Anthropic viser skiftet til autonome AI-angrep

Anthropic legger frem en ny analyse som bør rett inn i risikoregisteret hos virksomheter som bruker eller overvåker generativ AI. Selskapet har gått gjennom 832 kontoer som ble utestengt for ondsinnet cyberaktivitet mellom mars 2025 og mars 2026, og mappet aktiviteten mot MITRE ATT&CK.

Funnene peker på et viktig skifte: AI brukes ikke bare til phishing, kodehjelp og enkel rekognosering. Den brukes i økende grad etter at angriperen allerede er inne. Da handler det om kontooppslag, lateral bevegelse, rettighetseskalering og kjeding av flere steg i samme operasjon. Det er der risikoen øker raskt.

Anthropic skriver at 560 av de 832 kontoene, 67,3 prosent, brukte AI til å skrive skadevare eller forberede angrep. Det mest interessante er likevel ikke volumet. Det er hvor i angrepet AI-en tas i bruk. I første halvdel av perioden ble 33 prosent av aktørene vurdert som middels risiko eller høyere. I andre halvdel steg andelen til 56 prosent. Det er en økning på rundt 1,7 ganger på under ett år.

Risikoen flytter seg etter innbruddet

Sikkerhetsmiljøer har lenge brukt teknisk modenhet, antall teknikker og verktøyvalg som signaler for å skille lavrisikoaktører fra mer avanserte angripere. Anthropic mener disse signalene blir svakere når AI kan gjøre deler av arbeidet for angriperen.

Ifølge analysen brukte de minst teknisk modne aktørene i datasettet omtrent 16 ulike teknikker i snitt. De mest modne brukte omtrent 20. Forskjellen er liten. Plattformvalget ga heller ikke et klart skille. Bruk av chatgrensesnitt, API eller Claude Code var ikke nok til å vurdere hvor farlig aktøren var.

Det sterkere signalet er hva angriperen ber modellen gjøre. Høyere risiko henger sammen med bruk av AI i mer operative deler av angrepet: finne kontoer, bevege seg videre i miljøet, eskalere rettigheter og ta beslutninger mens angrepet pågår. Det er arbeid som tradisjonelt krevde erfaring, tid og tett oppfølging. Nå kan mer av dette delegeres til en modell eller agent.

For norske CIO-er og CISO-er betyr det at en AI-hendelse ikke kan vurderes som lav risiko bare fordi angriperen virker lite avansert. En svak aktør med god AI-støtte kan oppføre seg mer som en middels avansert aktør. Det gjør triage vanskeligere. Det øker også behovet for logging av hva AI-verktøy faktisk gjør, ikke bare hvem som bruker dem.

MITRE dekker ikke hele agentbildet

Anthropic og Frontier Red Team peker også på et hull i dagens rammeverk. MITRE ATT&CK beskriver mange teknikker godt, men fanger ikke alltid det som gjør AI-støttede angrep farlige: orkestrering.

I den lengre analysen skriver Anthropic at de 832 kontoene brukte AI på tvers av alle de 14 taktikkene i MITRE ATT&CK og 482 unike underteknikker. Det viser bredden. Men det forklarer ikke hele risikoen når en modell kan kjede sammen steg, velge neste handling i sanntid og kjøre med lite menneskelig input.

Selskapet viser til den statssponsede spionasjeoperasjonen det selv stanset i november 2025. Der ble Claude Code manipulert til å forsøke å infiltrere mål globalt. Mappet mot ATT&CK brukte aktøren 30 teknikker på tvers av 13 taktikker. Det lignet mange middels risikable aktører i datasettet. Anthropic vurderte likevel angrepet til maksimal risiko, fordi modellen fungerte som en autonom agent som utførte kommandoer, utnyttet sårbarheter, stjal legitimasjon og tok taktiske valg underveis.

Dette er en konkret styringsutfordring. Hvis risikomodellen bare teller teknikker, kan den undervurdere agentiske angrep. Hvis den ikke skiller mellom enkel AI-assistanse og AI-drevet orkestrering, kan beredskapen havne et steg bak.

Hva virksomheter bør gjøre nå

Dette er ikke bare en leverandørblogg om egne sikkerhetsmekanismer. Det er et datapunkt om hvordan trusselaktører endrer arbeidsmetode. Anthropic sier selv at funnene brukes til å bygge sperrer i selskapets egne modeller, blant annet mot skadevareutvikling og masseeksfiltrering. Selskapet er også i dialog med MITRE om hvordan ATT&CK kan utvikles for å beskrive AI-aktivert adferd bedre.

For ledere er den praktiske konsekvensen enkel: AI-risiko må inn i SOC, IAM, sårbarhetsstyring og hendelseshåndtering som en operativ risiko, ikke som et sideprosjekt i innovasjonsteamet.

Tre tiltak peker seg ut. For det første bør virksomheter se etter AI-orkestrering i hendelser: kjeding av kommandoer, rask bytting mellom teknikker og unormalt effektiv post-compromise-aktivitet. For det andre må leverandørkrav for AI-verktøy inkludere misbruksdeteksjon, ratebegrensning, logging og tydelige eskaleringsløp. For det tredje bør røde team og beredskapsøvelser teste scenarioer der en svak angriper får kraftig agenthjelp.

Poenget er ikke at alle AI-verktøy er farlige. Poenget er at angripere får mer operativ kapasitet per person. Det gjør tempo, deteksjon og tilgangskontroll viktigere. Det gjør også tradisjonelle modenhetssignaler mindre trygge som beslutningsgrunnlag.

For norske virksomheter med Microsoft 365, GitHub, cloudplattformer og eksterne AI-tjenester er dette særlig relevant. Angriperen trenger ikke nødvendigvis eie hele verktøykjeden. Det holder at en modell kan hjelpe med å tolke miljøet, foreslå neste steg og automatisere deler av veien fra første fotfeste til større skade.

Kilder og medier

Primærkilde: Anthropic, «What we learned mapping a year’s worth of AI-enabled cyber threats», publisert 3. juni 2026: https://www.anthropic.com/news/AI-enabled-cyber-threats-mitre-attack

Tilleggsanalyse fra Anthropic Frontier Red Team: «Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator»: https://red.anthropic.com/2026/attack-navigator/

Rammeverk: MITRE ATT&CK: https://attack.mitre.org/

Thumbnail: OpenAI Image 2 / hogby.ai