Miljardsatsningarna på AI vilar på havsbottnar i skjutvidden för geopolitiska konflikter
Gulfstaternas AI-miljarder vilar på ett fåtal sårbara kablar på havsbotten.
När drömmen om digital oljexport möter geopolitisk verklighet
Saudiarabien och Förenade Arabemiraten har under de senaste åren investerat miljarder på att bygga datacenter, locka molnjättar och positionera sig som exportörer av beräkningskraft – en digital variant av den oljehandel som en gång lade grunden för regionens välstånd. Visionen är storslaget formulerad. Den tekniska verkligheten är mer brutalt enkel.
Enligt Wired transporterar undervattensledningar uppskattningsvis 95 procent av all internationell datatrafik. För Gulfregionen är problemet att merparten av konnektiviteten mot Europa och USA är koncentrerad till ett fåtal rutter – genom Röda havet och Hormuzsundet. Det är inte ett hypotetiskt problem. År 2025 kapades två ledningar i Röda havet, vilket försämrade uppkopplingen i regionen under flera dagar och orsakade skador uppskattade till 35 miljarder kronor i förlorade tjänster. Dessutom – och det är det verkligt oroande – inträffade detta innan den stora datacenterutbyggnaden i regionen hade tagit fart på allvar.
I maj rapporterade flera medier att Iran övervägde att ta kontroll över samtliga sju undervattensledningar genom Hormuzsundet. Oavsett om det förblir ett övervägande eller blir verklighet understryker det att AI-infrastruktur inte existerar i ett geopolitiskt vakuum. Varje millisekund av beräkningskraft som levereras från ett gulfstatsdatacenter är beroende av kablar som löper längs havsbottnar i ett av världens mest spänningsfyllda farvatten.
Kedjeattacker: en sårbarhet inbyggd i hur vi bygger mjukvara
Medan debatten om fysisk infrastruktur pågår avslöjar en annan nyhet hur sårbar den digitala byggprocessen i sig är. Grafana Labs bekräftar, enligt SecurityWeek, att ett dataintrång mot företagets kodarkiv på GitHub var ett direkt resultat av den så kallade TanStack-attacken – en samordnad kedjeattack mot mjukvaruförsörjningen som drabbade dussintals välkända projekt.
Angreppet, internt benämnt Mini Shai-Hulud, spred självreplikerande skadlig kod via populära paket i NPM och PyPI – de pakethanteringssystem som ligger till grund för en oöverskådlig mängd modern programvara. En förbisedd autentiseringstoken gav angriparna fortsatt åtkomst till Grafanas kodarkiv. Källkoden modifierades inte, och inga kundmiljöer påverkades – men källkoden, intern driftsinformation och affärsuppgifter laddades ned. Ett utpressningskrav lämnades den 16 maj, vilket Grafana valde att inte efterkomma.
Det som är tekniskt fascinerande – och djupt oroande – med kedjeattacker är att de utnyttjar tillit som anfallsvektor. Ingen organisations säkerhetsarbete är starkare än det svagaste paketet i beroendekedjan. Ju mer avancerad och beroendetung vår programvaruutveckling blir, desto fler potentiella ingångar skapas.
Ett säkerhetsverktyg med ett hål i skrovet
Till bilden fogar sig ytterligare en händelse: säkerhetsföretaget TrendAI meddelar att en nyupptäckt sårbarhet i deras produkt Apex One – spårad som CVE-2026-34926 – redan utnyttjas aktivt ute i verkliga miljöer, rapporterar SecurityWeek. Bristen rör en så kallad katalogrörelsebrist som möjliggör kodinjicering mot anslutna klienter. Amerikanska CISA har lagt till sårbarheten i sin katalog över kända utnyttjade säkerhetsbrister och uppmanar federala myndigheter att agera skyndsamt.
Analytiker noterar att den åtkomstnivå som krävs för att utnyttja bristen pekar mot en avancerad ihållande hotaktör – möjligen statsunderstödd, i linje med tidigare angrepp mot liknande Apex-produkter. Att ett säkerhetsverktyg självt blir anfallsvägen är en klassisk och nästan ironisk sårbarhet, men den illustrerar en viktig princip: inget lager i stacken är per definition säkert.
Tre händelser, ett mönster
De tre nyheterna verkar handla om skilda saker – geopolitik, öppen källkod och företagssäkerhet. Men de delar en gemensam kärna: AI-erans infrastruktur är djupt sammankopplad och varje länk i kedjan kan brytas.
Det är inte ett skäl till pessimism. Det är ett skäl till precision. De organisationer och länder som tar dessa risker på allvar – som bygger redundans i sina nätverksrutter, granskar sina beroendekedjor och behandlar sina säkerhetsverktyg med lika mycket misstänksamhet som sina motståndare – är de som kommer att kunna leverera den AI-kapacitet de lovar. De som blundar för den sprödhet som döljer sig under ytan gör det på egen risk.
Vår analys
Det som slår mig när jag läser dessa tre nyheter tillsammans är hur tydligt de visar att AI-satsningar idag bedöms utifrån beräkningskapacitet, investeringsvolymer och modellprestanda – medan den underliggande infrastrukturens sårbarhet sällan får samma utrymme i samtalet.
Kedjeattacker mot mjukvaruförsörjningen kommer att bli vanligare, inte färre, i takt med att öppen källkod fördjupar sitt fotfäste i kritiska system. Det kräver ett nytt förhållningssätt till beroenden – inte bara teknisk granskning utan organisatorisk mognad kring vad vi faktiskt litar på och varför.
Gulfstaternas situation är ett varnande prejudikat för alla som bygger storskalig AI-infrastruktur: fysisk redundans är inte en lyx, det är en grundförutsättning. Och när säkerhetsverktyg själva blir anfallsvektorer är det dags att ifrågasätta hela den förtroendemodell som modern IT-säkerhet vilar på.
Möjligheten finns: de som bygger rätt från grunden skapar varaktiga konkurrensfördelar. Men det kräver att vi slutar behandla infrastruktursäkerhet som ett eftertankeproblem.