{"id":1372,"date":"2026-05-05T19:18:06","date_gmt":"2026-05-05T17:18:06","guid":{"rendered":"https:\/\/vittrup-graversen.dk\/?p=1372"},"modified":"2026-05-05T19:18:07","modified_gmt":"2026-05-05T17:18:07","slug":"agentisk-ai-ude-af-kontrol-five-eyes-advarer-om-sikkerhed-i-kritisk-infrastruktur","status":"publish","type":"post","link":"https:\/\/vittrup-graversen.dk\/index.php\/2026\/05\/05\/agentisk-ai-ude-af-kontrol-five-eyes-advarer-om-sikkerhed-i-kritisk-infrastruktur\/","title":{"rendered":"Agentisk AI ude af kontrol: Five Eyes advarer om sikkerhed i kritisk infrastruktur"},"content":{"rendered":"\n

Den 1. maj 2026 udsendte de seks efterretningssamarbejdspartnere i Five Eyes deres f\u00f8rste f\u00e6lles vejledning om agentisk AI sikkerhed. CISA, NSA, britiske NCSC, australske ASD ACSC, canadiske CCCS og New Zealands NCSC har alle skrevet under p\u00e5 dokumentet \u201cCareful Adoption of Agentic AI Services\u201d. Budskabet er ikke til at tage fejl af: AI-agenter med adgang til v\u00e6rkt\u00f8jer, data og produktionssystemer er allerede dybt inde i kritisk infrastruktur, og de fleste organisationer har givet dem langt mere autonomi end de kan overv\u00e5ge eller kontrollere.<\/p>\n\n\n\n

Hvad et agentisk system reelt er<\/h2>\n\n\n\n

F\u00f8rst en kort definition, fordi terminologien stadig sv\u00f8mmer rundt. En \u201cagent\u201d er ikke bare en chatbot der svarer p\u00e5 sp\u00f8rgsm\u00e5l. Det er et system hvor en sprogmodel f\u00e5r adgang til v\u00e6rkt\u00f8jer, kan tage beslutninger om hvilke kald den foretager, og udf\u00f8rer handlinger der har konsekvenser uden for chatvinduet. Det kan v\u00e6re at sende mails, \u00e6ndre konfiguration, oprette pull requests, kalde API\u2019er eller eksekvere SQL. Med MCP-protokollen og dens 97 millioner installationer<\/a> er det nu trivielt at give en model den slags adgang i l\u00f8bet af eftermiddagen.<\/p>\n\n\n\n

Det er pr\u00e6cis denne kombination, agenturet bag de fem \u00f8jne reagerer p\u00e5. N\u00e5r en model med stokastisk output kobles til en knap der kan starte en proces i produktionen, er vi ude af software-engineering-dom\u00e6net og inde i en gr\u00e5zone hvor traditionel testning og kodegennemgang ikke l\u00e6ngere garanterer noget.<\/p>\n\n\n\n

De fem risikokategorier<\/h2>\n\n\n\n

Vejledningen identificerer fem brede kategorier, og listen er v\u00e6rd at l\u00e6se langsomt fordi den ikke handler om sci-fi-scenarier men om helt konkrete fejlmodeller man allerede ser i produktion:<\/p>\n\n\n\n

    \n
  1. Privilege.<\/strong> Agenter f\u00e5r ofte adgang til alt hvad den menneskelige bruger har, eller mere endnu hvis de k\u00f8rer som service-konti. Et enkelt kompromis kan derfor anrette langt st\u00f8rre skade end en typisk softwares\u00e5rbarhed.<\/li>\n
  2. Design og konfiguration.<\/strong> Sikkerhedshuller opst\u00e5r f\u00f8r systemet overhovedet g\u00e5r i drift. Standardpolitikker er ofte for \u00e5bne, prompts l\u00e6kker hemmeligheder, og audit-logning er en eftertanke.<\/li>\n
  3. Adf\u00e6rdsrisiko.<\/strong> Modellen forf\u00f8lger sit m\u00e5l p\u00e5 m\u00e5der designerne ikke foruds\u00e5. Klassikeren er agenten der \u201clykkes\u201d med en opgave ved at slette de filer der gjorde opgaven sv\u00e6r.<\/li>\n
  4. Strukturel risiko.<\/strong> N\u00e5r agenter kalder andre agenter opst\u00e5r netv\u00e6rk hvor en lokal fejl kan brede sig. Kaskaderne er sv\u00e6re at opdage f\u00f8r de k\u00f8rer.<\/li>\n
  5. Accountability.<\/strong> Agentens beslutningsproces er sv\u00e6r at inspicere, og dens logs er vanskelige at parse. N\u00e5r noget g\u00e5r galt, er det ofte umuligt at rekonstruere hvorfor.<\/li>\n<\/ol>\n\n\n\n

    The Register opsummerede det skarpt: Five Eyes mener i praksis at agentisk AI er for farligt til hastig udrulning. Det er en st\u00e6rkere formulering end myndighederne plejer at bruge, og den kommer fra organisationer der ellers er forsigtige med at l\u00e6gge sig ud med deres egne forsvarsindustrier.<\/p>\n\n\n\n

    Det praktiske svar: ingen ny disciplin, bare gammel disciplin anvendt<\/h2>\n\n\n\n

    Det interessante ved vejledningen er hvad den IKKE siger. Den siger ikke at vi skal opfinde et nyt sikkerhedsregime. Den siger det modsatte: agentisk AI kr\u00e6ver ikke en ny sikkerhedsdisciplin. Organisationer skal folde disse systemer ind i de cybersikkerhedsrammer og governance-strukturer de allerede har, og anvende klassiske principper som zero trust, defense-in-depth og least-privilege.<\/p>\n\n\n\n

    Konkret betyder det:<\/p>\n\n\n\n