AI-orm viser ny risiko i bedriftsnettverk

Forskere ved University of Toronto har vist en AI-drevet dataorm som kan tilpasse angrepene sine mens den sprer seg i et testet bedriftsnettverk. Poenget er ubehagelig enkelt: angriperen trenger ikke en ukjent nulldagssårbarhet eller tilgang til de dyreste kommersielle AI-modellene for å gjøre skade.

I forskningsartikkelen «AI Agents Enable Adaptive Computer Worms», sendt til arXiv 2. juni, beskriver Jonas Guan, Tom Blanchard, Hanna Foerster, Hengrui Jia, Gabriel Huang og Nicolas Papernot en orm som bruker AI-agenter til å lage angrepsstrategier for hvert nytt mål den møter. Den ble testet på et nettverk med Linux-, Windows- og IoT-enheter og spredte seg ved å utnytte vanlige, realistiske svakheter i bedriftsnettverk.

The Register intervjuet Papernot og omtaler forsøket 4. juni. Ifølge avisen brukte forskerne en offentlig tilgjengelig open-weight-modell fra 2025, men unnlot å oppgi modellnavn, agentarkitektur og detaljer som kunne gjøre arbeidet lettere å kopiere. Det er ryddig. Det gjør også funnet mer alvorlig: dette handler ikke om en eksklusiv frontier-modell bak en lukket API.

Hva som er nytt

Tradisjonelle ormer, som WannaCry, spredte seg gjennom forhåndsdefinerte svakheter. Forsvarerne kunne prioritere den konkrete sårbarheten, patche, blokkere og lete etter kjente indikatorer. Den nye varianten forskerne beskriver er mer adaptiv.

AI-agenten vurderer målet, leter etter mulige veier videre og genererer tilpassede grep. Når den kompromitterer en maskin, kan den ifølge artikkelen bruke den stjålne datakraften til videre resonnering og nye angrep. Det gir en annen økonomi i angrepet. Angriperen betaler ikke nødvendigvis mer for hver ny infeksjon. Offerets infrastruktur blir en del av motoren.

Forskerne skriver at dette skaper en «destabilizing economic asymmetry» mellom angripere og forsvarere. Det er akademisk språk for noe CISO-er kjenner godt: angriperen trenger bare én praktisk vei inn, mens forsvareren må ha kontroll på mange kjedelige, gamle svakheter samtidig.

Det gjør også sentraliserte sikkerhetstiltak mindre effektive. Rate limits, modellnekt og sikkerhetsfiltre hos kommersielle AI-leverandører er viktige, men de hjelper lite hvis angrepet drives av en lokal open-weight-modell på kompromitterte maskiner. Da flytter kontrollpunktet fra leverandørens API til virksomhetens eget nettverk.

Ikke en science fiction-risiko

Dette bør ikke leses som at alle bedrifter får selvspredende AI-skadevare i morgen. Forskerne testet i et kontrollert miljø og holdt tilbake metodiske detaljer. Men retningen er viktig.

Mange norske virksomheter har fortsatt det enkle problemet: gamle systemer, dårlig segmentering, gjenbrukte passord, svake backup-rutiner, dårlig oversikt over IoT og privilegier som har vokst i årevis. AI gjør ikke disse feilene nye. Den kan gjøre dem billigere å finne, kombinere og utnytte.

Det er også en påminnelse om at AI-sikkerhet ikke bare handler om prompt injection og datalekkasje i kontorassistenter. Når AI-agenter får verktøytilgang, shell, nettverksskanning, kodekjøring eller automatiserte runbooks, må de behandles som en operativ sikkerhetsflate. En intern agent med for brede rettigheter kan bli en akselerator for en angriper.

For CIO og CISO betyr det at AI-governance må kobles tettere på klassisk cybersikkerhet. Modellvalg, agentrettigheter, nettverkssoner, logging og beredskapsøvelser kan ikke ligge i hver sin silo.

Tiltak som haster mer enn modellvalg

Første tiltak er segmentering. Hvis en AI-drevet orm får lateral bevegelse på tvers av servere, klienter og IoT, er det nettverket som har feilet før modellen imponerer noen. Kritiske systemer, backup, administrasjonsflater og utviklingsmiljøer må skilles tydeligere.

Andre tiltak er privilegiekontroll. AI-agenter bør ikke få permanente nøkler, brede tokens eller administratortilganger fordi det er praktisk i en pilot. Bruk korte levetider, scope, approval gates og logging som faktisk blir lest.

Tredje tiltak er patch- og konfigurasjonsdisiplin. Forskerne beskriver utnyttelse av vanlige bedriftsfeil, ikke magi. Det gjør funnet mer relevant, ikke mindre. Organisasjoner som ikke har kontroll på kjente CVE-er, svake passord og eksponerte administrasjonsflater får en dårligere risikokurve når agentverktøy blir vanlige.

Fjerde tiltak er øvelse. Incident response-planer må testes mot et scenario der angriperen bruker lokale modeller og automatiserte agenter, ikke bare kjente malware-familier. SOC-regler bør se etter uvanlig intern rekognosering, ny prosesskjøring, plutselig modell- eller GPU-bruk og automatiserte forsøk på å bruke legitime adminverktøy.

Styrets spørsmål

Styret trenger ikke detaljstyre hvilken modell sikkerhetsteamet bruker. Men det bør be om svar på tre spørsmål.

Har vi kontroll på hvor AI-agenter kan kjøre kode og hvilke systemer de kan nå? Har vi nettverkssegmentering som fortsatt virker hvis én maskin kompromitteres? Og har vi en beredskapsøvelse som dekker AI-assistert lateral bevegelse?

Hvis svaret er nei, er risikoen mer konkret enn en forskningsdemo. Den ligger allerede i kombinasjonen av åpne modeller, automatiserte verktøy og gammel teknisk gjeld.

Kilder og medier

Primærkilde: arXiv / University of Toronto, «AI Agents Enable Adaptive Computer Worms», sendt inn 2. juni 2026: https://arxiv.org/abs/2606.03811

Mediekilde: The Register, «Free AI model powers self-spreading worm in enterprise test network», publisert 4. juni 2026: https://www.theregister.com/research/2026/06/04/free-ai-model-powers-self-spreading-worm-in-enterprise-test-network/5250918

Thumbnail: OpenAI Image 2 / hogby.ai