Wat er is gebeurd
Brex heeft CrabTrap open source gemaakt, een HTTP- en HTTPS-proxy die tussen een AI-agent en de buitenwereld gaat zitten. In plaats van erop te vertrouwen dat een agent zelfstandig veilig met tools en APIs omgaat, onderschept CrabTrap elk uitgaand netwerkverzoek, toetst het aan beleid en laat het verzoek vervolgens in realtime toe of blokkeert het. Het idee is simpel maar belangrijk: zodra een agent echte credentials heeft, kan elk gehallucineerd of prompt-geinjecteerd verzoek veranderen in een operationeel incident.
Het systeem combineert twee controleniveaus. Eerst past het statische regels toe voor bekende veilige verkeerspatronen, zoals specifieke domeinen, paden of HTTP-methodes. Als een verzoek buiten die regels valt, stuurt CrabTrap de requestcontext naar een LLM judge die beoordeelt of de actie past binnen het natural-language beleid van de agent. Volgens Brex bouwde het bedrijf dit omdat bestaande benaderingen te smal, te modelspecifiek of te handmatig waren om over echte productie-agents te schalen.
Wat deze release interessanter maakt dan een doorsnee securityaankondiging, is dat Brex niet praat over een labdemo. Het bedrijf zegt CrabTrap al in productie te draaien met agents die echt werk doen binnen de eigen bedrijfsomgeving. Daarnaast beschrijft het een policy builder die leert van historisch netwerkverkeer, een evalsysteem dat oude requests opnieuw afspeelt tegen conceptbeleid en een audittrail in PostgreSQL. In een productie-use-case was de LLM judge volgens Brex op minder dan 3 procent van de requests nodig, omdat veelvoorkomende patronen snel in statische regels konden worden omgezet.
Waarom dit ertoe doet
Dit is relevant omdat de discussie over enterprise AI eindelijk opschuift van de vraag of agents taken kunnen uitvoeren naar de serieuzere vraag hoe je ze begrenst zodra ze dat doen. Het is inmiddels relatief eenvoudig om een agent toegang te geven tot een browser, een shell, een filesysteem en een set API-sleutels. Het moeilijke deel is zorgen dat die toegang niet verandert in stille datalekken, destructieve API-calls of dure neveneffecten wanneer het model een prompt verkeerd leest of vijandige input tegenkomt.
Veel huidige discussies over guardrails blijven te dicht op de modellaag zitten. Teams praten over betere prompts, veiligere toolbeschrijvingen of policies van de modelprovider, maar daarmee blijft een groot blinde vlek bestaan. Als een agent externe diensten via het netwerk kan bereiken, wordt de transportlaag onderdeel van de securitygrens. Een proxy als CrabTrap is relevant omdat hij onder het frameworkniveau opereert. Het maakt niet uit of de agent is gebouwd met LangGraph, OpenAI Agents SDK, een eigen harness of iets anders. Als de agent een request probeert te versturen, krijgt de proxy een stem.
Dat heeft directe gevolgen voor integratiezware enterprise-omgevingen, en juist daar zit de echte waarde. De waardevolste agents zijn geen chatvensters. Het zijn factuurworkflows die ERP-systemen raken, service-agents die gedeelde inboxen uitlezen, procurementflows die leveranciers-APIs aanroepen en kenniswerkers die schakelen tussen browsersessies, interne tools en documentstores. In zulke omgevingen is prompt injection niet alleen een grappige demofout. Het kan uitgroeien tot een complianceprobleem, een data residency-risico of een kostbare operationele fout.
Laava-perspectief
Bij Laava zien we deze release als bevestiging dat production-grade agentsystemen meer nodig hebben dan een sterk reasoning-model. Ze hebben een gedisciplineerde action-laag nodig. Onze drie-lagenarchitectuur scheidt context, reasoning en action precies om die reden. In de action-laag houdt AI op interessant te zijn en begint het risicovol te worden, omdat het model daar ERP, CRM, e-mail of interne kennissystemen kan raken. Guardrails op die grens zijn geen optionele extra's, maar onderdeel van de kernarchitectuur.
We waarderen ook dat CrabTrap beleid behandelt als iets dat je kunt observeren, testen en verbeteren, in plaats van iets dat je eenmalig in een prompt zet en daarna vergeet. Die denkwijze past bij hoe enterprise-systemen gebouwd moeten worden. Echte workflows veranderen. Nieuwe endpoints verschijnen. Oude regels worden te breed. De juiste reactie is dan niet blind vertrouwen op het model, maar een lus van loggen, replayen, evalueren en aanscherpen. Dat lijkt veel meer op saaie engineering dan op AI-theater, en dat is precies goed.
Tegelijk is een proxy niet het hele antwoord. Het kan risico verminderen aan de netwerkgrens, maar vervangt geen procesontwerp, human approval gates, metadata-kwaliteit of deterministische integratiecode. Een agent die nooit een betaling boven een bepaalde drempel mag goedkeuren of zonder validatie een klantrecord mag aanpassen, heeft nog steeds business rules nodig buiten het model om. De les is dus niet dat één nieuwe open-source tool agentbeveiliging oplost. De les is dat de markt eindelijk de ontbrekende operationele lagen rond agents begint te bouwen, en juist daar wordt enterprise adoptie gewonnen of verloren.
Wat je nu kunt doen
Als je vandaag met AI-agents experimenteert, begin dan met het in kaart brengen van uitgaande toegang voordat je meer intelligentie toevoegt. Welke APIs mag de agent aanroepen, met welke credentials, en wat gebeurt er als hij het verkeerde request verstuurt? Als je dat niet helder kunt beantwoorden, heb je nog geen productiearchitectuur. Een eenvoudige inventarisatie van netwerkverkeer en approvals reduceert meestal meer risico dan nog een ronde prompttuning.
Kies daarna één smalle workflow en zet daar expliciete controles omheen. Log elk uitgaand request. Definieer allowlists voor voorspelbaar verkeer. Voeg human approval toe voor acties met grote impact. Als je meer flexibiliteit nodig hebt, beoordeel dan of een transportlaag met beleid, zoals CrabTrap, in je stack past. Het doel is niet om agents autonoom te laten voelen. Het doel is om ze betrouwbaar genoeg te maken om nuttig werk te doen binnen echte bedrijfssystemen.