AI ændrer ikke sårbarhederne, men konsekvenserne
Vi taler meget om AI og om, hvordan nye AI‑værktøjer bliver stadig bedre og hurtigere til at finde og udnytte sårbarheder – ofte med minimal menneskelig indblanding.
I en klumme i Dark Reading argumenterer Nik Kale, principal engineer i Coalition for Secure AI, for, at vi bør se på AI fra en anden vinkel. Kunstig intelligens introducerer ifølge ham ikke nye klasser af sårbarheder. Det, AI fundamentalt ændrer, er derimod konsekvensmodellen: Hvad der sker, efter en kendt fejl er udnyttet.
Udgangspunktet er en nyligt rettet XSS‑sårbarhed i Microsoft Excel (CVE‑2026‑26144). Men ifølge Kale er det konkrete CVE‑nummer næsten sekundært. Pointen er bredere: Når applikationer udstyres med indlejrede AI‑agenter, får selv velkendte og traditionelt “banale” sårbarheder en markant større rækkevidde.
Fra passiv fejl til aktiv handling
Klummen tager afsæt i en hændelse fra marts 2026, hvor XSS‑sårbarheden i Excel kunne udnyttes i samspil med Copilot i Agent‑tilstand. Et ondsindet script indlejret i et regneark kunne uden brugerinteraktion få Copilot til at læse indholdet og sende data videre til en ekstern server.
Der er i sig selv intet nyt i, at Office‑produkter rammes af XSS‑fejl. Det afgørende er, at angrebet ikke stopper ved adgang eller visning. AI‑agenten udfører handlingerne autonomt. Hvor klassiske XSS‑angreb ofte har været begrænset til sessionsmisbrug eller phishing, bliver AI’en her et aktivt redskab til dataeksfiltration.
Som Kale formulerer det: Fejlen er kendt, men konsekvensen er det ikke.
Når sårbarheder får forstærket effekt
Kales hovedpointe er, at sikkerhedsarbejdets traditionelle måde at vurdere sårbarheder på er under pres. I årtier har kategorier som XSS, SQL‑injection og buffer overflows fungeret som indikatorer for potentiel skade. Typen af fejl har været tæt koblet til dens alvorlighed.
Med indlejrede AI‑agenter brydes den sammenhæng. En sårbarhed giver ikke blot adgang, men også mulighed for autonom handling. Skadens omfang afhænger ikke af exploit‑koden, men af hvilke rettigheder, data og funktioner AI‑agenten har adgang til.
Kale beskriver dette som privilege amplification: Sårbarheden er indgangspunktet – AI‑agenten er forstærkeren. Den handler hurtigt, konsekvent og uden den friktion, der normalt opstår, når et menneske skal overtales eller guides til næste skridt.
En tillidsgrænse, der mangler
Et centralt kritikpunkt i klummen er, at der i praksis ikke findes en reel tillidsgrænse mellem applikationen og dens AI‑assistent. Copilot i Excel kan læse, analysere og transmittere data, fordi Excel selv kan. Når applikationen kompromitteres, overtager AI‑agenten kompromitteringen uden yderligere kontrolmekanismer.
Det gør AI‑assistenten til en forstærker af post‑kompromis‑handlinger snarere end et selvstændigt angrebsmål. I Kales optik er det en strukturel udfordring, som ikke kan løses med enkeltstående patches eller flere CVE‑rettelser.
Problemet er ikke, at AI’en er sårbar. Problemet er, at den er kompetent.
Tænk ud over CVE‑klassifikationer
Kale understreger, at patching fortsat er nødvendigt, men ikke tilstrækkeligt. Organisationer bør revurdere deres trusselsmodeller for applikationer med indlejrede AI‑funktioner.
Han peger blandt andet på behovet for at:
- overvåge og begrænse udgående netværkstrafik fra AI‑funktioner særskilt
- kunne skelne mellem AI‑initierede og brugerinitierede handlinger i logning og detektion
- prioritere sårbarheder i AI‑understøttede applikationer højere end deres klassiske alvorlighed tilsiger
Særligt advarer han mod fortsat at betragte fejl som XSS som “medium severity”, hvis de i praksis kan udløse autonome handlinger med stor effekt.
Et skifte – ikke en enkelt fejl
Klummen er i sidste ende mindre en analyse af en Excel‑sårbarhed og mere en advarsel om et skifte. AI‑æraen har ikke skabt nye sårbarheder, men har ændret spillereglerne for, hvad kendte fejl kan føre til, når software får handlekraft.
Det centrale budskab er derfor ikke knyttet til et bestemt produkt eller et CVE‑nummer, men til erkendelsen af, at når applikationer kan handle på egne vegne, gør sårbarheder det også.