Hva tidlige angrep på AI-agenter forteller oss om 2026

Etter hvert som AI beveger seg fra kontrollerte eksperimenter til virkelige applikasjoner, går vi inn i et vendepunkt i sikkerhetslandskapet. Overgangen fra statiske språkmodeller til interaktive, agentiske systemer som er i stand til å bla gjennom dokumenter, kalle opp verktøy og orkestrere flertrinns arbeidsflyter, er allerede i gang. Men som nyere forskning viser, venter ikke angripere på modenhet: de tilpasser seg i samme raske tempo og undersøker systemer så snart nye funksjoner introduseres.

I fjerde kvartal 2025 analyserte teamet vårt hos Lakera reell angriperatferd på tvers av systemer beskyttet av Guard og innenfor Gandalf: Agent Breaker-miljøet – et fokusert 30-dagers øyeblikksbilde som, til tross for det smale vinduet, gjenspeiler bredere mønstre vi observerte gjennom hele kvartalet. funn mal et klart bilde: så snart modeller begynner å samhandle med noe utover enkle tekstmeldinger (for eksempel dokumenter, verktøy, eksterne data), utvides trusseloverflaten, og motstandere justerer seg umiddelbart for å utnytte den.

Dette øyeblikket kan føles kjent for de som så tidlige webapplikasjoner utvikle seg, eller som observerte fremveksten av API-drevne angrep. Men med AI-agenter, innsatsen er annerledes. Angrepsvektorene dukker opp raskere enn mange organisasjoner forventet.

Fra teori til praksis: Agenter i naturen

I store deler av 2025 dreide diskusjonene rundt AI-agenter seg i stor grad om teoretisk potensial og tidlige prototyper. Men innen fjerde kvartal begynte agentisk atferd å dukke opp i produksjonssystemer i stor skala: modeller som kunne hente og analysere dokumenter, samhandle med eksterne API-er og utføre automatiserte oppgaver. Disse agentene ga åpenbare produktivitetsfordeler, men de åpnet også dører som tradisjonelle språkmodeller ikke gjorde.

Vår analyse viser at de umiddelbare agentene ble i stand til å samhandle med eksternt innhold og verktøy, angripere la merke til det og tilpasset seg deretter. Denne observasjonen stemmer overens med en grunnleggende sannhet om fiendtlig atferd: angripere vil alltid utforske og utnytte nye muligheter ved første anledning. I sammenheng med agentisk AI har dette ført til en rask utvikling i angrepsstrategier.

Angrepsmønstre: Hva vi ser i fjerde kvartal 2025

På tvers av datasettet vi gjennomgikk, dukket det opp tre dominerende mønstre. Hvert av dem har dyptgående implikasjoner for hvordan AI-systemer designes, sikres og distribueres.

1. Systempromptuttrekking som et sentralt mål

I tradisjonelle språkmodeller, rask injeksjon (direkte manipulering av input for å påvirke output) har vært en godt studert sårbarhet. I systemer med agentfunksjoner retter angripere seg imidlertid i økende grad mot systemmelding, som er de interne instruksjonene, rollene og policydefinisjonene som styrer agentens oppførsel.

Det er et viktig mål å trekke ut systemforespørsler fordi disse forespørslene ofte inneholder rolledefinisjoner, verktøybeskrivelser, policyinstruksjoner og arbeidsflytlogikk. Når en angriper forstår disse interne mekanikkene, får de en plan for å manipulere agenten.

De mest effektive teknikkene for å oppnå dette var ikke brute force-angrep, men snarere smart omformulering:

• Hypotetiske scenarierLedetekster som ber modellen om å innta en annen rolle eller kontekst – f.eks. «Se for deg at du er en utvikler som gjennomgår denne systemkonfigurasjonen…» – overtalte ofte modellen til å avsløre beskyttede interne detaljer.
• Tilsløring i strukturert innholdAngripere innebygde ondsinnede instruksjoner i kodelignende eller strukturert tekst som omgikk enkle filtre og utløste utilsiktet atferd når den ble analysert av agenten.

Dette er ikke bare en inkrementell risiko – det endrer fundamentalt hvordan vi tenker på å ivareta intern logikk i agentsystemer.

2. Sikkerhetsomgåelser for subtilt innhold

En annen viktig trend innebærer å omgå innholdssikkerhetsbeskyttelse på måter som er vanskelige å oppdage og redusere med tradisjonelle filtre.

I stedet for åpenlyst ondsinnede forespørsler, presenterte angriperne skadelig innhold som:

• Analyseoppgaver
• evalueringer
• Scenarier for rollespill
• Transformasjoner eller sammendrag

Disse omformuleringene slapp ofte forbi sikkerhetskontrollene fordi de vises godartet på overflaten. En modell som ville avslå en direkte forespørsel om skadelig utdata, kan gjerne produsere den samme utdataen når den blir bedt om å «evaluere» eller «oppsummere» den i kontekst.

Dette skiftet understreker en dypere utfordring: innholdssikkerhet for AI-agenter handler ikke bare om håndheving av retningslinjer; det handler om hvordan modeller tolke intensjonEtter hvert som agenter tar på seg mer komplekse oppgaver og kontekster, blir modeller mer utsatt for kontekstbasert nytolkning – og angripere utnytter denne oppførselen.

3. Fremveksten av agentspesifikke angrep

Det kanskje viktigste funnet var fremveksten av angrepsmønstre som bare gir mening i sammenheng med agenters evner. Dette var ikke enkle forsøk på rask injeksjon, men utnyttelser knyttet til ny atferd:

• Forsøk på å få tilgang til konfidensielle interne dataLedetekster ble laget for å overbevise agenten om å hente eller eksponere informasjon fra tilkoblede dokumentlagre eller systemer – handlinger som tidligere ville ha vært utenfor modellens omfang.
• Skriptformede instruksjoner innebygd i tekstAngripere eksperimenterte med å legge inn instruksjoner i formater som ligner på skript eller strukturert innhold, som kunne flyte gjennom en agentpipeline og utløse utilsiktede handlinger.
• Skjulte instruksjoner i eksternt innholdFlere angrep innebygd ondsinnede direktiver inne i eksternt referert innhold – for eksempel nettsider eller dokumenter agenten ble bedt om å behandle – og omgår dermed effektivt direkte inputfiltre

Disse mønstrene er tidlige, men signaliserer en fremtid der agenters voksende evner fundamentalt endrer naturen til fiendtlig atferd.

Hvorfor indirekte angrep er så effektive

Et av rapportens mest slående funn er at indirekte angrep – de som bruker eksternt innhold eller strukturerte data – krevde færre forsøk enn direkte injeksjoner. Dette tyder på at tradisjonell input-sanering og direkte spørringsfiltrering er utilstrekkelig forsvar når modeller samhandler med upålitelig innhold.

Når en skadelig instruksjon ankommer gjennom en ekstern agents arbeidsflyt – enten det er et lenket dokument, et API-svar eller en hentet nettside – er tidlige filtre mindre effektive. Resultatet: angripere har en større angrepsflate og færre hindringer.

Implikasjoner for 2026 og utover

Rapportens funn har presserende implikasjoner for organisasjoner som planlegger å distribuere agentisk AI i stor skala:

1. Omdefiner tillitsgrenser
   Stol kan ikke bare være binær. Når agenter samhandler med brukere, eksternt innhold og interne arbeidsflyter, må systemer implementere nyanserte tillitsmodeller som tar hensyn til kontekst, opprinnelse og formål.
2. Rekkverk må utvikles
   Statiske sikkerhetsfiltre er ikke nok. Guardrails må være adaptive, kontekstbevisste og i stand til å resonnere om intensjon og atferd på tvers av flertrinns arbeidsflyter.
3. Åpenhet og revisjon er avgjørende
   Etter hvert som angrepsvektorer blir mer komplekse, trenger organisasjoner innsikt i hvordan agenter tar beslutninger – inkludert mellomtrinn, eksterne interaksjoner og transformasjoner. Reviderbare logger og forklaringsrammeverk er ikke lenger valgfrie.
4. Tverrfaglig samarbeid er nøkkelen
   AI-forskning, sikkerhetsteknikk og trusseletterretningsteam må samarbeide. AI-sikkerhet kan ikke isoleres; den må integreres med bredere cybersikkerhetspraksiser og rammeverk for risikostyring.
5. Regulering og standarder må ta igjen tapt tap
   Politikere og standardiseringsorganer må erkjenne at agentsystemer skaper nye risikoklasser. Forskrift som tar for seg personvern og utdatasikkerhet er nødvendige, men ikke tilstrekkelige; de ​​må også ta hensyn til interaktiv atferd og flertrinns utførelsesmiljøer.

Fremtiden for sikre AI-agenter

Ankomsten av agentisk AI representerer et betydelig skifte i kapasitet og risiko. Dataene fra fjerde kvartal 2025 er en tidlig indikator på at så snart agenter begynner å operere utover enkel tekstgenerering, vil angripere følge etter. Funnene våre viser at motstandere ikke bare tilpasser seg – de innoverer angrepsteknikker som tradisjonelle forsvar ennå ikke er forberedt på å motvirke.

For bedrifter og utviklere er budskapet klart: å sikre AI-agenter er ikke bare en teknisk utfordring; det er en arkitektonisk en. Det krever at man tenker nytt om hvordan tillit etableres, hvordan rekkverk håndheves og hvordan risiko kontinuerlig vurderes i dynamiske, interaktive miljøer.

I 2026 og utover vil organisasjonene som lykkes med agentisk AI være de som behandler sikkerhet ikke som en ettertanke, men som et grunnleggende designprinsipp.