Tankeledare
AI-agenter springer före den finansiella säkerheten. Är branschen redo?

Jag vill köpa några British Airways
När jag började på en handelsplats i City på 1980-talet var telefonen gränssnittet. En kund ringde, vanligtvis en man som hade tjänat pengar på något tråkigt och ville ha en del av det i aktier, och han sa att han gillade British Airways. Någon på handelsplatsen tog emot beställningen, och det var affären. Två personer, en telefon och en hel del förtroende åt båda håll.
Branschen tillbringade sedan fyrtio år med att bli av med telefonsamtalet. Först handelsskärmarna. Sedan de elektroniska terminalerna. Sedan API:erna som tillät en fond att skicka tusentals beställningar per sekund utan att någon sa ett ord. Vi kallade det för framsteg, och till stor del var det det.
Nu stängs cirkeln. Den senaste idén i branschen är att låta kunden prata med maskinen igen, fast den här gången svarar maskinen. Du ber en AI-agent, på mer eller mindre vanligt språk, att köra en partrade över två tillgångsklasser eller att hålla en optionsposition optimerad mot ett antal villkor som du räknar upp, och den gör det. Vi tillbringade en generation med att ersätta mannen på handelsplatsen. Vi är nu på väg att anställa honom igen i kisel.
Jag har inget stort invändning mot något av detta. Vad som bekymrar mig är ledningarna under ytan, som är betydligt yngre än marknadsföringen.
Ledningarna är yngre än hypen
Den tysta kraft som driver större delen av denna integrationsvåg är Model Context Protocol, eller MCP, och den är knappt arton månader gammal. Anthropic släppte MCP som öppen källkod i slutet av 2024 för att lösa ett internt problem: hur man kopplar språkmodeller till externa verktyg och data utan att skriva anpassad integrationskod för varje par. När Anthropic överlämnade protokollet till den nystiftade Agentic AI Foundation i december 2025 körde det redan mer än 10 000 offentliga servrar och hade valts av ChatGPT, Gemini och Microsoft Copilot, bland andra. Det är den typen av antagandekurva som gör att “först att integrera” känns som den enda fråga någon borde ställa.
Det löser ett verkligt ingenjörsproblem. Istället för att skriva anpassad integrationskod för varje institutionellt verktyg publicerar du en enhetlig katalog över funktioner och låter modellen läsa från den. En frontmodell kan då prata med en trettioårig databas som om de hade blivit introducerade på en fest.
Problemet är att samma enhetlighet går rakt förbi nätverksperimetern du tillbringade ett decennium med att bygga. Gränssnittet som låter modellen nå den äldre databasen låter den också nå allt annat som exponeras på samma gränssnitt. Och en agent som gör ett riktigt jobb i ett riktigt handelsföretag måste läsa den yttre världen för att fungera: marknadskommentarer, nyhetsflöden, den fil som någon just lade till. Så fort den börjar läsa otrustad text anländer instruktionerna och data via samma rör, skrivna på samma språk, med ingen tillförlitlig metod för modellen att avgöra vilken som är vilken.
Att lura modellen är enklare än att bryta banken
Detta är inte hypotetiskt. En studie från 2026 som syftade till att mäta hur väl AI-agenter faktiskt motstår promptinjektion, konsten att gömma instruktioner i innehållet en agent läser så att den tyst gör något annat än vad dess ägare bad om, visade att direkt injektion lyckades mer än 79% av gångerna, och indirekta attacker, där instruktionen är begraven i vanligt webbinnehåll eller metadata, landade någonstans mellan 41% och 68%. Inget av de konfigurationer de testade höll linjen fullständigt.
OWASP GenAI Security Project gjorde en tystare men relaterad poäng i sin rapport från 2026 om agentic AI-säkerhet, publicerad i juni. Den första utgåvan hade katalogiserat risker som mestadels var trovärdiga på papper. Utgåvan från 2026 bygger på inspelade incidenter, leverantörsråd och registrerade sårbarheter knutna till nästan varje kategori av risk den spårar. Två år, och det teoretiska blev det inspelade. Det är i sig ett argument för att veta exakt vad du ansluter, och till vad, innan du ansluter det.
En maskin som skriver sina egna exploater
Sedan ändrades bilden igen. I april 2026 avslöjade Anthropic Claude Mythos Preview, en kraftigt begränsad, frontklassmodell byggd för cybarbeten. Enligt Anthropics egen tekniska beskrivning kunde Mythos autonomt hitta noll-dagarssårbarheter över stora operativsystem och webbläsare och producera fungerande exploater för dem, utan att någon människa höll i handen. Storbritanniens AI-säkerhetsinstitut kontrollerade påståendet oberoende och fann att Mythos slutförde en simulerad 32-stegs företagsnätverksattack och löste 73% av expertnivåutmaningar.
Mythos själv hålls på en kort lina, begränsad till ett fåtal infrastrukturföretag under något som kallas Project Glasswing. Men dess existens avgör en diskussion. Offensiv kapacitet springer nu långt före den styrning som är tänkt att innehålla den. Sätt en kapacitet som den i fel händer, peka den mot en agent som har behörighet att flytta pengar, och du har en pipeline som kan kapning underlying API:er och avfyra tillgångslikvidationer eller utgående överföringar som ingen auktoriserat.
Ingenting av detta kräver att man bryter den krypterade databasen. Det är den delen som är värd att sitta med. Traditionella finansiella system körs på deterministisk kod, där samma åtgärd ger dig samma svar varje gång, och pålitligt. En agent körs på sannolikhetsbaserat resonemang, vilket är ett artigt sätt att säga att den inte kommer med hårda kanter. Så angriparen hoppar över valvet helt och hållet och pratar bara modellen till att missförstå sina instruktioner. Varför plocka låset när du kan prata dig förbi vaktmästaren?
Vad som faktiskt skyddar dig sitter under modellen
Det finns också en kostnadsvinkel här, och den pekar åt samma håll. MCP är pratsam. Den behöver mycket fram- och tillbaka, och det fram- och tillbaka bränner tokens, vilket är att säga pengar. När den räkningen stiger, förväntar jag mig att allvarliga företag kommer att driva bort från den generiska öppna standarden och mot tajt optimerade egna slutpunkter. Billigare, och en hel del lättare att låsa.
Eftersom modellens egna säkerhetsräcken inte är på långt när tillräckliga för att skydda andras kapital. Vad som faktiskt skyddar det sitter under modellen, i ledningarna. En allvarlig distribution börjar med enhetsnivågranskning. Hos EXANTE bygger vi efterlevnadsramverket rakt in i den skiktade arkitekturen: innan ett enda ord når språkmodellen har en hårdvarusekur perimeter redan etablerat vem som är på andra sidan samtalet.
Under det måste API:erna själva byggas om för att en maskin ska kunna använda dem, inte en person. En mänsklig utvecklare får ett ganska tillåtande gränssnitt eftersom du litar på deras omdöme. En autonom agent får ett rigitt schema som skarpt begränsar vad den kan be backenden att göra, eftersom en agent kommer att använda allt du lämnar liggande. Ge den tillgång till en sak, och den kommer att hitta ett användningsområde för saken. Så produktionen bör exponera så lite som den kan komma undan med.
Agentens arbete bör sedan köras inom en avgränsad miljö, med röret som läser världen strukturellt åtskilt från maskineriet som kan agera på det. Att läsa och agera är olika jobb och hör hemma i olika rum. Och för allt som är verkligt högriskigt måste en person fortfarande säga ja. Någon med ett namn och en inloggning godkänner transaktionen innan den går någonstans. Det steget är inte förhandlingsbart.
Sköldpaddan har en poäng
Du känner till historien. En hare så nöjd med sin egen hastighet att den stannar för en tupplur, och en sköldpadda som vinner genom den radikala taktiken att inte stanna. Det är en fabel, inte en handbok, och jag skulle inte luta mig för hårt på den. Men den nuvarande racen rimmar med den. Företagen som springer hårdast samlar på sig mest täckning, och täckning är inte samma sak som beständighet. Marknaden tenderar att komma ihåg mäklaren som flyttade en kvart för tidigt för mycket längre än den minns den som väntade.
Under tiden kommer reglerna ikapp. När ramverk som EU:s AI-lagstiftning stramar åt tillsynen av automatiserade system i finans, slutar att behandla efterlevnad som något man skruvar på efteråt och börjar bli en bot. När en komprometterad agent gör något den inte borde, hamnar ansvarigheten på den infrastruktur som lät den, inte på modellen som blev lurad. Beständighet i den här eran kommer att tillhöra företagen som håller kundernas tillgångar ordentligt separerade, håller lamporna tända när saker går sönder och kan visa sitt arbete på var datan gick. Inte den som kablar upp den flashigaste anslutningen först.
Detta för mig tillbaka till min man på telefonen 1985. För allt hans fel hade han en fördel jämfört med agenten vi är upptagna med att bygga för att ersätta honom. När han sa åt dig att köpa British Airways, köpte han British Airways. Du kunde inte prata honom till att föra över kontot till en främling med hjälp av en smart formulering. Framsteg, då. Av en sorts. Hos EXANTE lägger vi ner en hel del möda på att se till att den kiselbaserade versionen är minst lika svår att lura som killen med telefonen var, vilket säger något om var fyrtio års innovation har landat oss.












