan iedereen in de Slack-workspace de agent aanspreken, ook zonder Claude-account. Zet de restrictie aan zodat alleen leden van je eigen organisatie dat kunnen (op Enterprise kan dat per rol).

  • Koppel systemen met minimale rechten. Geef de agent alleen-lezen-toegang waar dat volstaat. Verbind je systemen via MCP, lees dan eerst wat MCP precies is en waarom rechtenbeheer daar zo nauw luistert.

  • Houd de agent uit kanalen met externe voeding. Kanalen waar bots, webhooks of nieuwsfeeds berichten plaatsen zijn precies de plek waar een vervalste instructie kan binnenkomen. Dat was de kern van de Tego-vondst.

  • Houd Claude uit kanalen met externe gasten. Dat is de standaardinstelling. Daar is over nagedacht.

  • Stel een uitgavenlimiet in en kijk regelmatig in de audit-weergave. Daar zie je elke geplande taak en elke netwerkaanroep terug.

Wekelijkse inzichten in je mail.

Dilemma's, doorbraken en blinde vlekken uit onze AI-praktijk.

De vuistregels voor elke agent, welke tool je ook gebruikt

Nieuwe agent-tools verschijnen sneller dan handleidingen geschreven worden. Gelukkig komen de instellingen overal op hetzelfde neer. Vier vuistregels die in elke tool werken, van ChatGPT tot Claude tot de eerstvolgende nieuwkomer:

  • Geef een eigen werkmap. Laat de agent werken in één afgebakende map, nooit in je hele documentenmap of thuismap. Wat hij niet kan zien, kan hij niet wissen.

  • Laat goedkeuringsvragen aan staan. Het is verleidelijk om elke bevestigingsvraag weg te klikken tot je de optie vindt die ze uitzet. Precies die vraag is je laatste vangnet bij een verwijderactie.

  • Behandel binnenkomende content als gegevens. Alles wat van buiten komt (een e-mail, een webpagina, een botbericht in Slack) kan een verstopte instructie bevatten die de agent als opdracht leest. Geef de agent daarom geen schrijfrechten in omgevingen waar hij ongefilterde externe content binnenkrijgt.

  • Zorg voor back-ups met versiegeschiedenis. OneDrive, Google Drive of Git: maakt niet uit, als je maar terug kunt. Ontwikkelaar Joey Kudish verloor door hetzelfde model ook bestanden en haalde zijn schouders op. Hij had back-ups.

Wie dit zo leest, denkt misschien: moet ik dan maar wachten met agenten? Dat is de verkeerde conclusie. De incidenten van deze week ontstonden bij maximale vrijheid en minimale begrenzing. Met een kwartier werk in de instellingen haal je het grootste deel van het risico eruit en houd je de productiviteitswinst over. We schreven al vaker over de veiligheid van AI-agenten; bekijk alle artikelen over veiligheid.

De agenten worden de komende jaren alleen maar zelfstandiger. De organisaties die daarvan profiteren hebben hun vangrails op orde voordat ze het gaspedaal intrappen. Wil je weten hoe je dat voor jouw organisatie inricht? Plan een kennismaking in, we denken graag mee.