Trusselsaktører industrialiserer brugen af AI i cyberangreb

Eskil Sørensen

05.13.2026 09:51

Google: Angribere bruger AI til 0-dage, autonom malware og skalering af angreb

Trusselsaktører bevæger sig hurtigt fra eksperimenterende brug af kunstig intelligens til industriel anvendelse af generative modeller i cyberangreb. Det fremgår af en ny rapport fra Google Threat Intelligence Group (GTIG), der dokumenterer, hvordan både statslige og kriminelle aktører nu integrerer AI direkte i sårbarhedsjagt, malwareudvikling og angrebsstyring.

Ifølge rapporten er AI ikke længere blot et støtteværktøj for angribere, men en central komponent i hele angrebskæden. Samtidig er AI‑miljøer og tilhørende softwarekomponenter blevet et attraktivt mål i sig selv.

AI brugt til udvikling af 0-dagsudnyttelser

For første gang har GTIG identificeret en zero-day‑sårbarhed, som med høj sandsynlighed er udviklet med støtte fra en AI‑model. Sårbarheden blev fundet hos en kriminel trusselsaktør, der planlagde masseudnyttelse, men hvor Googles proaktive opdagelse forhindrede udbredelsen.

Rapporten peger også på markant interesse fra statsforbundne aktører med tilknytning til Kina (PRC) og Nordkorea (DPRK), som anvender AI til avanceret sårbarhedsanalyse og exploit‑udvikling.

GTIG beskriver flere eksempler på malware, hvor AI anvendes til at skabe polymorf kode, dynamisk obfuskering og decoy‑logik. Særligt Android‑backdooren PROMPTSPY illustrerer udviklingen mod autonom malware, der kan navigere brugergrænseflader, fortolke systemtilstande og udføre handlinger uden direkte menneskelig styring.

Ifølge Google markerer dette et skift, hvor AI ikke blot assisterer angriberen, men overtager operative opgaver i realtid.

Angreb mod AI‑forsyningskæden

Rapporten dokumenterer også en stigning i angreb mod AI‑relaterede softwarekomponenter og open source‑afhængigheder. Gruppen TeamPCP (UNC6780) kompromitterede flere udbredte GitHub‑projekter og Python‑pakker, herunder AI‑gateways, med det formål at stjæle cloud‑nøgler og adgangstokens.

Disse kompromitteringer blev efterfølgende brugt som afsæt for bredere indbrud, ransomware og afpresning.

GTIG observerer desuden, at trusselsaktører systematisk forsøger at opnå anonym og skalerbar adgang til kommercielle AI‑modeller. Det sker gennem automatiserede kontooprettelser, proxy‑infrastruktur og middleware, der samler API‑nøgler på tværs af udbydere.

Formålet er at omgå brugsbegrænsninger og overvågning, så AI kan anvendes i stor skala til både tekniske og informationsoperationer.

Google oplyser, at virksomheden løbende lukker misbrugte konti, styrker sikkerhedsmekanismer i Gemini og anvender egne AI‑systemer til at identificere og afbøde trusler.

Læs mere

https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access/

Trusselsvurdering