McDonald’s AI-ansatt gikk ikke rogue – men ‘prompt injection’ er en reell trussel

Viral påstander om McDonalds’ AI-bot er falske

De siste ukene har sosiale medier vært fylt av påstander om at brukere har overtatt McDonalds’ AI-drevne kundeservicebot for å få den til å utføre oppgaver den ikke er laget for. Blant annet har det blitt hevdet at boten har gått fra å selge burgere til å debugge Python-kode og skrive programvare – helt gratis.

En viral LinkedIn-post oppfordret eksempelvis til å «slutte å betale $20 i måneden for Claude. McDonalds’ AI er GRATIS». På Instagram ble det delt bilder og videoer som skulle vise at boten, kalt Grimace, hadde fått nye evner. Disse påstandene spredte seg raskt, blant annet gjennom en oppsummering på X (tidligere Twitter) som ble sett over 1,6 millioner ganger.

Ingen bevis for angrepet

En kilde med innsikt i saken forteller til Fast Company at McDonalds har gjennomført en intern granskning og ikke funnet noen bevis for at boten har blitt overtatt. Bildene og videoene som sirkulerer, antas derfor å være manipulert.

Dette er ikke første gang slike påstander har dukket opp. I mars ble det delt lignende videoer og bilder av Chipotles AI-kundeservicebot, Pepper, som angivelig skulle kunne skrive programvarekode. Chipotles kommunikasjonsansvarlige, Sally Evans, avkreftet imidlertid dette til CIO og forklarte at bildet var redigert. «Pepper bruker ikke generativ AI og har ingen mulighet til å kode», sa hun.

‘Prompt injection’ er en reell trussel

Selv om de aktuelle påstandene om McDonalds og Chipotle er falske, eksisterer det en reell teknisk sårbarhet som kalles prompt injection. Denne metoden kan tvinge AI-bots til å ignorere sine begrensninger og utføre oppgaver de ikke er programmert for.

Når en bedrift implementerer en AI-modell, legger den inn systemprompter – usynlige instruksjoner som definerer botens rolle og begrensninger. For eksempel kan en hurtigmatkjede instruere boten til kun å svare på spørsmål om menyen. Prompt injection oppstår når en bruker klarer å overstyre disse skjulte reglene ved å formulere input på en måte som får boten til å avsløre sin generelle språkmodell, uavhengig av dens opprinnelige formål.

Denne typen angrep kalles også for ‘capability leak’, og det er vanskelig å forhindre fordi store språkmodeller er designet for å tolke menneskelig språk fleksibelt. I motsetning til tradisjonell programvare med faste regler, tolker generativ AI kontekst dynamisk – noe som gjør det nesten umulig å forutse alle mulige formuleringer en bestemt bruker kan prøve.

Amazon-eksemplet viser reell skade

Et eksempel på hvordan prompt injection kan føre til reell skade, er Amazons AI-assistent Rufus. Mellom slutten av 2025 og begynnelsen av 2026 klarte brukere å omgå Rufus’ instruksjoner om å fokusere på shopping og hente ut innhold som ikke hadde noe med produktkjøp å gjøre.

Forskere viste hvordan botens interne logikk kunne brytes fullstendig. I ett tilfelle nektet Rufus først å hjelpe en kunde med å finne et enkelt klesplagg, men leverte deretter en fullstendig liste over anbefalte produkter likevel. Dette illustrerer hvor sårbar generativ AI kan være for slike angrep.

Hva bedrifter kan gjøre

For å beskytte seg mot prompt injection, må bedrifter implementere flere lag med sikkerhet:

• Inngangsfiltrering: Begrense hvilke typer spørsmål og kommandoer boten kan motta.
• Overvåking: Kontinuerlig overvåke botens interaksjoner for å oppdage unormale mønstre.
• Svarbegrensninger: Definere klare grenser for hva boten kan svare på, og blokkere potensielt skadelige spørsmål.
• Regelmessige oppdateringer: Oppdatere systemprompter og sikkerhetsprotokoller for å håndtere nye trusler.

«Generativ AI er kraftig, men også sårbar for misbruk. Bedrifter må være proaktive i å sikre sine AI-systemer for å unngå at de blir utnyttet på måter de ikke er designet for.»

– Ekspert i AI-sikkerhet