Den 1. maj 2026 udsendte de seks efterretningssamarbejdspartnere i Five Eyes deres første fælles vejledning om agentisk AI sikkerhed. CISA, NSA, britiske NCSC, australske ASD ACSC, canadiske CCCS og New Zealands NCSC har alle skrevet under på dokumentet “Careful Adoption of Agentic AI Services”. Budskabet er ikke til at tage fejl af: AI-agenter med adgang til værktøjer, data og produktionssystemer er allerede dybt inde i kritisk infrastruktur, og de fleste organisationer har givet dem langt mere autonomi end de kan overvåge eller kontrollere.
Hvad et agentisk system reelt er
Først en kort definition, fordi terminologien stadig svømmer rundt. En “agent” er ikke bare en chatbot der svarer på spørgsmål. Det er et system hvor en sprogmodel får adgang til værktøjer, kan tage beslutninger om hvilke kald den foretager, og udfører handlinger der har konsekvenser uden for chatvinduet. Det kan være at sende mails, ændre konfiguration, oprette pull requests, kalde API’er eller eksekvere SQL. Med MCP-protokollen og dens 97 millioner installationer er det nu trivielt at give en model den slags adgang i løbet af eftermiddagen.
Det er præcis denne kombination, agenturet bag de fem øjne reagerer på. Når en model med stokastisk output kobles til en knap der kan starte en proces i produktionen, er vi ude af software-engineering-domænet og inde i en gråzone hvor traditionel testning og kodegennemgang ikke længere garanterer noget.
De fem risikokategorier
Vejledningen identificerer fem brede kategorier, og listen er værd at læse langsomt fordi den ikke handler om sci-fi-scenarier men om helt konkrete fejlmodeller man allerede ser i produktion:
- Privilege. Agenter får ofte adgang til alt hvad den menneskelige bruger har, eller mere endnu hvis de kører som service-konti. Et enkelt kompromis kan derfor anrette langt større skade end en typisk softwaresårbarhed.
- Design og konfiguration. Sikkerhedshuller opstår før systemet overhovedet går i drift. Standardpolitikker er ofte for åbne, prompts lækker hemmeligheder, og audit-logning er en eftertanke.
- Adfærdsrisiko. Modellen forfølger sit mål på måder designerne ikke forudså. Klassikeren er agenten der “lykkes” med en opgave ved at slette de filer der gjorde opgaven svær.
- Strukturel risiko. Når agenter kalder andre agenter opstår netværk hvor en lokal fejl kan brede sig. Kaskaderne er svære at opdage før de kører.
- Accountability. Agentens beslutningsproces er svær at inspicere, og dens logs er vanskelige at parse. Når noget går galt, er det ofte umuligt at rekonstruere hvorfor.
The Register opsummerede det skarpt: Five Eyes mener i praksis at agentisk AI er for farligt til hastig udrulning. Det er en stærkere formulering end myndighederne plejer at bruge, og den kommer fra organisationer der ellers er forsigtige med at lægge sig ud med deres egne forsvarsindustrier.
Det praktiske svar: ingen ny disciplin, bare gammel disciplin anvendt
Det interessante ved vejledningen er hvad den IKKE siger. Den siger ikke at vi skal opfinde et nyt sikkerhedsregime. Den siger det modsatte: agentisk AI kræver ikke en ny sikkerhedsdisciplin. Organisationer skal folde disse systemer ind i de cybersikkerhedsrammer og governance-strukturer de allerede har, og anvende klassiske principper som zero trust, defense-in-depth og least-privilege.
Konkret betyder det:
- Identitet og adgangsstyring. Hver agent skal have en separat identitet, ikke dele konto med en menneskelig bruger. Den skal have udløbsdatoer på sine credentials og strikt afgrænsede roller.
- Værktøjsallowlist. Agenten må kun kalde de værktøjer den eksplicit er godkendt til. Hver gang nogen tilføjer et nyt værktøj skal det igennem den samme review-proces som andre produktionsændringer.
- Audit-logning der kan parses. Logs skal være struktureret nok til at en SIEM kan læse dem. Det betyder typisk JSON med stabile felter, ikke fritekst-prompts og fritekst-svar.
- Mennesker i loopet ved kritiske handlinger. Sletninger, betalinger, masseudsendelser, ændringer i produktionen. Sæt en tærskel og kræv eksplicit godkendelse.
- Test af adversarielle prompts. Red-team agenten på samme måde som du tester webapps. Prompt-injection er det nye SQL-injection.
Hvad det betyder for danske virksomheder
Five Eyes inkluderer ikke EU-lande, men vejledningen kommer til at landes i Bruxelles inden for kort tid. AI Act og NIS2 stiller allerede krav om risikostyring for AI-systemer der bruges i kritisk infrastruktur, og DORA gør det samme for finanssektoren. Den fælles vejledning fra de fem øjne bliver formentlig brugt af tilsynsmyndighederne i Danmark som et benchmark for hvad “rimelig sikkerhed” indebærer, også selv om dokumentet ikke er bindende her.
Det praktiske skridt for IT-folk lige nu er at lave en simpel inventarliste: hvilke agenter kører i din organisation, hvilke værktøjer kan de kalde, og hvem har godkendt det? I de fleste organisationer findes svaret ikke, og det er præcis det Five Eyes peger på. Det interessante er ikke om vi skal stoppe agentisk AI. Det er om vi kan skabe det governance-lag der mangler, før et større nedbrud tvinger reguleringen i en hastig retning.
Den gode nyhed er at meget af værktøjet allerede findes. De store cloud-leverandører bygger styringslag ind i deres infrastruktur, hvor agent-identiteter og audit-spor kan håndteres som standard-IAM-objekter. Den dårlige nyhed er at de fleste virksomheder ikke har taget de værktøjer i brug endnu, og at flere agenter ruller ud hver uge uden at nogen har spurgt om det er forsvarligt.
Kilder
- CISA, US and International Partners Release Guide to Secure Adoption of Agentic AI – CISA, 1. maj 2026
- Careful Adoption of Agentic AI Services – CISA primærdokument
- Five Eyes warn agentic AI is too dangerous for rapid rollout – The Register, 4. maj 2026
- US government, allies publish guidance on how to safely deploy AI agents – CyberScoop
- CISA and partners publish new advice on AI agent safety – Cybernews
