NIST: AI-sikkerhet må overvåkes kontinuerlig

USAs National Institute of Standards and Technology, NIST, skjerper budskapet om AI-sikkerhet. I en ny omtale av en fagfellevurdert artikkel i IEEE Security & Privacy argumenterer NIST-forsker Apostol Vassilev for at AI-systemer ikke kan sikres ferdig én gang for alle.

Poenget er ikke at dagens modeller er dårlig satt opp. Poenget er mer grunnleggende. Ifølge Vassilev finnes det ikke et endelig sett med regler, filtre eller guardrails som kan være universelt robust mot alle fiendtlige promptangrep. Angriperen trenger bare å finne én vei rundt reglene.

NIST kobler resonnementet til Kurt Gödels ufullstendighetsteoremer. Det høres akademisk ut, men konsekvensen er praktisk: Hvis virksomheten behandler AI-kontroller som en policy som kan godkjennes, dokumenteres og legges i skuffen, bygger den på feil sikkerhetsmodell.

AI må behandles mer som et levende angrepsfelt enn som tradisjonell programvare med en ferdig patch-syklus. Det treffer særlig selskaper som nå kobler språkmodeller til interne data, kundedialog, kode, saksbehandling, analyse og automatiserte arbeidsflyter. Når modellen får tilgang til verktøy, dokumenter og beslutningsstøtte, blir prompten en ny inngang til virksomhetens kontrollflate.

NIST peker på tre tiltak som bør ligge i driftsmodellen. Først kontinuerlig red teaming for å finne nye angrepsmåter før angripere gjør det. Deretter løpende oppdatering av guardrails når nye svakheter oppdages. Til slutt operasjonell motstandskraft: begrens skade, oppdag avvik raskt og kom tilbake i normal drift når et angrep lykkes.

Det er et annet språk enn mye av leverandørmarkedet bruker. Mange AI-prosjekter selges fortsatt inn med formuleringer om sikre sandkasser, policy-motorer og innebygde sikkerhetslag. De kan være nødvendige. De er bare ikke nok. NISTs budskap er at sikkerheten må være en kontinuerlig prosess, ikke en produktfunksjon.

For CIO-er og CISO-er betyr det at AI-governance må flyttes tettere på drift. Risikoregister, modellkort og juridiske vurderinger holder ikke alene hvis modellen endres, promptmønstre endres og bruken endres fra uke til uke. Kontrollene må måles i produksjon. Logging, evaluer, hendelseshåndtering og endringsstyring blir like viktige som selve modellvalget.

Dette er også en innkjøpssak. Når virksomheter kjøper AI-tjenester, bør de ikke bare spørre om leverandøren har guardrails. De bør spørre hvordan leverandøren tester dem, hvor raskt nye svakheter patches, hvilke hendelser kunden varsles om, om kunden får egne logger, og hvordan verktøytilgang begrenses når modellen brukes av agenter.

NISTs formulering om at målet er å gjøre angrep økonomisk lite attraktive er nøktern. Full immunitet finnes ikke. En bedre ambisjon er å presse angriperens kostnad opp, redusere konsekvensen når noe glipper, og ha rutiner som faktisk øves. Det ligner mer på moderne cybersikkerhet enn på klassisk compliance.

Det er særlig viktig for agentprosjekter. En chatbot som svarer feil er et omdømmeproblem. En agent som tolker et dokument, kaller et API, endrer en kundesak eller foreslår kode i en produksjonsflyt kan bli et sikkerhetsproblem. Da holder det ikke å vise til at modellen normalt nekter skadelige forespørsler. Spørsmålet er hva som skjer når den ikke gjør det.

NIST-artikkelen gir ikke angripere en oppskrift. Den gir ledere et styringspunkt. AI-sikkerhet må budsjetteres som en løpende funksjon. Den må ha eiere, måledata og hendelsesløp. Den må inn i leverandørkrav og intern revisjon. Og den må ta høyde for at neste jailbreak ikke nødvendigvis ligner på det forrige.

Den praktiske konsekvensen for norske virksomheter er enkel: Ikke godkjenn AI-løsninger som om de er ferdig sikret ved lansering. Krev kontinuerlig testing, begrensede tilganger, sporbarhet og en plan for hva som skjer når guardrails feiler. Det er kjedeligere enn en blank sikkerhetsgaranti. Det er også langt nærmere virkeligheten.

Kilder og medier

• Primærkilde: NIST, "NIST Mathematical Proof Supports Transition to a Continuous-Monitor-and-Update Security Model for AI Systems": https://www.nist.gov/news-events/news/2026/06/nist-mathematical-proof-supports-transition-continuous-monitor-and-update
• Fagartikkel: Apostol Vassilev, "Robust AI Security and Alignment: A Sisyphean Endeavor?", IEEE Security & Privacy, DOI: https://doi.org/10.1109/MSEC.2026.3678214
• Thumbnail: OpenAI Image 2 / hogby.ai