Felles veiledning fra fem land: AI-agenter må behandles som kritisk sikkerhetsrisiko

Cybersecurity-byråer fra USA, Australia, Canada, New Zealand og Storbritannia har sammen utgitt en ny veiledning som oppfordrer organisasjoner til å behandle autonome AI-systemer som en kritisk cybertrussel. Advarselen kommer samtidig som slike systemer allerede tas i bruk innen kritisk infrastruktur og forsvarssektoren – ofte med utilstrekkelige sikkerhetstiltak.

Hva er agentisk AI?

Veiledningen retter seg spesielt mot agentisk AI – programvare basert på store språkmodeller som kan planlegge, ta beslutninger og utføre handlinger uten menneskelig innblanding. Slike systemer må kobles til eksterne verktøy, databaser, hukommelseslagre og automatiserte arbeidsflyter for å fungere. Dette gjør at de kan utføre flertrinnsoppgaver uten at mennesker må godkjenne hvert steg.

Dokumentet er utarbeidet av:

• U.S. Cybersecurity and Infrastructure Security Agency (CISA)
• National Security Agency (NSA)
• Australian Cyber Security Centre (ACSC)
• Canadian Centre for Cyber Security
• New Zealand’s National Cyber Security Centre
• UK’s National Cyber Security Centre

Eksisterende sikkerhetsrammeverk kan brukes – med tilpasninger

De fem landenes cybersecurity-byråer understreker at agentisk AI ikke krever en helt ny sikkerhetsdisplin. Organisasjoner bør integrere disse systemene i sine eksisterende sikkerhetsrammeverk og styringsstrukturer. Etablerte prinsipper som zero trust, defense-in-depth og least-privilege access bør fortsatt være grunnpilaren i sikkerhetsarbeidet.

Fem hovedrisikoer med agentisk AI

Veiledningen peker ut fem sentrale risikokategorier knyttet til agentisk AI:

1. Privilegieproblematikk

Når agenter gis for mye tilgang, kan et enkelt kompromittert system føre til omfattende skade. Dette skiller seg fra tradisjonelle programvarefeil, som ofte har begrenset rekkevidde.

2. Design- og konfigurasjonsfeil

Dårlig planlagt oppsett kan skape sikkerhetshull allerede før systemet tas i bruk. Slike feil kan være vanskelige å oppdage og rette opp senere.

3. Atferdsrisiko

Agenter kan forfølge mål på måter utviklerne aldri hadde forutsett. Dette kan føre til utilsiktede handlinger med potensielt alvorlige konsekvenser.

4. Strukturell risiko

Når flere agenter er koblet sammen, kan feil eller misbruk spre seg raskt gjennom organisasjonens systemer. Dette kan føre til omfattende systemfeil.

5. Ansvarlighet og sporbarhet

Agenters beslutningsprosesser er ofte vanskelige å inspisere, og loggene de genererer er kompliserte å tolke. Dette gjør det utfordrende å spore hva som gikk galt og hvorfor. Når slike systemer svikter, kan konsekvensene være konkrete: endrede filer, endrede tilgangskontroller og slettede revisjonsspor.

Nye trusler krever nye tiltak

Veiledningen trekker også frem prompt injection – en teknikk der skadelige instruksjoner skjult i data kan overta agenters oppførsel. Dette har lenge vært et problem for store språkmodeller, og enkelte selskaper innrømmer at problemet kanskje aldri vil bli fullstendig løst.

Et annet sentralt tema er identitetsstyring. Byråene anbefaler at hver agent bør ha en verifisert, kryptografisk sikret identitet. Systemene bør bruke kortlivede legitimasjonsbevis og kryptere all kommunikasjon med andre agenter og tjenester. For høyrisiko-handlinger bør det kreves menneskelig godkjenning, og veiledningen slår fast at det er systemdesignerne – ikke agentene selv – som skal avgjøre hvilke handlinger som krever dette.

Sikkerhetsfeltet ligger etter utviklingen

Cybersecurity-byråene erkjenner at sikkerhetsfeltet ikke har fullt ut tilpasset seg den raske utviklingen innen agentisk AI. Noen av risikoene knyttet til disse systemene dekkes ikke av eksisterende rammeverk. Veiledningen oppfordrer derfor til mer forskning og samarbeid ettersom teknologien får stadig større operasjonell betydning.

«Inntil sikkerhetspraksis, evalueringsmetoder og standarder modnes, bør organisasjoner anta at sårbarheter og misbruk vil oppstå.»