Anthropic kartlegger AI-angrep i ATT&CK

Anthropic har publisert en ny analyse av hvordan angripere bruker store språkmodeller i cyberoperasjoner. Den viktigste nyheten er ikke at angripere ber modeller skrive kode. Det visste alle. Nyheten er at Anthropic nå har mappet misbruk av Claude mot MITRE ATT&CK og forsøker å måle hvor mye AI faktisk løfter en angriper.

Analysen bygger på 832 kontoer Anthropic stengte for cybermisbruk fra mars 2025 til mars 2026. Selskapet sier aktivitetene ble mappet til 13.873 observasjoner, 482 unike ATT&CK-teknikker og alle 14 taktikker i rammeverket. Det gir et sjeldent innblikk i hva AI-misbruk ser ut som i praksis, ikke bare i laboratoriet.

Funnene er ubehagelige for virksomheter som fortsatt behandler AI-sikkerhet som en policy i et intranett. Andelen aktører Anthropic klassifiserer som middels eller høy risiko økte fra 33 prosent i første halvdel av perioden til 56 prosent i andre halvdel. Selskapet tolker det som et tegn på at AI gjør det lettere å gjennomføre mer avanserte operasjoner.

Fra skript til orkestrering

Det mest brukte mønsteret var fortsatt tidligfase arbeid: utvikling av kapabiliteter, skadevare, obfuskering og innsamling av lokale data. Anthropic oppgir at 574 av 832 aktører brukte AI til å utvikle kapabiliteter, og at 560 brukte modellen i forbindelse med skadevareutvikling. Obfuskering dukket opp hos 64,7 prosent, innsamling av data fra lokale systemer hos 55,9 prosent og forsøk på å svekke forsvar hos 54,9 prosent.

Det betyr ikke at de mest alvorlige sakene handler om volum. Anthropic peker på et annet skille: aktørene blir farligere når modellen kobles inn i en arbeidsflyt som kan ta beslutninger og kjede sammen steg. Selskapet skriver at høy risiko i økende grad handler om «scaffolding», altså kode, verktøy, arkitektur og automasjon rundt modellen.

For CISO-er er det poenget verdt å ta med seg. En enkelt prompt om PowerShell er ikke det samme som en agent som har tilgang til repoer, terminal, CI/CD, skykontoer, dokumentasjon og interne hemmeligheter. Risikoen flytter seg fra selve modellen til systemet modellen får lov til å operere i.

ATT&CK mangler språk for autonome agenter

Anthropic mener også at dagens MITRE ATT&CK-rammeverk ikke fanger det som gjør autonome AI-angrep spesielt farlige. Rammeverket har ikke egne ID-er for autonom orkestrering av en kill chain, sanntidsvalg av neste pivot eller AI-styrt utførelse uten menneskelig inngripen.

Det er et praktisk problem. Mange sikkerhetsteam bygger deteksjon, rapportering og modenhetsmåling rundt ATT&CK. Hvis de nye mønstrene ikke passer godt inn i taksonomien, blir de også lettere å undervurdere i styrerapporter og risikomatriser. Man ender med å måle gamle teknikker, mens den nye risikoen ligger i hvordan teknikkene bindes sammen.

Lateral movement er et godt eksempel. Anthropic så at bare 54 av 832 aktører brukte modeller til lateral movement. Det er lavt volum. Likevel var dette den sterkeste markøren for høy risiko. Aktører som brukte AI på denne måten hadde i snitt en risikoscore på 56,4, mot 46,8 for resten av utvalget.

Det samme mønsteret gjelder andre aktiviteter sent i angrepsløpet. De er mindre vanlige enn obfuskering og skadevarebygging, men langt mer interessante for forsvarere. Når AI går fra å hjelpe med forberedelser til å påvirke handlinger i et levende miljø, bør alarmnivået opp.

Konsekvensen for norske virksomheter

For norske ledere er dette først og fremst en styringssak. Virksomheter bør ikke bare spørre leverandører om modellen er trygg. De bør spørre hva agenten kan gjøre, hvilke verktøy den kan bruke, hvor prompt- og handlingslogger lagres, og hvordan virksomheten kan stoppe en arbeidsflyt før den utfører skade.

Det gjelder særlig kodeagenter og interne assistenter med tilgang til utviklingsmiljøer. Claude Code, Cursor, Copilot, Gemini CLI og egne agentoppsett bør behandles som en del av angrepsflaten. De trenger tilgangsstyring, logging, miljøgrenser, hemmelighetshåndtering og tydelige regler for hva som aldri skal kjøres automatisk.

Sikkerhetsteam bør også oppdatere deteksjonslogikken. Det holder ikke å lete etter klassiske indikatorer på skadevare. Man må se etter overgangen fra tekstgenerering til operasjonell bruk: verktøykall, terminalkommandoer, API-kall, filskriving, repo-endringer, forsøk på credential discovery og agentsteg som bygger videre på tidligere funn.

Innkjøp bør ta med dette i kravspesifikasjonene. En enterprise-AI-leverandør som tilbyr agenter uten eksport av hendelser, beviskjede, policykontroller og kill switch, bør få et vanskelig møte. Det er ikke nok med en sikkerhetswhitepaper. Drift trenger observerbarhet.

Et tidlig bilde av neste trusselmodell

Anthropic lanserer også en egen risikomodell, AI Risk Enablement Score, som kombinerer tre signaler: trusselprofil, modellens bidrag til mulig skade og potensiell eller observert effekt. Poenget er ikke å spå om et angrep lykkes. Poenget er å prioritere hvilke AI-assisterte mønstre forsvarere bør bry seg mest om.

Det er riktig retning. Tradisjonell cyberrisiko er ofte bygget for systemer der mennesker styrer tempoet. Agentbaserte angrep endrer tempo, skala og koblingen mellom observasjon og handling. Da trenger også sikkerhetsarbeidet nye mål.

Saken er ikke at alle virksomheter må frykte autonome AI-angrep i morgen tidlig. Saken er at byggesteinene allerede finnes i vanlige utviklerverktøy og API-er. Når de kobles til riktige tilganger, blir skillelinjen mellom «assistert arbeid» og «operasjonell autonomi» tynn.

For CIO og CISO er anbefalingen enkel: kartlegg hvor AI-agenter kan handle på vegne av ansatte, logg alt som kan bli bevis, og sett tekniske grenser før bruken skalerer. Det er billigere enn å forklare etterpå hvorfor en agent hadde mer tilgang enn et menneske noen gang ville fått.

Kilder og medier

• Anthropic Red: «Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator». Primærkilde: https://red.anthropic.com/2026/attack-navigator/
• MITRE ATT&CK er rammeverket Anthropic bruker som referanse i analysen.
• Thumbnail: OpenAI Image 2 / hogby.ai