Ord har blivit det nya vapnet mot AI-system – retorik ersätter hackarskicklighet

När orden är vapnet

Det började enkelt. Nästan löjligt enkelt.

De första försöken att kringgå AI-chattbottarnas säkerhetsspärrar krävde varken teknisk kompetens eller förståelse för hur språkmodeller fungerar. Ibland räckte det med att be systemet glömma sina instruktioner. Tekniken påminde om ett barn som övertalar en vuxen med logiken: vi leker en lek och jag bestämmer reglerna. Resultaten var dock allt annat än lekfulla – recept på narkotika, steg-för-steg-vägledning för skadlig programvara, instruktioner för att tillverka sprängmedel.

Enligt The Verge var ett av de tidiga och mest spridda exemplen den så kallade DAN-metoden – en förkortning för "Do Anything Now" – där användare bad ChatGPT anta rollen som en ostyrig AI helt utan inbyggda begränsningar. I den rollen kunde chattbotten förmås att leverera just det som säkerhetsfunktionerna var utformade att förhindra. Ett annat trick: be AI:n spela en vänlig farmor som berättar godnattsagor – som råkar handla om hur man framställer brandfarliga ämnen.

Kapprustningen trappas upp

Teknologiföretagen var snabba på att täppa till de mest uppenbara bristerna. Men grundproblemet förblev olöst, och det är strukturellt till sin natur: chattbottar är byggda för att föra samtal, och att kraftigt begränsa dessa samtal motverkar deras kärnfunktion. Ord som "bomb" eller "napalm" har dessutom hundratals legitima användningsområden inom historia, journalistik, kemi och skönlitteratur. En spärr som är tillräckligt bred för att blockera allt skadligt riskerar att göra systemet oanvändbart för legitima ändamål.

Resultatet är en eskalerande kapprustning – inte mellan programmerare, utan mellan ordsmeder. Dagens angripare behöver inte förstå modellarkitektur. De behöver förstå hur man formar en mening, hur man utnyttjar ett systems benägenhet att vara hjälpsam, och hur man konstruerar ett sammanhang där skadlig information framstår som rimlig och nödvändig att leverera.

En ny typ av sårbarhet

Detta är en viktig insikt för oss som arbetar med AI-driven affärsutveckling och samhällsimplementering: den mest kritiska säkerhetsytan är inte teknisk – den är språklig. Traditionella IT-säkerhetstänkare letar efter sårbarheter i kod, protokoll och systemgränssnitt. Men språkmodeller introducerar en helt ny attackyta där angriparen arbetar med mänsklig psykologi och semantik.

I takt med att AI-system nu rullas ut i bred skala – i kundtjänst, sjukvård, juridik, utbildning och offentlig förvaltning – ökar riskexponeringen dramatiskt. En felaktigt konfigurerad chattbot kopplad till ett företags interna system kan med rätt ordval förmås att läcka känslig information, kringgå behörighetskontroller eller agera på ett sätt som skadar varumärket eller drabbar slutanvändare.

Möjligheten i utmaningen

Jag vill vara tydlig: detta är inte ett argument för att bromsa AI-utbyggnaden. Det är ett argument för att ta ansvarsfull driftsättning på allvar som en affärskritisk fråga, inte som en eftertanke.

Företag och organisationer som implementerar AI-system behöver idag bygga kompetens kring röd-lagsövningar – systematiska tester där egna team försöker manipulera systemet med kreativa ordföljder och konstruerade scenarier, precis som en angripare skulle göra. Det handlar om att förstå systemets beteende i kantzoner, inte bara i normalflödet.

De aktörer som bygger in detta tänkesätt från start – som behandlar språklig robusthet som lika viktigt som teknisk säkerhet – kommer att ha ett betydande försprång när reglering, kundkrav och tillsynsmyndigheter oundvikligen skärper kraven. I Europa ser vi redan konturerna av detta i AI-förordningens riskklassificering.

Kapprustningen mellan angripare och försvarare inom AI-säkerhet är verklig. Men historien visar att kapprustningar driver innovation – och de som tar täten i försvaret bygger både tryggare produkter och starkare marknadspositioner.