Vi lärde AI att känna igen hot – nu lär sig angriparna tala AI:ns språk

Angriparna har lärt sig spela AI:n ur händerna

Det finns en viss makaber logik i hur hotbilden utvecklas just nu. Vi bygger AI-system för att försvara oss snabbare och mer träffsäkert. Angriparna studerar hur dessa system fungerar – och bygger verktyg för att lura dem.

Det är precis vad säkerhetsföretaget Sentinel One har dokumenterat med det nyupptäckta skadeprogrammet Gaslight, riktat mot Mac-användare. Gaslight är inte intressant för att det är destructivt i traditionell mening – det stjäl inte filer eller krypterar hårddiskar. Det är intressant för att det är kirurgiskt: programmet matar in falska systemmeddelanden i det analysflöde som AI-baserade säkerhetsverktyg förlitar sig på, och får dem att dra fel slutsatser om vad som händer i systemet.

Tänk på det en stund. Vi har lärt AI att känna igen hot – och nu lär sig angriparna att tala AI:ns eget språk och viska lögner i dess öra. Ett säkerhetsverktyg som systematiskt vilseleds ger något värre än inget skydd alls: det ger en falsk trygghet.

Sentinel One uppmanar Mac-användare och it-ansvariga att inte lita på ett enda säkerhetslager. Det är råd som låter enkla men i praktiken kräver en hel del arkitektoniskt tänkande – och ett erkännande av att AI-verktyg, precis som allt annat vi bygger, har blindfläckar.

MCP-standarden: ett jättekliv framåt med nya risker i bagaget

Samtidigt sker en annan, mer strukturell förändring i hur vi bygger AI-system överhuvudtaget. Den 28 juli 2026 träder version MCP 2026-07-28 i kraft – en uppgradering av det protokoll som sedan Anthropic lanserade det 2024 blivit den faktiska standarden för att integrera AI-agenter med företagsverktyg. Företag får tolv månader på sig att migrera.

Den viktigaste tekniska förändringen är att protokollet nu är tillståndslöst: varje förfrågan hanteras fristående, utan att en permanent session upprätthålls. Det gör MCP skalbart för molnbaserade miljöer och eliminerar risken för sessionskapning. Låter bra – och det är bra, i grunden.

Men säkerhetsföretaget Akamai, som analyserat protokollet inför lanseringen, sätter fingret på ett klassiskt ingenjörsproblem: när du löser gamla sårbarheter introducerar du ofta nya. Eftersom sessioner nu ersätts med spårningsidentifierare och tillståndsobjekt uppstår en ny attackyta: om dessa identifierare är förutsägbara kan angripare kapa aktiva arbetsflöden, komma åt data som tillhör andra agenter eller utlösa obehöriga åtgärder.

Akamai lyfter dessutom fram att de nya MCP-specifika HTTP-huvuden öppnar för så kallade protokollförvirringsattacker och riskerar att läcka känslig information som API-nycklar. Säkerheten är, som Akamai formulerar det, helt beroende av hur väl utvecklare implementerar lösningen. Det är en mild formulering för ett ganska allvarligt påpekande: vi distribuerar ett nytt protokoll till tusentals företag, och säkerhetsnivån beror på hur noga varje enskilt utvecklingsteam läser specifikationen.

Tredjepartsleverantören som glömdes bort

In i den här bilden passar också hacket mot kryptoplattformen Polymarket, som rapporterats av SecurityWeek. Där injicerade en angripare ett skadligt skript via en extern tredjepartsleverantör – och lyckades stjäla runt tre miljoner dollar i plattformens handelsvaluta. Medlen omvandlades sedan till Ethereum via nätverket Polygon. Polymarket lovar full återbetalning, men skadan är gjord.

Polymarket-incidenten är ett utmärkt illustrativt exempel på en sårbarhet som är äldre än AI men som aldrig försvinner: din säkerhet är som svagast i din svagaste länk, och den länken hittas ofta i leverantörskedjan. Det spelar ingen roll hur robust din egen kod är om en tredjepartsberoende kan injicera godtyckliga skript i ditt gränssnitt.

Dessa tre händelser – Gaslight, MCP-riskerna och Polymarket-hacket – är tekniskt sett separata. Men de pekar mot samma underliggande sanning: attackytan för AI-relaterade system växer snabbare än försvaret. Angriparna anpassar sig, infrastrukturen skalas upp, och leverantörskedjorna blir mer komplexa. Allt på samma gång.