CX-platforms verwerken miljarden ongestructureerde interacties per jaar: enquêteformulieren, beoordelingssites, sociale feeds, transcripties van callcenters, allemaal ingevoerd in AI-engines die geautomatiseerde workflows mogelijk maken in salaris-, CRM- en betalingssystemen. Geen enkel hulpmiddel in de stack van een security operations center bepaalt wat de AI-engine van een CX-platform voedt, en aanvallers hebben dit ontdekt. Ze vergiftigen de gegevens die deze voeden, en de AI doet de schade voor hen.
De Salesloft/Drift-inbreuk in augustus 2025 heeft precies dat aangetoond. Aanvallers heeft de GitHub-omgeving van Salesloft gecompromitteerdheeft de OAuth-tokens van de Drift e-chatbot gestolen toegang had tot Salesforce-omgevingen in meer dan 700 organisaties, waaronder Cloudflare, Palo Alto Networks en Zscaler. In die tijd gestolen gegevens gescand voor AWS-sleutels, Snowflake-tokens en wachtwoorden in platte tekst. En er werd geen malware verspreid.
Deze kloof is groter dan de meeste beveiligingsleiders zich realiseren: 98% van de organisaties beschikt over een programma ter voorkoming van gegevensverlies (DLP), maar slechts 6% beschikt over specifieke middelenDat blijkt uit het Voice of the CISO-rapport uit 2025 van Proofpoint, waarin 1.600 CISO’s in 16 landen werden ondervraagd. En 81% van de interactieve inbraken gebruik nu legitieme login in plaats van malware, volgens CrowdStrike’s Threat Hunting Report 2025. Het aantal cloudinbraken is in de eerste helft van 2025 met 136% toegenomen.
“De meeste beveiligingsteams classificeren platformen voor ervaringsbeheer nog steeds als ‘probing tools’, die hetzelfde risiconiveau hebben als een projectmanagement-app”, vertelde Assaf Keren, chief security officer bij Qualtrics en voormalig PayPal-CISO, in een recent interview aan VentureBeat. “Dit is een verkeerde categorisering. Deze platforms zijn nu verbonden met HRIS, CRM en compensatiemotoren.” Alleen Qualtrics-processen 3,5 miljard interacties per jaareen cijfer dat volgens het bedrijf sinds 2023 is verdubbeld. Organisaties kan het zich niet veroorloven om stappen over te slaan op de integriteit van de invoer zodra de AI de workflow binnenkomt.
VentureBeat heeft enkele weken lang veiligheidsleiders geïnterviewd die deze kloof proberen te dichten. In elk gesprek kwamen zes controlefouten naar voren.
Zes blinde vlekken tussen de securitystack en de AI-engine
1. DLP kan geen ongestructureerde sentimentgegevens zien die via standaard API-aanroepen naar buiten komen
Het meeste DLP-beleid classificeert gestructureerde persoonlijk identificeerbare informatie (PII): namen, e-mails en betalingsinformatie. Open tekst CX-reacties bevatten salarisklachten, gezondheidsinformatie en kritiek van het management. Geen enkele komt overeen met de standaard PII-modellen. Wanneer een AI-tool van derden dergelijke gegevens extraheert, lijkt de export op een routinematige API-aanroep. DLP wordt nooit geactiveerd.
2. Zombie API-tokens van voltooide campagnes zijn nog steeds actief
Een voorbeeld: Mmarketing heeft zes maanden geleden een CX-campagne uitgevoerd en de campagne is afgelopen. Maar de OAuth-tokens die het CX-platform verbinden met HRIS-, CRM- en betalingssystemen zijn nooit ingetrokken. Dit betekent dat elk een open zijdelings bewegingspad is.
Patrick Opet, CISO van JPMorgan Chase, benadrukte dit risico in zijn artikel Open brief van april 2025waarschuwend dat SaaS-integratiemodellen ‘expliciet single-factor vertrouwen tussen systemen’ creëren via tokens die ‘onvoldoende beveiligd zijn…kwetsbaar voor diefstal en hergebruik’.
3. Publieke inputkanalen hebben geen bot-mitigatie voordat de data de AI-engine bereiken
Een webapp-firewall inspecteert HTTP-payloads voor een webapplicatie, maar deze dekking strekt zich niet uit tot een Trustpilot-review, een Google Maps-beoordeling of een open-text enquêtereactie die een CX-platform als legitieme input invoegt. Het frauduleuze sentiment dat deze kanalen overspoelt, is onzichtbaar voor de perimetercontroles. VentureBeat vroeg leiders en beveiligingsleveranciers of iemand de integriteit van het invoerkanaal voor de openbare gegevensbronnen die de AI CX-motoren aandrijven, kan dekken; het blijkt dat de categorie nog niet bestaat.
4. Zijwaartse beweging vanaf een gecompromitteerd CX-platform wordt uitgevoerd via goedgekeurde API-aanroepen
“Tegenstanders stormen niet binnen, ze stormen binnen”, vertelde Daniel Bernard, chief business officer bij CrowdStrike, aan VentureBeat in een exclusief interview. “Het is een geldige login. Dus vanuit het perspectief van een externe ISV heb je een inlogpagina en tweefactorauthenticatie. Wat wil je nog meer van ons?”
De dreiging strekt zich uit tot zowel menselijke als niet-menselijke identiteiten. Bernard beschreef het volgende: “Plotseling worden terabytes aan gegevens geëxporteerd. Het is niet-standaard gebruik. Het gaat naar plaatsen waar deze gebruiker nog nooit eerder is geweest.” A beveiligingsinformatie en evenementenbeheer (SIEM) ziet de authenticatie slagen. Hij ziet deze gedragsverandering niet. Zonder wat Bernard ‘softwarepostuurbeheer’ voor CX-platforms noemt, verloopt de laterale beweging via verbindingen die het beveiligingsteam al heeft goedgekeurd.
5. Niet-technische gebruikers hebben beheerdersrechten die door niemand worden beoordeeld
Marketing-, HR- en klantsuccesteams zetten CX-integraties op omdat ze snelheid nodig hebben, maar het SOC-team ziet ze misschien nooit. Beveiliging moet een faciliterende factor zijn, zegt Keren, anders kunnen teams er omheen werken. Elke organisatie die niet in staat is een up-to-date overzicht te maken van elke CX-platformintegratie en de bijbehorende beheerdersreferenties, wordt blootgesteld aan schaduwbeheer.
6. Open tekstfeedback bereikt de database voordat de PII wordt gemaskeerd
Bij medewerkersonderzoek worden klachten over managers op naam, salarisklachten en gezondheidsinformatie verzameld. Feedback van klanten komt eveneens aan bod: accountgegevens, aankoopgeschiedenis, servicegeschillen. Niets van dit alles heeft invloed op een gestructureerde PII-classificator, omdat deze als vrije tekst wordt geleverd. Als een inbreuk deze blootlegt, krijgen aanvallers persoonlijke informatie langs het zijwaartse bewegingspad te zien.
Niemand is eigenaar van deze kloof
Deze zes mislukkingen hebben één hoofdoorzaak gemeen: het SaaS-beveiligingslaagbeheer is volwassener geworden voor Salesforce, ServiceNow en andere bedrijfsplatforms. CX-platforms hebben nog nooit dezelfde behandeling gekregen. Niemand houdt gebruikersactiviteit, machtigingen of configuraties bij binnen een ervaringsbeheerplatform, en beleidshandhaving op de AI-workflows die die gegevens verwerken, bestaat niet. Wanneer botgestuurde invoer of afwijkende gegevensexporten de CX-applicatielaag bereiken, wordt dit door niets gedetecteerd.
Beveiligingsteams reageren met wat ze hebben. Sommige breiden SSPM-tools uit om CX-platformconfiguraties en -machtigingen te dekken. API-beveiligingsgateways bieden een ander pad, waarbij tokenscopes en gegevensstromen tussen CX-platforms en downstream-systemen worden geïnspecteerd. Op identiteit gerichte teams passen CASB-achtige toegangscontroles toe op CX-beheerdersaccounts.
Geen van deze benaderingen levert wat beveiliging op CX-niveau eigenlijk vereist: continue monitoring van wie toegang heeft tot ervaringsgegevens, realtime inzicht in verkeerde configuraties voordat deze laterale bewegingspaden worden, en geautomatiseerde bescherming die beleid afdwingt zonder te wachten op een driemaandelijkse beoordelingscyclus.
De eerste integratie die speciaal voor dit gat is gebouwd, verbindt postuurbeheer rechtstreeks met de CX-laag, waardoor beveiligingsteams dezelfde dekking krijgen over programma-activiteiten, configuraties en gegevenstoegang die ze al verwachten voor Salesforce of ServiceNow. CrowdStrike’s Falcon Shield en Qualtrics’ XM-platform zijn de match. De veiligheidsleiders die VentureBeat interviewde, zeiden dat dit de controle is die ze met de hand hebben opgebouwd en waar ze hun slaap over hebben verloren.
Veiligheidsteams meten de explosieradius niet
De meeste organisaties hebben de straal van de technische explosie in kaart gebracht. ‘Maar niet de omvang van de bedrijfsexplosie’, zei Keren. Wanneer een AI-engine een compensatieaanpassing activeert op basis van vergiftigde gegevens, is de schade geen veiligheidsincident. Het is een slechte zakelijke beslissing die met machinesnelheid wordt uitgevoerd. Deze kloof ligt tussen de CISO, de CIO en de eigenaar van de business unit. Tegenwoordig heeft niemand het.
“Als we data gebruiken om zakelijke beslissingen te nemen, moeten die data correct zijn”, zegt Keren.
Voer de audit uit en ga aan de slag met zombietokens. Dit is waar grootschalige inbreuken beginnen. Het begint met een validatieperiode van 30 dagen. Kunstmatige intelligentie wacht niet.
