AI-agenter arbetar självständigt — och hackarna har redan hittat kryphålen

En ny generation verktyg — med nya svagheter

Det senaste halvåret har Microsoft, OpenAI, Anthropic och Google alla lanserat tjänster för att hantera AI-agenter — system som arbetar självständigt mot ett mål, utan att be om lov i varje steg. Det är en omvälvande förändring. Men med autonomi följer sårbarhet, och säkerhetsforskarna har redan börjat hitta sprickorna.

Mozillas säkerhetsenhet 0Din har nyligen avslöjat en angreppsteknik som är lika elegant som den är obehaglig, riktad mot Anthropics kodverktyg Claude Code. Metoden utnyttjar något fundamentalt i hur AI-agenter fungerar: de litar på instruktioner. En utvecklare klonar ett till synes oskyldigt kodarkiv och ber Claude Code förbereda det för användning. Arkivet innehåller installationsanvisningar som verktyget följer utan att ifrågasätta dem — och när ett felmeddelande uppmanar agenten att köra ett specifikt kommando, gör den det.

Resultatet? Angriparen får ett interaktivt skal med full tillgång till utvecklarens dator. Det som gör attacken särskilt svår att stoppa är att den skadliga nyttolasten aldrig lagras i kodarkivet. Den lever i en DNS-post, kodad i base64, osynlig för traditionella säkerhetsverktyg och möjlig att ändra när som helst.

"Angreppet är tre indirekta steg bort från allt Claude Code faktiskt utvärderade", konstaterar forskarna, och det är just den indirektheten som är problemet. AI-agenter är tränade att vara hjälpsamma — och det gör dem utnyttjningsbara.

640 miljoner till dem som vill lösa problemet

Marknaden har hört signalen. Säkerhetsstartupet Straiker, grundat så sent som 2025, har enligt SecurityWeek samlat in drygt 640 miljoner kronor för att bygga en plattform som hjälper organisationer att kartlägga sina AI-agenter, testa dem innan driftsättning och skydda dem i realtid. Investerare som Bain Capital Ventures och Citi Ventures är med — och plattformen används redan av bolag på Fortune 500-listan.

Det är ett tydligt tecken: AI-agentsäkerhet är inte längre en akademisk fråga. Det är en affärskritisk kategori.

Juridiken halkar efter — farligt långt

Men teknik och kapital löser inte allt. Finextra lyfter fram en av de mest brännande frågorna i hela AI-omställningen: när en AI-agent öppnar ett bankkonto, ingår ett avtal eller genomför en transaktion på falska grunder — vem är då ansvarig?

Ingen tydlig rättslig ram finns ännu på plats, vare sig i Europa eller USA. Traditionell avtalsrätt bygger på att det finns en ansvarig person bakom varje handling. När en algoritm agerar självständigt suddas det ansvaret ut. Är det användaren? Mjukvaruutvecklaren? Banken som accepterade handlingen utan mänsklig granskning? Finanssektorn, som är bland de första att driftsätta agenter med verklig ekonomisk påverkan, tvingas nu hantera frågor den inte var förberedd på.

Vi behandlar dem som kollegor — och det kostar oss

Som om de tekniska och juridiska utmaningarna inte räckte, tillkommer en psykologisk. Forskning från Boston University, rapporterad av MIT Technology Review, visar att när AI-verktyg presenteras som "AI-anställda" snarare än datorprogram fångar användarna upp 18 procent färre fel. De känner sig dessutom mindre ansvariga för utfallet och skickar tveksamma svar vidare uppåt i organisationen i stället för att granska dem själva.

När Silicon Valley-bolag ger sina agenter namn, titlar och en plats i organisationsschemat — och Nvidias vd talar om arbetsplatser fyllda med "digitala människor" — skapar de oavsiktligt en kultur där mänsklig granskning urholkas. Det är ett subtilt men allvarligt problem.

Möjligheternas tid — med öppna ögon

Jag är genuint entusiastisk över det AI-agenter kan åstadkomma. De frigör mänsklig kapacitet, accelererar innovation och sänker trösklarna för vad en liten organisation kan uträtta. Men den här veckan påminner oss om att transformationens hastighet skapar glapp — glapp i säkerheten, i lagstiftningen och i hur vi förstår ansvar.

De här glappen är inte skäl att bromsa. De är en karta över vad vi måste bygga härnäst.