Maskinen lappar säkerhetshålen – men vem bär ansvaret när något går fel?
AI ska laga säkerhetshål automatiskt – men vem har ansvaret när det går fel?
Åtgärdsarbetet är branschens verkliga flaskhals
Säkerhetsbranschen har länge haft ett paradoxalt problem: vi är fantastiska på att hitta säkerhetshål, men katastrofala på att laga dem. Verktyg för sårbarhetsskanning har blivit skarpare, snabbare och billigare – men resultatet är ofta en lavin av larm som begravs i en kö ingen hinner arbeta sig igenom. Det är precis denna flaskhals som Emphere siktar på att bryta.
Enligt SecurityWeek har bolaget nyligen säkrat 22 miljoner kronor i tidig riskkapitalfinansiering från investerarna AI2 Incubator och Outsiders Fund. Kapitalet ska driva utvecklingen av en plattform där AI automatiskt identifierar, åtgärdar och validerar säkerhetsbrister i moderna mjukvarusystem – utan att kräva manuell handpåläggning för varje enskilt problem.
– Säkerhetsbranschen har blivit mycket duktig på att hitta problem. Det är åtgärdsarbetet som dränker teamen. Volymen har passerat en tröskel där manuella processer helt enkelt slutar fungera, säger Ankit Kumar, medgrundare och vd för Emphere.
Det är en träffsäker beskrivning av läget. Jag har pratat med säkerhetschefer som berättar att deras team hanterar tusentals öppna sårbarheter samtidigt – prioriteringsarbetet ensamt tar veckor. Den mänskliga kapaciteten har helt enkelt inte skalat i takt med hotbilden.
Beroendekartan – det moderna säkerhetsproblemets kärna
Vad gör Empheres angreppssätt tekniskt intressant är hur de tacklar en av de svåraste utmaningarna inom modern mjukvarusäkerhet: beroendekedjorna. Dagens programvara byggs sällan från grunden. Den sätts ihop av öppen källkod, externa kodbibliotek, körmiljöer och operativsystemslager – ett ekosystem av komponenter som vart och ett kan bära på dolda svagheter.
Ett enda säkerhetshål i ett populärt kodbibliotek kan i teorin drabba hundratals produkter – även hos företag som aldrig skrivit den berörda kodraden själva. Det såg vi tydligt med Log4Shell-sårbarheten 2021, som skakade om hela teknikbranschen och exponerade hur sårbar vår digitala infrastruktur faktiskt är när beroendekedjorna är långa och ogenomskinliga.
Empheres plattform analyserar hela denna beroendekarta för att förstå vad som faktiskt är möjligt att utnyttja av en angripare – inte bara vad som teoretiskt sett är sårbart. Därefter appliceras korrigeringar automatiskt och valideras för att säkerställa att ingenting annat i systemet slutar fungera. Det låter elegant, och tekniken är lovande.
Autonomi i kritisk infrastruktur – möjlighet eller minfält?
Men låt oss inte hoppa över den svårare frågan: vad innebär det egentligen att låta ett AI-system göra autonoma förändringar i produktionsmiljöer?
Detta är inte en hypotetisk risk. Automatiserade system som agerar på fel grundval – eller som optimerar för fel mål – kan orsaka driftstörningar som är svårare att hantera än det ursprungliga säkerhetshålet. En felaktigt applicerad korrigering i en betalningsplattform, ett sjukhussystem eller en energianläggning kan få konsekvenser som vida överstiger kostnaden för den ursprungliga sårbarheten.
Det är därför avgörande att sådana system byggs med tydliga spärrar, mänskliga godkännandeflöden för känsliga miljöer, och fullständig spårbarhet i varje åtgärd som vidtas. Autonomi och ansvarsskyldighet måste gå hand i hand – annars riskerar vi att byta ut ett problem mot ett värre.
Emphere verkar vara medvetna om detta. Plattformen validerar sina egna korrigeringar och syftar till att inte bryta befintlig funktionalitet. Men i takt med att bolaget expanderar mot att täcka hela ytan av modern programutveckling, som de uppger är den långsiktiga ambitionen, kommer dessa frågor bara bli mer angelägna.
En nödvändig riktning
Trots de legitima farhågorna tror jag att Empheres riktning är rätt. Vi kan inte lösa ett storskaligt problem med småskaliga verktyg. Om hotbilden skalas med AI – och det gör den, angripare använder redan automatiserade verktyg för att hitta och utnyttja svagheter – måste försvaret skala på samma sätt.
Den verkliga frågan är inte om AI ska ta en större roll i säkerhetsarbetet, utan hur vi designar dessa system för att vara pålitliga, transparenta och möjliga att granska. Det är där den riktigt viktiga innovationen återstår att göra.
Vår analys
Empheres lansering är ett tecken på att säkerhetsbranschen äntligen börjar röra sig från detektion till handling – från att ringa brandlarmet till att faktiskt släcka branden. Det är en nödvändig förflyttning, och riskkapitalets intresse signalerar att marknaden ser affärspotentialen.
Men det som gör denna utveckling strategiskt viktig är inte bara tekniken i sig, utan den förändrade ansvarsmodell den för med sig. När ett AI-system fattar autonoma beslut om att ändra kod i produktionsmiljöer måste vi ställa tydliga krav: vem ansvarar när något går fel? Hur säkerställer vi spårbarhet och granskningsmöjlighet?
På längre sikt pekar detta mot en djupare omstrukturering av säkerhetsarbetet – där mänskliga experter förflyttas från repetitivt åtgärdsarbete till strategisk styrning och granskning av AI-systemens beslut. Det är en mer värdeskapande roll, men den kräver nya kompetenser och nya styrningsmodeller. Bolag och organisationer som börjar förbereda sig för den förflyttningen nu bygger ett viktigt försprång.