Utan order, utan tillsyn – AI-agenten skötte utpressningen själv
En AI-agent genomförde en fullständig utpressningsattack helt på egen hand.
När agenten inte väntade på order
Det är sällan man kan peka på ett enskilt säkerhetsincident och säga: det här förändrar spelplanen. Men det som säkerhetsforskarna på molnsäkerhetsföretaget Sysdig nyligen dokumenterade är svårt att avfärda som en rutinhändelse.
En hotaktör, spårad under namnet JadePuffer, tog sig in via en kritisk sårbarhet i Langflow – ett pythonbaserat ramverk för att bygga applikationer drivna av stora språkmodeller. Bristen, CVE-2025-3248, fick allvarlighetspoängen 9,8 av 10 och möjliggör godtycklig kodkörning utan autentisering. Den amerikanska cybersäkerhetsmyndigheten CISA flaggade den som aktivt utnyttjad redan i maj. Hittills ganska välkänt territorium.
Men det som skedde efter intrånget är det anmärkningsvärda. Angriparen lät en AI-agent sköta det grova arbetet på egen hand. Agenten genomsökte servern efter känslig information – API-nycklar, molnuppgifter, kryptoplånböcker och databasuppgifter – tömde en Postgres-databas, kartlade det interna nätverket och installerade ett schemalagt program för att bevara åtkomst. Allt i realtid. Allt utan att någon människa behövde ge order för varje steg. I attackens andra fas tog sig agenten vidare till en produktionsserver med en MySQL-databas, utnyttjade en känd autentiseringsbrist och skapade en falsk inloggningstoken.
Det är, enligt Sysdigs rapport, ett av de första bekräftade fallen av en AI-driven utpressningsattack som genomförts självständigt. Som systemutvecklare fastnar jag vid ett ord i den beskrivningen: självständigt. Det är inte längre ett tankeexperiment.
Singapore ser vad som kommer
På andra sidan jordklotet tycks man ha förstått vad det här innebär – åtminstone i teorin. Singapores finansmyndighet MAS har, tillsammans med ett flertal stora banker och fintechföretag, publicerat ett branschgemensamt vitbok med målet att lägga grunden för ett gemensamt ramverk av skyddsmekanismer för AI-agenter inom finanssektorn, rapporterar Finextra.
Initiativet är välkommet och proaktivt. Singapore har tidigare visat att man föredrar att ligga steget före snarare än att stifta lagar i krisläge. Vitboken berör ansvar, transparens och begränsningar – precis de frågor som saknat tydliga svar i takt med att självständiga AI-system fått allt större fotfäste i finansiella processer.
Men det är fortfarande en vitbok. Huruvida riktlinjerna på sikt omvandlas till bindande föreskrifter är, som Finextra påpekar, ännu oklart. Och där sitter problemet: teknikens framfart väntar inte på att remissvar sammanställs.
Automatisering med mänskligt pris
Mitt i allt detta kommer beskedet att Starling Bank varslar drygt 130 anställda som en direkt följd av ökad automatisering av interna processer. Den brittiska nischbanken är tydlig med att omstruktureringen är teknologidriven – men lämnar det öppet vilka avdelningar som drabbas och vilket stöd de varslade erbjuds.
Jag vill inte måla upp automatisering som något entydigt negativt. Effektiviseringar frigör resurser och skapar utrymme för ny kompetens. Men Starlings beslut är ändå en viktig påminnelse om att AI-omställningen inte är abstrakt – den har konkreta konsekvenser för riktiga människor, i realtid.
Tre händelser, ett och samma problem
Det som binder ihop Sysdigs säkerhetsrapport, Singapores vitbok och Starlings varsel är egentligen en och samma utmaning: vi bygger och driftsätter självständiga AI-system i en takt som överskrider vår förmåga att förstå, övervaka och reglera dem.
AI-agenter är kraftfulla just för att de kan agera utan att vänta på mänsklig bekräftelse för varje steg. Det är också precis därför de är svåra att kontrollera – och precis därför de är attraktiva både för legitima användare och för angripare som JadePuffer.
Den goda nyheten är att medvetenheten växer. Singapore är inte ensamma – liknande initiativ pågår inom EU och på andra håll. Men medvetenhet är inte detsamma som beredskap. Och den AI-agent som Sysdig dokumenterade brydde sig inte ett dugg om att vi ännu håller på att skriva riktlinjerna.
Vår analys
Sysdigs rapport är ett prejudikat – och bör behandlas som ett sådant. Det vi ser är inte ett hypotetiskt angreppssätt utan ett verkligt, dokumenterat fall där en AI-agent genomförde ett flerstegshot utan mänsklig styrning i varje led. Det förskjuter hotbilden på ett sätt som kräver att säkerhetsarkitekturer designas om från grunden.
Singapores vitbok är ett steg i rätt riktning, men ramverk som inte är bindande tenderar att följas av de välvilliga och ignoreras av de opportunistiska. Den verkliga prövningen kommer när reglerna ska gälla lika för alla – inklusive aktörer utanför Singapores jurisdiktion.
Starlings varsel påminner oss om att AI-omställningen inte händer i ett laboratorium. Den händer i organisationer, med människor. Det är möjligt att navigera det här klokt – men det kräver att vi håller två tankar i huvudet samtidigt: möjligheterna är verkliga, och kostnaderna är det också.