Connect with us

Den Skjulte Trussel fra AI-Agenter Kræver et Nyt Sikkerhedsmodel

Tankeledere

Den Skjulte Trussel fra AI-Agenter Kræver et Nyt Sikkerhedsmodel

mm
Published
Updated

Agente AI-systemer er blevet mainstream over det sidste år. De bruges nu til flere funktioner, herunder godkendelse af brugere, flytning af kapital, udløsning af overholdelsesworkflows og koordinering på tværs af virksomhedsmiljøer med minimal menneskelig overvågning.

Men der opstår et mere stille problem med den øgede autonomi, ikke på niveauet med prompts eller politikker, men på niveauet med infrastrukturtiltro. Agente systemer tildeles insider-myndighed, mens de stadig kører på beregningsmiljøer, der aldrig er designet til at beskytte autonome beslutningstagerne mod infrastrukturen under dem.

Traditionel sikkerhed antager, at software er passiv, men agente systemer er det ikke. De resonnerer, husker og handler kontinuerligt, autonomt og med deputeret myndighed.

Det skal ikke glemmes, at AI-agenter sandsynligvis har adgang til personlige data baseret på deres brugstilfælde, såsom e-mails og telefonsamtaler, blandt andet.

Derudover findes der hardware-baserede beskyttelser, såsom fortrolige virtuelle maskiner og sikre enklaver, men de er ikke endnu det standardmæssige grundlag for de fleste agente AI-udrulninger. Som resultat af dette kører mange agenter stadig i miljøer, hvor følsomme data er eksponeret for den underliggende infrastruktur under kørselstid.

Agenter Er Insidere, Ikke Værktøjer

Sikkerhedsteams ved allerede, hvor udfordrende det er at indeholde insider-trusler, et problem, der er fremhævet i Verizon’s 2025 data-breach rapport, der viser, at system-intrusion var ansvarlig for mere end 53% af bekræftede data-breach sidste år. I 22% af disse tilfælde brugte angriberne stjålne legitimationsoplysninger til at få adgang, hvilket fremhæver, hvor ofte de lykkes ved at bruge legitime identiteter i stedet for at udnytte tekniske svagheder.

Overvej nu en agent, der består af prompt-logik, værktøjer og plugins, legitimationsoplysninger samt politikker. Den kan ikke kun køre kode og browse på internettet, men kan også forespørge CRMs, læse e-mails og pushe billetter, blandt mange andre ting. Det, kombinationen af funktioner har bragt, er traditionelle angrebsflader ind i en moderne grænseflade.

Faren, der udgøres af sådanne insider-trusler, er ikke spekulativ. The Open Web Application Security Project (OWASP) nævner nu “Prompt Injection” som en kritisk sårbarhed for LLM-applikationer, og fremhæver dens særlige farlighed for agente systemer, der kæder handlinger. Microsoft’s Threat Intelligence-team har også offentliggjort råd advarer om, at AI-systemer med værktøjsadgang kan være underlagt data-tyveri, hvis sikkerhedsforanstaltninger ikke er arkitektonisk gennemført.

Disse rapporter er en rettidig påmindelse om, at agenter, der har legitime adgang til systemer og data, kan vendes imod deres ejere. Men risikolandskabet for agente systemer er ikke enhedligt. Applikationslags-trusler som prompt-injection og værktøjsmisbrug stammer fra modellens evne til at skelne mellem betroede instruktioner og upålidelige brugerinput, en designbegrænsning, som ingen mængde af hukommelse kan løse.

Et andet og lige så vigtigt problem findes på infrastruktur-niveau: nogle agenter kører i plaintext-hukommelse, hvilket betyder, at følsomme oplysninger – som chat-historik, API-svar og dokumenter – kan ses, mens de bearbejdes, og kan være tilgængelige senere. OWASP identificerer denne risiko som Sensitive Information Disclosure (LLM02) og System Prompt Leakage (LLM07) og forslår at bruge kontekst-isolation, namespace-segmentering og hukommelse-sandboxing som vigtige sikkerhedsforanstaltninger.

Som sådan bør brugerne ikke behandle disse agenter som blot almindelige applikationer, da de er dynamiske, resonnerende eksekveringssteder, der kræver en sikkerhedsmodel, der tager hensyn til deres unikke natur som ikke-menneskelige enheder med agenti. Denne tilgang skal omfatte både software-kontroller til at begrænse, hvordan modellen handler, og hardware-beskyttelser til at holde data sikre, mens de bearbejdes.

Arkitekturen For Tillid Har En Kritisk Fejl

Nuværende sikkerhedspraksis fokuserer på at beskytte data i hvile og under overførsel. Den sidste front, data i brug, er næsten helt eksponeret. Når en AI-agent resonnerer over en fortrolig dataset for at godkende et lån, analysere patientjournaler eller udføre en handel, er dataene normalt dekrypteret og bearbejdet i klartekst inden for serverens hukommelse.

I standard cloud-modeller kan enhver med tilstrækkelig kontrol over infrastrukturen, herunder hypervisor-administratore eller co-tenant-angribere, potentielt kigge ind på, hvad der sker, mens en workload kører. For AI-agenter er denne eksponering særligt farlig, da de har brug for adgang til følsomme oplysninger for at udføre deres job, hvilket potentielt kan blive angrebsfladen.

Som Lumia Security har demonstreret, kan angribere med adgang til en lokal maskine få JWT’er og session-nøgler direkte fra processen-hukommelsen af ChatGPT, Claude og Copilot-skrivebordsapplikationer. Disse stjålne legitimationsoplysninger kan låse dem til at forestille sig for at være en anden bruger, stjæle samtalehistorik og indsætte prompts i pågående sessioner, der kan ændre agentens adfærd eller plante falske minder.

Et eksempel på dette kunne være AWS CodeBuild’s memory-dump-incident i juli 2025. Angriberne tilføjede hemmeligt ondsindet kode til et projekt, og da systemet kørte det, kiggede koden ind i computerens hukommelse og stjal skjulte login-token, der var gemt der. Med disse token kunne angriberne ændre projektets kode og potentielt få adgang til andre systemer.

For finansielle institutioner er den stille manipulation eksistentiel. Banker, forsikringsselskaber og investeringsfirmaer absorberer allerede gennemsnitlige data-breach omkostninger på over 10 millioner dollars, og de forstår, at integritet er lige så vigtig som fortrolighed. Ifølge en seneste Informatica rapport, blev “tillids-paradokset” forklaret således: organisationer udruller autonome agenter hurtigere, end de kan verificere deres output. Resultatet er automatisering, der kan fastlåse fejl eller bias direkte ind i kerneprocesser, der opererer med maskinehastighed.

Fortrolig Computing Og Tilfældet For Isolation

Inkrementelle rettelser vil ikke løse problemet. Striktere adgangskontroller og bedre overvågning kan hjælpe, men de kan ikke ændre det underliggende problem. Problemet er arkitektonisk, og så længe beregning sker i eksponeret hukommelse, vil agenter være sårbare i det øjeblik, de betyder mest, hvilket er resonnering.

Fortrolig computing, defineret af Confidential Computing Consortium (CCC) som beskyttelse af data i brug via hardware-baserede Trusted Execution Environments (TEEs), adresserer direkte den grundlæggende fejl.

For AI-agenter er denne hardware-niveau-isolation transformerende, da den tillader en agents identitets-legitimationsoplysninger, dens model-veje, proprietære prompts og de følsomme brugerdata, den bearbejder, at forblive krypteret, ikke kun på en disk eller over et netværk, men aktivt i hukommelse under kørsel. Adskillelsen bryder definitivt den traditionelle model, hvor kontrol over infrastrukturen garanterer kontrol over workload.

Fjern-attestation forsyner med verificerbare kryptografiske bevis for, at en bestemt inferens-anmodning blev udført inden for en hardware-baseret tillids-værktøjsmiljø, enten det er en CPU eller GPU. Beviset genereres fra hardware-målinger og leveres sammen med svaret, hvilket tillader uafhængig verificering af, hvor og hvordan workload blev udført.

Attestations-poster afslører ikke den kode, der blev udført. I stedet er hver workload forbundet med en unik workload-ID eller transaktions-ID, og TEE-attestations-posten er forbundet med denne identifier. Attestationen bekræfter, at beregningen blev udført inden for en tillids-værktøjsmiljø uden at afsløre dens indhold.

Konfigurationen skaber en ny basis for overholdelse og revision, der tillader at koble en agents handlinger til en bestemt version af kode, der er blevet attesteret og en kendt sæt af input-data.

Mod Ansvarlig Autonomi

Konsekvenserne for systemet beskrevet ovenfor strækker sig ud over grundlæggende sikkerhed. Overvej love, der regulerer finans, sundhed og personlige oplysninger. Mange jurisdiktioner anvender data-suverænitetsregler, der begrænser, hvor oplysninger kan bearbejdes. I Kina kræver Personlige Oplysninger Beskyttelseslov og Data Sikkerhedslov kræver, at visse kategorier af data, vigtige personlige data, for eksempel, skal være gemt lokalt og gennemgået, før de overføres udlandet.

Lignende har flere Golf-stater, som UAE og Saudi-Arabien, antaget lignende tilgange, især for finansielle, regerings- og kritiske infrastruktur-data

Fortrolig computing kan styrke sikkerhed og revision ved at beskytte data, mens de bearbejdes, og tillade attestation af runtime-miljøet. Men det ændrer ikke, hvor bearbejdningen finder sted. Hvor data-suverænitetsregler kræver lokal bearbejdning eller pålægger betingelser for grænseoverskridende overførsler, kan tillids-værktøjsmiljøer støtte overholdelseskontroller, men ikke erstatte lovmæssige krav.

Desuden tillader fortrolig computing sikker samarbejdning i multi-agent-systemer, hvor agenter fra forskellige organisationer eller afdelinger ofte skal dele oplysninger eller validere output uden at eksponere proprietære data.

Og når teknologien kombineres med zero-trust-arkitektur, er resultatet en langt stærkere grund. Zero-trust validerer kontinuerligt identitet og adgang, mens fortrolig computing beskytter hardware-hukommelsen mod uautoriseret ekstraktion og forhindrer følsomme oplysninger i at blive genskabt i klartekst.

Sammen forsvare de, hvad der virkelig betyder noget, for eksempel beslutningslogik, følsomme input og de kryptografiske nøgler, der autoriserer handling.

Nyt Grundlag For Autonome Systemer

Hvis hver interaktion sætter mennesker i risiko for eksponering, vil de ikke lade AI håndtere ting som sundhedsjournaler eller træffe finansielle beslutninger. Lignende vil virksomheder ikke automatisere deres vigtigste opgaver, hvis det kan føre til regulerings-problemer eller tab af vigtige data.

Alvorlige byggere erkender, at applikationslags-rettelser alene er utilstrækkelige i høj-sikkerheds-miljøer.

Når agenter tillides med finansielle myndigheder, regulerede data eller cross-organisatorisk koordinering, bliver infrastruktur-niveau-eksponering mere end en teoretisk bekymring. Og uden fortrolig udførelse i disse sammenhænge forbliver mange agenter et blødt mål, med deres nøgler stjælelige og deres logik formbare. Størrelsen af moderne data-breach viser nøjagtigt, hvor den vej fører.

Privatliv og integritet er ikke valgfrie funktioner, der kan tilføjes efter udrulning. De skal være arkitektonisk udformet fra silicium og op. Derfor skal fortrolig udførelse ikke blot betragtes som en konkurrencemæssig fordel, men som grundlag for agente AI til at skale sikkerhed.

mm

Ahmad Shadid er grundlægger af O Foundation, et schweizisk-baseret A.I.-forskningslaboratorium, der fokuserer på opbygning og forskning i privat A.I.-infrastruktur, o.capital, en kvantfond, der handler på Nasdaq, og grundlægger og tidligere administrerende direktør for io.net, som i øjeblikket er det største Solana-baserede decentraliserede A.I.-compute-infrastruktur-netværk.