Maskinen tar över: AI klättrar till toppen av sårbarhetsjaktens rankinglista – medan självlärande skadekod sprider sig i öppna kodbibliotek

När maskinen tar över nyckelbordet

Sedan 1990-talet har sårbarhetsprogram – där företag betalar externa forskare för att hitta och rapportera brister i sina system – vuxit till en mångmiljardindustri. Plattformar som HackerOne, Bugcrowd och Intigriti har förmedlat enorma summor till skickliga säkerhetsforskare världen över. År 2022 kunde den välkände sårbarhetsjägaren Youssef Samouda berätta att han tjänade motsvarande fyra miljoner kronor om året enbart via Meta och Google. Det var drömscenariot för en hel generation säkerhetsexperter.

Men enligt SecurityWeek skymtar nu ett paradigmskifte vid horisonten som få i branschen fullt ut förstått konsekvenserna av. Det autonoma säkerhetsföretaget XBOW klättrade redan i juni 2025 till förstaplatsen på HackerOnes topplista – utan en enda mänsklig sårbarhetsjägare i laget. Bakom bedriften låg Anthropics autonoma AI-system Mythos, ett system som inte sover, inte tar rast och inte förhandlar om belöningssumman.

Säkerhetsforskaren Cassim Khouani, som återfinns bland de trettio bästa på YesWeHack, satte fingret på det hela i en artikel från april 2026: han lät ett AI-verktyg söka efter brister på egen hand och bevittnade hur gränsen mellan mänsklig expertis och automatiserad förmåga snabbt suddades ut. Det är inte längre en fråga om vem som är snabbast – det är en fråga om vem som överhuvudtaget är nödvändig.

Samtidigt – ett nytt slag av fiende

Men precis när vi börjar ana att AI kan göra oss tryggare, påminner verkligheten oss om att samma krafter gäller i omvänd riktning. SecurityWeek rapporterar om en kraftigt eskalerande attackvåg som fått säkerhetsforskare att slå larm: skadekoden Shai-Hulud, en självreplikerande mask aktiv sedan september 2025, har infekterat över 100 paket i kodbiblioteken NPM och PyPI. Antalet drabbade kodversioner uppgår till minst 471 stycken.

Bakom attackerna står hackergruppen TeamPCP, som i mitten av maj 2026 släppte masken som öppen källkod – ett cyniskt drag som sänkte tröskeln för alla som vill utnyttja tekniken. Varianten kallad Miasma slog mot Red Hats molninfrastruktur och infekterade 32 JavaScript-paket; när den väl körs söker den igenom lokala system och molntjänster efter inloggningsuppgifter och åtkomstnyckar, och sprider sig sedan vidare till alla paket som offret har rättigheter att ändra i. Säkerhetsföretagen Snyk, Sonatype och StepSecurity hade den 5 juni identifierat minst 57 drabbade NPM-paket och över 300 skadliga paketversioner.

En andra variant, Hades, spred sig in i Python-ekosystemet via en specialfil som aktiveras automatiskt vid start – ett angrepp som träffar rakt mot hjärtat av modern mjukvaruutveckling.

Två sidor av samma mynt

Det är frestande att se dessa två nyheter som separata händelser. Det vore fel. De är två sidor av exakt samma teknologiska omvälvning.

AI gör det möjligt att hitta säkerhetshål snabbare och mer systematiskt än någon människa någonsin kunnat göra – det är det XBOW bevisar. Men samma logik gäller för angriparna: automatisering, självspridning och öppen tillgång till attackverktyg sänker ribban dramatiskt för vem som kan orsaka stor skada. Shai-Hulud är ett tidigt exempel på vad vi kommer att se mer av.

Det som försvinner i omvälvningen är den mänskliga sårbarhetsjägaren som mellanhand – den erfarne forskaren som byggde sin karriär på att tänka som en angripare. Den rollen pressas nu från två håll simultaneously: AI-system är billigare och snabbare uppåt, och attacklandskapet är mer komplext och automatiserat nedåt.

Men det öppnar också en ny affärsmöjlighet. Företag och offentlig sektor behöver i allt högre grad strategisk kompetens för att tolka vad AI-verktygens sårbarhetsskanningar faktiskt betyder, hur man prioriterar åtgärder och hur man bygger motståndskraftiga leveranskedjor för programvara. Det är roller som inte automatiseras bort – de uppgraderas.