Google vil måle risikoen når AI-agenter møter hverandre

Google DeepMind setter penger bak et problem mange virksomheter snart må håndtere: Hva skjer når mange AI-agenter, laget av ulike aktører, begynner å forhandle, handle og koordinere med hverandre på åpne digitale flater?

Selskapet annonserte 11. juni en felles utlysning på inntil 10 millioner dollar sammen med Schmidt Sciences, Cooperative AI Foundation, ARIA og Google.org. Målet er å bygge et forskningsfelt for sikkerhet i store multi-agent-systemer. Det høres akademisk ut. For ledere er det ganske praktisk. Agentene er på vei ut av demoene og inn i innkjøp, kundedialog, utvikling, drift, sikkerhet og økonomiprosesser. Når de begynner å snakke med hverandre, blir risikoen ikke bare summen av hvert enkelt verktøy. Den blir et systemproblem.

DeepMind peker på at dagens sikkerhetstester i stor grad ser på modeller og agenter isolert. Det holder dårlig når agentene skal operere i nettverk. En agent kan ha begrensede rettigheter alene, men kan likevel påvirke andre agenter, utløse kjeder av beslutninger eller bidra til handlinger ingen enkelt eier egentlig forutså. Det er dette Google nå vil ha mer uavhengig forskning på.

Utlysningen ber forskere jobbe med fire områder: realistiske testmiljøer, vitenskapen om agentnettverk, tryggere agentinfrastruktur og metoder for overvåking og kontroll. I praksis betyr det testbenker for virtuelle markeder og arbeidsflyter på tvers av organisasjoner, forskning på hvordan agentpopulasjoner feiler, mekanismer for identitet og omdømme mellom agenter, og verktøy for å oppdage skadelige mønstre når systemene allerede er i drift.

Fra modellrisiko til nettverksrisiko

Dette er et skifte i hvordan AI-risiko bør forstås. De siste årene har mye av styringen handlet om datasett, modellkort, tilgangsstyring, logging og policy for enkeltmodeller. Det er fortsatt nødvendig. Men agentbruk flytter tyngdepunktet mot prosess og samspill.

En AI-agent kan lese e-post, slå opp i CRM, starte en bestilling, skrive kode, åpne en supportsak eller sende en forespørsel til en leverandør. En annen agent kan svare. En tredje kan validere eller eskalere. Hver handling kan se rimelig ut lokalt, mens helheten blir feil. Det kan gi unødig handel, feilprioritering av saker, uønsket deling av informasjon, prissignaler som forsterker hverandre, eller nye typer sosial manipulering mellom systemer.

For CIO og CISO er nøkkelpoenget enkelt: agentkontroll kan ikke bare være en tillatelsesliste for hvert verktøy. Virksomheten må også forstå hvilke agent-til-agent-relasjoner som finnes, hvilke handlinger som kan kjedes sammen, og hvor menneskelig godkjenning fortsatt skal bryte flyten.

Hvorfor dette treffer norske virksomheter

Norske selskaper kommer neppe til å bygge egne globale agentnettverk først. De kommer til å kjøpe dem inn gjennom Microsoft, Google, OpenAI, AWS, Salesforce, ServiceNow, Atlassian, GitHub, regnskapsplattformer og bransjesystemer. Da flytter risikoen inn via leverandørporteføljen.

En intern salgsagent kan snart møte kundens innkjøpsagent. En kodeagent kan be en sikkerhetsagent om godkjenning. En økonomiagent kan snakke med bank- eller betalingsagenten. En HR-agent kan hente data fra flere SaaS-systemer. Alle disse flytene krever mer enn klassisk API-styring. De krever sporbar intensjon, tydelig ansvar og grenser for hva agenter kan love, kjøpe, endre eller dele på vegne av virksomheten.

Det bør få konsekvenser for anskaffelser allerede nå. Leverandører som selger agentfunksjoner bør kunne forklare hvordan agentidentitet håndteres, hvordan handlinger logges, hvordan agenter autoriseres mot hverandre, og hvordan kunden kan stoppe eller rulle tilbake kjeder av handlinger. Hvis svaret bare er at modellen er trygg, er svaret for tynt.

Fire spørsmål styret bør stille

Det første spørsmålet er hvor agentene faktisk får lov til å handle. Lesetilgang er én ting. Skrivetilgang, betaling, kodeendringer og kundekommunikasjon er noe annet.

Det andre er hvem agenten representerer. En agent som opptrer på vegne av en ansatt, en avdeling eller et selskap må ha en tydelig identitet i logger, godkjenningsflyt og avvikshåndtering.

Det tredje er hvilke andre agenter den kan samhandle med. Agent-til-agent-trafikk bør ikke bare forsvinne inn i generelle API-kall. Den må kunne kartlegges og begrenses.

Det fjerde er hvordan virksomheten oppdager kollektiv feiladferd. En enkelt transaksjon kan være innenfor policy. Tusen slike transaksjoner på kort tid kan være et faresignal. Det samme gjelder agenter som begynner å optimalisere mot hverandres svake punkter.

Ikke vent på standardene

DeepMinds utlysning er et tegn på at de store aktørene selv mener forskningen ligger bak produktutviklingen. Det betyr ikke at virksomheter skal stoppe agentprosjekter. Det betyr at de bør bygges som kontrollerte systemer fra start.

Start med smale domener. Skill mellom rådgivende agenter og handlende agenter. Logg hele handlingskjeden, ikke bare sluttresultatet. Bruk eksplisitte grenser for økonomiske, juridiske og sikkerhetsmessige konsekvenser. Krev at leverandørene støtter revisjon av agentbeslutninger. Og ikke la agent-til-agent-integrasjoner vokse organisk uten arkitekturansvar.

Dette blir ikke bare et AI-spørsmål. Det blir en del av internkontroll, cybersikkerhet, innkjøp og operasjonell risiko. Google DeepMinds utlysning setter navn på problemet før det blir en vanlig revisjonsmerknad: Når mange agenter begynner å jobbe sammen, må noen eie sikkerheten i relasjonene mellom dem.

Kilder og medier

Primærkilde: Google DeepMind, "Investing in multi-agent AI safety research", https://deepmind.google/blog/investing-in-multi-agent-ai-safety-research/

Supplerende kilde: Schmidt Sciences, "Scaling AI Safety for a Multi-Agent World", https://www.schmidtsciences.org/multi-agent-ai/

Supplerende omtale: MIT Technology Review, "Google DeepMind is worried about what happens when millions of agents start to interact", https://www.technologyreview.com/2026/06/11/1138794/google-deepmind-is-worried-about-what-happens-when-millions-of-agents-start-to-interact/

Thumbnail: OpenAI Image 2 / hogby.ai