Toen ik mijn eerste Ai-agent voor beveiligingscontroles bouwde, wilde ik alles door het model laten doen. Vraag het taalmodel of er ergens een wachtwoord in de code staat. Vraag het model of een certificaat bijna verloopt. Vraag het model of iemand probeert in te breken. Het klonk logisch: één slim brein dat alles overziet.

Het was duur en het was minder betrouwbaar dan ik dacht. Een taalmodel kan namelijk niet hashen, kan niet exact tellen en kan een vervaldatum niet cryptografisch correct uitlezen. Het gokt op basis van patronen. Voor sommige dingen is gokken prima. Voor het vaststellen van een hard feit is het precies het verkeerde instrument.

De regel waar ik sindsdien aan vasthoud is simpel: Ai bovenop tools, niet in plaats van tools. Gereedschap stelt de feiten vast. Ai interpreteert die feiten. Zodra je die twee door elkaar haalt, betaal je te veel en krijg je slechtere antwoorden.

Gereedschap is de detectielaag, Ai is de duidlaag#

Denk aan de gewone commando’s die elke server al aan boord heeft. grep zoekt exact naar tekst. openssl leest een certificaatdatum cryptografisch correct uit. Een kwetsbaarheidsscanner vergelijkt jouw software met een database van bekende lekken. Een controlesom (sha256sum) ziet of een bestand veranderd is. Deze dingen zijn deterministisch: dezelfde invoer geeft altijd hetzelfde antwoord. Ze zijn snel. En ze zijn gratis.

Een taalmodel is niets van dat alles. Het is niet deterministisch, het is niet gratis, en voor exacte controles is het niet betrouwbaar. Maar het kan iets wat die tools niet kunnen: betekenis geven aan de uitkomst.

Dat verschil zit hem in het soort vraag. Kijk naar wat er echt gebeurt in mijn opzet:

  • Een tekstzoeker vindt in de code de regel TOKEN=your-token-here. De zoeker ziet alleen: hier staat het woord token met een waarde erachter, alarm. Maar is dat een echt lek of een placeholder die de programmeur nog moet invullen? Dát is een oordeel. Daar zet ik een goedkoop taalmodel op: “is dit een echt geheim of een voorbeeldwaarde?” Het gereedschap detecteert, de Ai duidt.
  • Een scanner spuugt vijftig bevindingen uit. Vijftig. Niemand pakt er vijftig op dezelfde dag op. De vraag is niet “wat is er allemaal gevonden” maar “welke drie moet ik vandaag echt oplossen?” Prioriteren met context is werk voor een taalmodel, niet voor een scanner die alles even hard rood kleurt.
  • Een kwetsbaarheidsscanner meldt een lek met een hoge risicoscore. Prima, maar raakt dat lek onze software eigenlijk? Gebruiken wij die kwetsbare module überhaupt? De scanner weet dat niet, de Ai kan het nakijken.

In alle drie de gevallen doet het gereedschap het zware, exacte, gratis werk. De Ai komt er pas bovenop voor het stukje waar oordeel en context nodig zijn. En dat stukje is klein, dus het kost weinig.

Het bugje dat me leerde waarom detectie deterministisch moet zijn#

Er is één ervaring die me dit echt heeft ingeprent. Ik had een inlogpagina die achter een omweg-laag draaide (een proxy die het adres onderweg aanpast). Als je de pagina opende, laadde alles keurig. De server gaf netjes een “200 OK” terug: het universele teken van “alles in orde”.

Alleen: als je vervolgens het formulier invulde en op verzenden drukte, gebeurde er niets. Het verzenden zelf (in technische termen de POST) liep stuk achter die proxy, omdat het adres onderweg net verkeerd werd samengesteld. Ophalen werkte, versturen niet. En dat is nu juist het enige wat telt bij een inlogpagina.

Als ik hier op een oppervlakkige controle had vertrouwd (de pagina laadt, geef een groen vinkje) of op een Ai die even naar de pagina keek en “ziet er goed uit” zei, dan had ik het gemist. Wat het wél ving, was een saaie, deterministische test die de echte handeling nadeed: vul het formulier in, druk op verzenden, controleer of er daadwerkelijk iets gebeurt. Geen slimmigheid, gewoon de feitelijke actie uitvoeren en het resultaat meten.

Dat is de kern. Detectie moet je overlaten aan iets wat de werkelijkheid echt aftast, niet aan iets wat inschat hoe de werkelijkheid er waarschijnlijk uitziet. “200 OK” is geen gezondheid. Een taalmodel dat een blik werpt is geen meting. Zodra je je detectie op inschatting baseert, mis je precies de stille storingen die het gevaarlijkst zijn: alles lijkt te werken, tot het moment dat een klant het écht probeert.

Waarom deze verdeling ook je Ai-rekening drukt#

Dit is niet alleen een kwaliteitsverhaal, het is vooral een kostenverhaal. Een premium taalmodel vraagt geld per stukje tekst dat er in en uit gaat. Als je dat model vijftig bevindingen laat doorploegen, elke certificaatdatum laat uitrekenen en elke regel code laat scannen, dan betaal je voor werk dat je gratis gereedschap sneller en exacter had gedaan.

In mijn opzet draait de detectielaag daarom continu en gratis: lichte scanners en simpele commando’s die geen enkele Ai-call kosten. Pas als daar een écht ernstige bevinding uit komt, schakel ik het dure model in voor de interpretatie. Detectie is goedkoop en altijd aan; het dure denkwerk gebeurt alleen op signaal, niet standaard. Dat scheelt niet een paar procent, dat scheelt het overgrote deel van de rekening, omdat het overgrote deel van het werk nu eenmaal detectie is en geen interpretatie.

De denkfout die ik veel zie bij ondernemers die met Ai beginnen, is dat ze het model als een manusje-van-alles behandelen. Alles gaat door de dure trechter. Dat voelt modern, maar het is verspilling. Het model hoort de scherprechter te zijn die af en toe een lastige knoop doorhakt, niet de sjouwer die de hele dag dozen tilt.

Wat betekent dit voor jouw bedrijf#

Je hoeft geen server vol beveiligingsscanners te draaien om hier iets aan te hebben. Het principe geldt voor elke plek waar je Ai wilt inzetten. Stel jezelf bij elke taak twee vragen.

Ten eerste: is dit een feit of een oordeel? Een bedrag optellen, controleren of een veld is ingevuld, twee lijsten vergelijken, kijken of een bestand bestaat: dat zijn feiten. Daar heb je geen Ai voor nodig, en een gewone berekening of controle is er niet alleen goedkoper maar ook betrouwbaarder in. Bewaar de Ai voor de oordelen: is deze klacht urgent, klopt de toon van deze tekst, welke van deze opties past het best.

Ten tweede: stel ik mijn detectie op meten of op inschatten? Wil je weten of iets werkt, laat dan iets de echte handeling uitvoeren en het resultaat controleren. Vertrouw niet op een oppervlakkig “het staat aan” en niet op een model dat een gok waagt. De duurste fouten zijn de stille: het lijkt te werken, en niemand merkt dat het stuk is tot het te laat is.

Wie deze twee vragen consequent stelt, houdt een Ai-inzet over die goedkoper is én betrouwbaarder. Dat is geen tegenstelling, het is precies wat er gebeurt als je elk instrument het werk laat doen waar het goed in is.

Wil je hulp bij het bepalen wat in jouw bedrijf door gewone automatisering kan en wat echt een Ai-oordeel vraagt, kijk dan eens op de consulting-pagina. En om af te wegen wat een Ai-oordeel mag kosten en wanneer een goedkoper alternatief volstaat, helpt de gratis Ai-kostenwijzer voor het mkb.