In plaats van ons af te vragen „gaat AI ons vervangen?”, is de echte vraag „hoe kunnen we AI inzetten om onze expertise te versterken?” “
Hoewel AI de mens overtreft in het verwerken van grote hoeveelheden gegevens en automatisering, blijft het inzicht van pentesters onvervangbaar als het gaat om creativiteit, het interpreteren van de context en intuïtie, legt Laurent Deheyer, Chief Delivery Officer bij Approach Cyber, uit.
Is AI sterker dan de mens bij pentesting? Op bepaalde punten lijkt AI duidelijk in het voordeel te zijn. Het is snel, omdat het in staat is om een volledige pentest binnen enkele uren af te ronden. Het is methodisch, omdat het niet wordt afgeleid en niets vergeet. Het stopt nooit. Het is schaalbaar, omdat het parallel op honderden doelen kan worden ingezet, zonder extra personeelskosten. Maar het heeft natuurlijk ook een prijs.
Al deze aspecten – zowel positieve als negatieve – moeten grondig worden geanalyseerd, legt Laurent Deheyer uit. „Sommige door de AI gesignaleerde kwetsbaarheden moeten nog door een mens worden gecontroleerd. Ze zijn namelijk niet allemaal direct uitbuitbaar. Want het vermogen om de context van een applicatie te begrijpen, met ontwikkelaars te communiceren en een passende oplossing voor te stellen, blijft voorlopig voorbehouden aan de mens.”
Een copiloot om het werk voor te bereiden
AI automatiseert het zoeken naar bugs via injectie en detecteert bekende aanvalspatronen razendsnel. Ze blinkt uit in het uitvoeren van duidelijk omschreven scenario’s. En ze vindt. Documenteert. Geeft door. Kortom, ze fungeert als een copiloot om het werk voor te bereiden.
„Vandaag de dag, in de race tegen de klok die cyberbeveiliging is geworden, heeft AI een voorsprong. En daar profiteren we van. Bij Approach Cyber maken we er op grote schaal gebruik van. Ten behoeve van de klanten. ”
Op het eerste gezicht zou je kunnen denken dat AI de mens geleidelijk zal verdringen. Laurent Deheyer gelooft daar niet in. „Wij, mensen, beoordelen de zakelijke context, anticiperen op de gevolgen in de echte wereld en leggen verbanden tussen complexe kwetsbaarheden die AI niet kan leggen. Sterker nog, we zijn in staat om te improviseren wanneer we te maken krijgen met onbekende beveiligingssystemen! »
Met andere woorden: AI vervangt niet de intuïtie, de vindingrijkheid of het totaaloverzicht van een goede pentester.
Niet onfeilbaar, talrijke blinde vlekken
AI luidt een nieuwe manier van denken over beveiliging in: niet langer als een reeks eenmalige tests, maar als een continu proces, geïntegreerd in de ontwikkelingscycli. Het fungeert als een krachtversterker. Aan de andere kant is het de specialist die de tool aanstuurt, de subtiele bevindingen interpreteert en de meest geavanceerde, op maat gemaakte aanvallen opzet.
Want AI is uiteraard niet onfeilbaar. Bovendien vertoont ze talrijke blinde vlekken. Haar intelligentie is eerder relatief. „Hoewel ze het in conventionele scenario’s vaak heel goed doet, heeft ze enorme moeite wanneer we buiten de gebaande paden treden”, aldus Laurent Deheyer. Een reeks stappen waarbij gebruik wordt gemaakt van een ongebruikelijke aaneenschakeling van functionaliteiten – wat een ‘creatieve kettingaanval’ wordt genoemd – blijft moeilijk te bedenken voor een AI.”
Op dezelfde manier geldt: hoe meer ervaring je hebt met pentesten, hoe beter je buiten het klassieke kader van een aanval kunt treden. Het al te letterlijk opvolgen van de aanbevelingen van een AI zal dan eerder een belemmering zijn dan een echte hulp. „Onze junioren moeten leren zich zonder AI te redden”, merkt Laurent Deheyer nog op. En dus blijk te geven van intelligentie, subtiliteit en creativiteit, terwijl de AI uitblinkt in omvangrijke taken zoals het sorteren van kwetsbaarheden of het opstellen van rapporten. De kunst van het vak is om verder te kijken dan de technische observaties om concrete acties te definiëren die eenvoudige technische bevindingen omzetten in een duidelijk, relevant en geprioriteerd beveiligingsplan. »
Expertise versterken
AI heeft het landschap van pentesting onmiskenbaar veranderd door herkenning, triage en rapportage een impuls te geven. Maar het is de combinatie van de snelheid van de machine en de menselijke vindingrijkheid die zorgt voor de meest diepgaande analyses, de meest creatieve aanvalsroutes en het meest genuanceerde advies dat een organisatie nodig heeft.
In plaats van ons af te vragen: „Gaat AI ons vervangen?”, is de echte vraag: „Hoe kunnen we AI benutten om onze expertise te versterken?”.
Met andere woorden: hoewel AI het instrumentarium van pentesting blijft herdefiniëren, is de kans veel groter dat het een onmisbare copiloot wordt dan dat het de menselijke piloot volledig vervangt. Dat is in ieder geval de koers die bij Approach Cyber wordt gevolgd, waarvan het 2026 Pentest Annual Report onlangs is verschenen.
