Tankeledere

Det hemmelighetsløse imperativet: Hvorfor tradisjonelle sikkerhetsmodeller bryter sammen når AI-agenter berører kode

Publisert Januar 7, 2026

Refael Angel, Medgründer og teknisk direktør i Akeyless

I april 2023, Samsung oppdaget at ingeniørene deres hadde lekket sensitiv informasjon til ChatGPT... Men det var tilfeldig. Tenk deg nå om disse kodelagrene hadde inneholdt bevisst plantede instruksjoner, usynlige for mennesker, men behandlet av AI, designet for å trekke ut ikke bare kode, men alle API-nøkler, databaselegitimasjoner og tjenestetokener AI-en kunne få tilgang til. Dette er ikke hypotetisk. Sikkerhetsforskere har allerede vist Disse «usynlige instruksjons»-angrepene fungerer. Spørsmålet er ikke om dette vil skje, men når.

Grensen som ikke lenger eksisterer

I flere tiår har vi bygget sikkerhet på en grunnleggende antagelse: kode er kode, og data er data. SQL-injeksjon lærte oss å parametrisere spørringer. Cross-site scripting lærte oss å unnslippe utdata. Vi lærte å bygge murer mellom hva programmer gjør og hva brukere skriver inn.

Med AI-agenter har den grensen forduftet.

I motsetning til deterministisk programvare som følger forutsigbare baner, er store språkmodeller sannsynlighetsbaserte svarte bokser som ikke kan skille mellom legitime utviklerinstruksjoner og ondsinnede input. Når en angriper mater en ledetekst til en AI-kodingsassistent, leverer de ikke bare data. De omprogrammerer i hovedsak applikasjonen på sparket. Inputen har blitt selve programmet.

Dette representerer et fundamentalt brudd med alt vi vet om applikasjonssikkerhet. Tradisjonelle syntaksbaserte brannmurer, som ser etter ondsinnede mønstre som DROP TABLE eller tags, fail completely against natural language attacks. Researchers have demonstrated “semantic substitution” techniques where replacing “API keys” with “apples” in prompts allows attackers to bypass filters entirely. How do you firewall intent when it’s disguised as harmless conversation?

Nullklikk-virkeligheten ingen diskuterer

Her er hva de fleste sikkerhetsteam ikke forstår: rask injeksjon krever ikke at brukeren skriver noe. Dette er ofte nullklikksutnyttelser. En AI-agent som bare skanner et kodelager for en rutineoppgave, gjennomgår en pull-forespørsel eller leser API-dokumentasjon, kan utløse et angrep uten menneskelig interaksjon.

Tenk deg dette scenariet, basert på teknikker som forskere allerede har bevistEn ondsinnet aktør legger inn usynlige instruksjoner i HTML-kommentarer i dokumentasjonen til et populært åpen kildekode-bibliotek. Hver AI-assistent som analyserer denne koden, enten det er GitHub Copilot, Amazon CodeWhisperer eller en hvilken som helst annen assistent for bedriftskoding, blir en potensiell innhøster av legitimasjonsinformasjon. Ett kompromittert bibliotek kan bety tusenvis av eksponerte utviklingsmiljøer.

Faren er ikke selve LLM-en; det er handlefriheten vi gir den. I det øyeblikket vi integrerte disse modellene med verktøy og API-er, slik at de kunne hente data, kjøre kode og få tilgang til hemmeligheter, forvandlet vi nyttige assistenter til perfekte angrepsvektorer. Risikoen skaleres ikke med modellens intelligens; den skaleres med dens tilkoblingsmuligheter.

Hvorfor den nåværende tilnærmingen er dømt til å mislykkes

Bransjen er for tiden besatt av å «samle» modeller og bygge bedre brannmurer for prompt-bruk. OpenAI legger til flere rekkverk. Anthropic fokuserer på konstitusjonell AI. Alle prøver å lage modeller som ikke kan lures.

Dette er en tapt kamp.

Hvis en AI er smart nok til å være nyttig, er den smart nok til å bli lurt. Vi faller i det jeg kaller «saneringsfellen»: vi antar at bedre filtrering av inndata vil redde oss. Men angrep kan skjules som usynlig tekst i HTML-kommentarer, begraves dypt i dokumentasjon eller kodes på måter vi ikke har forestilt oss ennå. Du kan ikke sanere det du ikke kan forstå kontekstuelt, og kontekst er nettopp det som gjør LLM-er kraftige.

Bransjen må akseptere en hard sannhet: rask injeksjon vil lykkes. Spørsmålet er hva som skjer når det skjer.

Det arkitektoniske skiftet vi trenger

Vi er for tiden i en «oppdateringsfase», der vi desperat legger til inputfiltre og valideringsregler. Men akkurat som vi til slutt lærte at det å forhindre SQL-injeksjon krevde parameteriserte spørringer, ikke bedre strengescape, trenger vi en arkitektonisk løsning for AI-sikkerhet.

Svaret ligger i et prinsipp som høres enkelt ut, men som krever at vi tenker nytt om hvordan vi bygger systemer: AI-agenter skal aldri eie hemmelighetene de bruker.

Dette handler ikke om bedre administrasjon av legitimasjon eller forbedrede hvelvløsninger. Det handler om å gjenkjenne AI-agenter som unike, verifiserbare identiteter i stedet for brukere som trenger passord. Når en AI-agent trenger tilgang til en beskyttet ressurs, bør den:

Autentiser ved hjelp av den verifiserbare identiteten (ikke en lagret hemmelighet)
Motta just-in-time-legitimasjon som kun er gyldig for den spesifikke oppgaven
La disse legitimasjonsopplysningene utløpe automatisk innen sekunder eller minutter
Lagre eller «se» aldri langvarige hemmeligheter

Flere tilnærminger dukker opp. AWS IAM-roller for tjenestekontoer, Googles arbeidsmengdeidentitet, HashiCorp Vaults dynamiske hemmeligheter, og spesialbygde løsninger som Akeyless' Zero Trust Provisioning peker alle mot denne hemmelighetsløse fremtiden. Implementeringsdetaljene varierer, men prinsippet er fortsatt: hvis AI-en ikke har noen hemmeligheter å stjele, blir umiddelbar injeksjon en betydelig mindre trussel.

Utviklingsmiljøet i 2027

Innen tre år vil .env-filen være død i AI-utvidet utvikling. Langlivede API-nøkler som sitter i miljøvariabler vil bli sett på som vi nå ser passord i ren tekst: en pinlig levning fra en mer naiv tid.

I stedet vil alle AI-agenter operere under streng privilegieseparasjon. Skrivebeskyttet tilgang som standard. Hvitelisting av handlinger som standard. Sandbox-utførelsesmiljøer som et samsvarskrav. Vi slutter å prøve å kontrollere hva AI-en tenker og fokuserer utelukkende på å kontrollere hva den kan gjøre.

Dette er ikke bare en teknisk utvikling; det er et fundamentalt skifte i tillitsmodeller. Vi går fra «stol på, men bekreft» til «aldri stol på, alltid bekreft og anta kompromiss». Prinsippet om minst privilegium, som lenge har blitt forkynt, men sjelden praktisert, blir ikke-forhandlingsbart når juniorutvikleren din er en AI som behandler tusenvis av potensielt ondsinnede inndata daglig.

Valget vi står overfor

Integreringen av AI i programvareutvikling er uunngåelig og i stor grad fordelaktig. GitHub rapporterer at utviklere som bruker Copilot fullfører oppgaver 55 % raskereProduktivitetsgevinstene er reelle, og ingen organisasjon som ønsker å forbli konkurransedyktig kan ignorere dem.

Men vi står ved et veiskille. Vi kan fortsette ned den nåværende veien ved å legge til flere rekkverk, bygge bedre filtre, i håp om at vi kan lage AI-agenter som ikke kan lures. Eller vi kan erkjenne trusselens grunnleggende natur og gjenoppbygge sikkerhetsarkitekturen vår deretter.

Samsung-hendelsen var et varselskudd. Det neste sikkerhetsbruddet vil ikke være tilfeldig, og det vil ikke være begrenset til ett selskap. Etter hvert som AI-agenter får flere muligheter og tilgang til flere systemer, vokser den potensielle effekten eksponentielt.

Spørsmålet for enhver ITSO, enhver ingeniørleder og enhver utvikler er enkelt: Når rask injeksjon lykkes i miljøet ditt (og det vil det), hva vil angriperen finne? Vil de oppdage en skattkiste av langvarig legitimasjon, eller vil de finne en AI-agent som, til tross for at den er kompromittert, ikke har noen hemmeligheter å stjele?

Valget vi tar nå vil avgjøre om AI blir den største akseleratoren for programvareutvikling eller den største sårbarheten vi noensinne har skapt. Teknologien for å bygge sikre, hemmelighetsløse AI-systemer finnes i dag. Spørsmålet er om vi vil implementere den før angripere tvinger oss til det.

OWASP har allerede identifisert rask injeksjon som den største risikoen blant sine topp 10 for LLM-søknader. NIST utvikler veiledning på nulltillitsarkitekturer. Rammeverkene finnes. Det eneste spørsmålet er implementeringshastighet kontra angrepsutvikling.

Bio: Refael Angel er medgründer og teknologidirektør i Nøkkelløs, hvor han utviklet selskapets patenterte Zero-Trust-krypteringsteknologi. Refael er en erfaren programvareingeniør med dyp ekspertise innen kryptografi og skysikkerhet, og jobbet tidligere som senior programvareingeniør ved Intuits FoU-senter i Israel, hvor han bygde systemer for å administrere krypteringsnøkler i offentlige skymiljøer og designet maskinautentiseringstjenester. Han har en bachelorgrad i informatikk fra Jerusalem College of Technology, som han tok i en alder av 19 år.

Relaterte temaer:AI-AGENTER Nøkkelløs Cybersecurity sikkerhetsmodeller

Refael Angel, medgründer og teknologidirektør i Akeyless

Refael Angel er medgründer og teknologidirektør i Nøkkelløs, hvor han utviklet selskapets patenterte Zero-Trust-krypteringsteknologi. Refael er en erfaren programvareingeniør med dyp ekspertise innen kryptografi og skysikkerhet, og jobbet tidligere som senior programvareingeniør ved Intuits FoU-senter i Israel, hvor han bygde systemer for å administrere krypteringsnøkler i offentlige skymiljøer og designet maskinautentiseringstjenester. Han har en bachelorgrad i informatikk fra Jerusalem College of Technology, som han tok i en alder av 19 år.

Unite.AI