I løbet af en røde nat hold øvelse, forskere en kundes autonome browser-baserede AI-agent tilfældigt lækker CTO's legitimationsoplysninger. Triggeren var intet mere end en enkelt ondsindet Skjult inde i en intern GitHub-spørgselsside. agenten kørte på - en open source-ramme, der for nylig $ 17 millioner i en frø runde og har gjort overskrifter i VC verden. Tjekket DIV dag Brug af browser oprejst Det hurtige bevis på konceptet afslørede et meget dybere problem. Mens venturekapital fortsætter med at hælde i kapløbet for at gøre LLM-agenter hurtigere og mere dygtige, forbliver sikkerhed en eftertænkning. I dag har autonome browserbaserede agenter allerede adgang til private indbakker, boghoteller og forene finansielle optegnelser. De fleste enterprise AI-agenter bruger dem som et værktøj (f.eks. et interface til at hente eksterne data). Ifølge 82% af store virksomheder kører i dag mindst én AI-agent i deres produktionsarbejdsprocesser, med 1,3 milliarder enterprise-agentbrugere forudset i 2028. Markedsforskere How Hackers Exploit Enterprise AI Agents Hvordan hackere udnytter virksomhedens AI-agenter Zenity Labs, en af de førende udbydere af Agentic AI sikkerhed og styring for virksomheder, mere end 3.000 offentligt tilgængelige MS Copilot Studio-agenter, der er indsat af store virksomheder til at håndtere kundeserviceforespørgsler, behandle supportbilletter, få adgang til interne CRM-systemer og udføre forskellige forretningsprocesser. Opdaget Undersøgelsen af selskabet afslørede en fuldstændig kæde af angreb. , hvor OSINT-teknikker blev brugt til at kortlægge og identificere offentligt eksponerede Copilot Studio-agenter. , håndtering omhyggeligt designet opfordringer og e-mails til at manipulere agentens behandling logik. , da agenterne blev kapret uden nogen menneskelig interaktion - i det væsentlige bliver en automatiseret bagdør ind i virksomhedens systemer. , hvor angribere kunne dump hele CRM-databaser og udsætte følsomme interne værktøjer, alt ved at udnytte sårbarheder i agentarbejdsprocesser, der manglede ordentlige sikkerhedsspor. reconnaissance weaponization compromise exfiltration Sikkerheden for Copilot Studio-agenter mislykkedes, fordi de var for stærkt afhængige af bløde grænser, dvs. skrøbelige overfladebeskyttelser (dvs. instruktioner til AI om, hvad det skal og ikke skal gøre, uden teknisk kontrol). Agenterne blev instrueret i deres opfordringer til "kun at hjælpe legitime kunder", men sådanne regler var nemme at omgå. Prompt-skilte designet til at filtrere ondsindede input viste sig at være ineffektive, mens systembeskeder, der skitserede "acceptabel adfærd", gjorde lidt for at stoppe håndlavede angreb. Kritisk set var der ingen teknisk validering af inputkilderne, der fodrede agenterne, hvilket efterlod dem åbne for manipulation. Denne og andre enterprise AI-agents nul-klik-eksploits blev demonstreret på Black Hat USA 2025, med det vigtigste resultat at Jo mere selvstændig AI-agenten er, jo højere er sikkerhedsrisikoen. . the more autonomous the AI agent, the higher the security risk Når de begynder at handle uafhængigt, bliver de angrebsoverflader, som de fleste organisationer ikke er klar over. Ifølge flere kilder er mange virksomheders AI-agenter tilbøjelige til at udnytte sikkerheden. For eksempel blev Salesforce's Einstein-platform engang manipuleret til at omdirigere kundekommunikation til angriberkontrollerede e-mail-konti. Googles Gemini kunne udnyttes som en insidertrussel, der kunne aflyse fortrolige samtaler og sprede falske oplysninger. Hackerangrebet slukkede lysene, åbnede blindene og startede kedlen – alt sammen uden nogen kommandoer fra beboerne. Kontrollerer From AI Browsers to Enterprise Backdoors Fra AI Browsers til Enterprise Backdoors En ny af Guardio finder, at AI-browsere, såsom Perplexity's eller fra Webbrowseren, er modtagelige for svig og utilsigtet videregivelse af fortrolige data, da de endnu ikke er i stand til at skelne mellem falske og virkelige websteder og links. undersøgelse Komet dag I flere kontrollerede tests udført af Guardio demonstrerede AI-browsingagenter, hvor nemt de kunne manipuleres af svigagtige ordninger - hvilket sætter virkelige brugere i fare. Det første eksperiment undersøgte, hvordan agenter foretager online-køb. En tester åbnede en falsk Walmart-websted, og Comet indlæst det uden at udløse nogen svindel advarsler. Agenten fejlfrit afsluttet opgaven - køb af en Apple Watch. Endnu mere bekymrende, browser automatisk udfyldte betalingsoplysninger og forsendelsesadresse, på trods af klare røde flag indikerer, at webstedet var en svindel. En anden test fokuserede på e-mail funktionalitet. Forskere sendte en phishing e-mail forklædt som en Wells Fargo besked indeholdende en ondsindet link. Comet fortolket det som en legitim anmodning fra banken og straks klikket igennem. En tredje exploit fremhævede en mere subtil risiko: skjulte opfordringer indlejret direkte i websteder.Disse usynlige instruktioner blev udført af AI-agenten uden brugerens viden, hvilket gjorde det muligt for angribere at tvinge uønskede handlinger som at downloade ondsindede filer eller lække fortrolige oplysninger. Guardios forskere fremhæver en tendens: Udviklere af AI-browsere prioriterer i øjeblikket brugeroplevelsen over robust sikkerhed. developers of AI browsers currently prioritize user experience over robust security. I praksis betyder det, at sikkerhedsmekanismerne ofte nedlægges til tredjepartsværktøjer som Google Safe Browsing – løsninger, der ofte er utilstrækkelige mod moderne, AI-drevne trusler. How to Give Agentic AI a Security-First Mandate Hvordan man giver agent AI et sikkerheds-første mandat Udgangspunktet er klart: systemer, der fortolker og handler på levende webindhold, skal bygges på en . "security-first" architecture and hard boundaries, i.e., actual technical controls that can't be bypassed through prompt manipulation Forskere at investorer, der kanaliserer ottecifrede beløb til agenturstartups, nu skal allokere en lige stor del af ressourcerne til sikkerhed , der og Finansielle indsprøjtninger i funktionalitet alene er ikke længere tilstrækkelige; sikkerhed skal blive et grundlæggende princip i arkitektur. Stresset threat modeling formal verification continuous stress testing Agent-systemer skal operere isoleret: Planlæggeren, udføreren og credential-modulet skal eksistere som separate, gensidigt mistroende processer, der kun kommunikerer gennem underskrevne og størrelsesbegrænsede beskeder. Sikkerhedskontrol bør også blive en del af den daglige ingeniørrutine: Adverse HTML injektioner og jailbreak prompts bør indbygges direkte i CI / CD rørledninger, med enhver enkelt fejlblokering frigivelse. Samtidig skal leverandører give mere end klassiske Software Bills of Materials (SBOMs). De bør kunne offentliggøre risikokort, der tydeligt angiver, hvilke data, roller og tilladelser en angriber ville få, hvis agenten blev kompromitteret. Det kræver gennemsigtighed om både individuelle risici og bredere samfundsmæssige konsekvenser. AI Risk Management Framework (AI-RMF) er en Ligesom i banksektoren vil uafhængige red-team evalueringer med obligatorisk offentliggørelse af resultater på højt niveau blive en forudsætning for tillid og tilpasning til international praksis i USA og EU. Ellers vil hastigheden af agentisk AI-adoption snart overgå vores evne til at styre dens risici.