{"id":1170,"date":"2026-04-08T17:44:17","date_gmt":"2026-04-08T15:44:17","guid":{"rendered":"https:\/\/vittrup-graversen.dk\/?p=1170"},"modified":"2026-04-08T17:44:18","modified_gmt":"2026-04-08T15:44:18","slug":"google-og-rivalerne-laegger-125-mio-dollar-i-open-source-sikkerhed-fordi-ai-nu-finder-flere-saarbarheder-end-mennesker-kan-lukke","status":"publish","type":"post","link":"https:\/\/vittrup-graversen.dk\/index.php\/2026\/04\/08\/google-og-rivalerne-laegger-125-mio-dollar-i-open-source-sikkerhed-fordi-ai-nu-finder-flere-saarbarheder-end-mennesker-kan-lukke\/","title":{"rendered":"Google og rivalerne l\u00e6gger 12,5 mio. dollar i open source-sikkerhed, fordi AI nu finder flere s\u00e5rbarheder end mennesker kan lukke"},"content":{"rendered":"\n

AI er begyndt at \u00e6ndre cybersikkerhed p\u00e5 en m\u00e5de, som er mere konkret end de fleste keynote-pr\u00e6sentationer giver indtryk af. Det interessante lige nu er ikke endnu en chatbot med flere knapper, men at de st\u00f8rste AI-akt\u00f8rer pludselig investerer i open source-sikkerhed<\/strong>, fordi selve softwareforsyningsk\u00e6den er blevet sv\u00e6rere at beskytte. Google har netop annonceret en ny satsning p\u00e5 omr\u00e5det, og pointen er v\u00e6rd at h\u00e6fte sig ved: N\u00e5r AI kan finde s\u00e5rbarheder hurtigere, skal nogen ogs\u00e5 kunne triagere, validere og rette dem hurtigere.<\/p>\n\n\n\n

Konkret skriver Google, at selskabet sammen med Anthropic, AWS, GitHub, Microsoft, OpenAI og Google DeepMind indg\u00e5r i en samlet finansiering p\u00e5 12,5 millioner dollar til Linux Foundations sikkerhedsinitiativer Alpha-Omega og OpenSSF. If\u00f8lge Linux Foundation skal pengene bruges til langsigtede og mere b\u00e6redygtige l\u00f8sninger til open source-milj\u00f8et, hvor maintainere i stigende grad drukner i automatiserede sikkerhedsfund. Det g\u00f8r nyheden vigtig, fordi den peger p\u00e5 et reelt driftsproblem, ikke bare et brandingprojekt.<\/p>\n\n\n\n

Hvis du f\u00f8lger AI-feltet t\u00e6t, er det heller ikke helt ude af trit med andre bev\u00e6gelser i markedet. Jeg skrev for nylig om Anthropics Project Glasswing<\/a>, som ogs\u00e5 handler om at bruge mere kraftfuld AI defensivt. Og i en lidt anden ende af spektret ser vi v\u00e6rkt\u00f8jer, hvor agentisk udvikling rykker t\u00e6ttere p\u00e5 hverdagsarbejdet, som i mit indl\u00e6g om Googles Agent Smith<\/a>. F\u00e6llesn\u00e6vneren er, at AI ikke l\u00e6ngere kun er et tekstv\u00e6rkt\u00f8j. Den er ved at blive en operativ del af softwarearbejdet.<\/p>\n\n\n\n

Hvorfor open source-sikkerhed pludselig er blevet en AI-historie<\/h2>\n\n\n\n

Open source er fundament under en stor del af internettet, cloud-platforme og virksomhedssoftware. Problemet er, at meget af det vedligeholdes af sm\u00e5 teams eller enkeltpersoner, mens resten af verden bygger videre ovenp\u00e5. Det har v\u00e6ret et kendt problem i \u00e5revis, men AI har \u00e6ndret tempoet. Linux Foundation skriver direkte, at fremskridt i AI markant \u00f8ger hastigheden og skalaen i opdagelsen af s\u00e5rbarheder i open source-software. Maintainerne bliver derfor m\u00f8dt af en b\u00f8lge af sikkerhedsrapporter, mange genereret automatisk, uden at de n\u00f8dvendigvis har v\u00e6rkt\u00f8jerne til at vurdere, prioritere og afhj\u00e6lpe dem.<\/p>\n\n\n\n

Det er en vigtig nuance. AI g\u00f8r ikke automatisk software mere sikker. Den kan lige s\u00e5 let skabe mere st\u00f8j. En model kan finde hundredvis af potentielle problemer, men hvis halvdelen er irrelevante, mangler kontekst eller ikke kommer med et brugbart patch, er resultatet bare mere arbejde for de mennesker, der i forvejen er pressede. Derfor er den nye investering i open source-sikkerhed<\/strong> interessant: Den handler ikke kun om at opdage fejl hurtigere, men om at f\u00e5 hele k\u00e6den fra fund til rettelse til at fungere bedre.<\/p>\n\n\n\n

Set fra et drifts- og arkitekturperspektiv er det ogs\u00e5 helt logisk. I dag er software supply chain-sikkerhed blevet et ledelsesproblem, ikke kun et udviklerproblem. Hvis dine afh\u00e6ngigheder bliver usikre, bliver dine systemer det ogs\u00e5. Derfor giver det mening, at store akt\u00f8rer med egne AI-modeller nu investerer i de \u00e5bne projekter, de selv er afh\u00e6ngige af.<\/p>\n\n\n\n

Google vil ikke kun finde s\u00e5rbarheder, men ogs\u00e5 hj\u00e6lpe med at lukke dem<\/h2>\n\n\n\n

Googles blogindl\u00e6g g\u00f8r det ret klart, hvad virksomheden ser som n\u00e6ste skridt. Her n\u00e6vnes blandt andet Big Sleep og CodeMender, to AI-baserede sikkerhedsv\u00e6rkt\u00f8jer fra Google DeepMind. If\u00f8lge Google har de allerede vist, at AI kan hj\u00e6lpe med at finde og rette dybe, udnyttelige s\u00e5rbarheder i komplekse systemer. I den mere detaljerede pr\u00e6sentation af CodeMender fra oktober 2025 skrev DeepMind, at v\u00e6rkt\u00f8jet over seks m\u00e5neder allerede havde bidraget med 72 sikkerhedsrettelser til open source-projekter.<\/p>\n\n\n\n

Det tal er interessant, men det vigtigste er faktisk arbejdsformen. DeepMind understreger, at patches stadig gennemg\u00e5s af mennesker, f\u00f8r de sendes upstream. Det er sundt. I sikkerhedsarbejde er en halvgod automatisk rettelse ofte farligere end ingen rettelse, fordi den kan skabe falsk tryghed eller introducere regressioner. Hvis AI skal bruges seri\u00f8st i sikkerhedsarbejde, skal den derfor indg\u00e5 i et kontrolleret workflow med validering, test og ansvarlige maintainere i l\u00f8kken.<\/p>\n\n\n\n

Det er netop her, den aktuelle nyhed bliver mere sp\u00e6ndende end endnu en modelbenchmark. Den peger mod en fremtid, hvor AI i stigende grad bliver et v\u00e6rkt\u00f8j til triage, patchforslag, kodegennemgang og m\u00e5ske automatiseret verifikation, mens mennesker tager den endelige beslutning. For udviklere og it-chefer er det en mere moden historie end id\u00e9en om, at en agent bare overtager hele sikkerhedsarbejdet.<\/p>\n\n\n\n

Hvad betyder det for udviklere og it-afdelinger?<\/h2>\n\n\n\n

P\u00e5 kort sigt betyder det f\u00f8rst og fremmest, at open source-sikkerhed<\/strong> bliver en mere aktiv del af AI-kapl\u00f8bet. Det b\u00f8r f\u00e5 virksomheder til at stille lidt skarpere sp\u00f8rgsm\u00e5l til deres egne v\u00e6rkt\u00f8jer og processer. Kan jeres udviklingsmilj\u00f8 h\u00e5ndtere en str\u00f8m af AI-genererede fund? Har I en proces for at skelne mellem reelle s\u00e5rbarheder og st\u00f8j? Kan jeres CI\/CD-k\u00e6de validere patchforslag automatisk, eller lander arbejdet stadig som manuelt brandslukningsarbejde hos de samme f\u00e5 mennesker?<\/p>\n\n\n\n

P\u00e5 lidt l\u00e6ngere sigt kan vi meget vel se, at de mest v\u00e6rdifulde sikkerhedsv\u00e6rkt\u00f8jer ikke bliver dem, der finder flest fejl, men dem der reducerer vedligeholdelsesbyrden for maintainere og interne platformteams. Hvis AI kan hj\u00e6lpe med at forklare en s\u00e5rbarhed, foresl\u00e5 en patch, teste for regressioner og dokumentere \u00e6ndringen ordentligt, begynder det at ligne reel produktivitetsforbedring. Hvis den bare genererer flere alarmer, er vi ikke kommet s\u00e6rlig langt.<\/p>\n\n\n\n

Derfor er denne investering v\u00e6rd at f\u00f8lge. Den er lille i forhold til de milliardbel\u00f8b, der ellers kastes rundt i AI-industrien, men den rammer et omr\u00e5de, som faktisk betyder noget for stabil drift. 12,5 millioner dollar flytter ikke alene verden, men signalet er st\u00e6rkt: De virksomheder, der bygger de mest avancerede AI-systemer, er ogs\u00e5 begyndt at indr\u00f8mme, at infrastrukturen under dem skal styrkes. Og det er m\u00e5ske den mest jordn\u00e6re og nyttige AI-nyhed i denne uge.<\/p>\n\n\n\n

Kilder<\/h2>\n\n\n