Åpne AI-modeller flytter sikkerhetsrisikoen ut av skyen

NPR beskriver en utvikling som bør lande raskt hos norske CIO-er og CISO-er: kraftige open-weight-modeller blir enklere å laste ned, kjøre lokalt og endre slik at de ikke lenger nekter skadelige forespørsler.

Dette er ikke samme risikobilde som ChatGPT, Claude eller Gemini i en administrert bedriftskonto. Der kan leverandøren i det minste legge inn nektelser, overvåke misbruk, stenge kontoer og oppdatere sikkerhetslaget sentralt. Open-weight-modeller fungerer annerledes. Når modellvektene er ute, kan de kopieres, endres og kjøres på egen maskin uten at utvikleren ser hva brukeren gjør.

NPR peker særlig på såkalt «abliteration», en metode der modellens evne til å si nei svekkes eller fjernes ved å endre vektene. Ifølge artikkelen viser Hugging Face nå over 6 000 slike «abliterated» modeller, mot rundt 600 i 2024. NPR viser også til forskning fra NCITE, et forskningskonsortium støttet av US Department of Homeland Security, og til AI-sikkerhetsselskapet Alice. Poenget er enkelt: det som tidligere krevde tung kompetanse, kan i økende grad gjøres med vanlige verktøy og moderat maskinvare.

For virksomheter er dette mer enn en diskusjon om åpen kildekode. Det flytter deler av AI-risikoen fra leverandørkontroll til lokal drift, shadow AI og endepunktsikkerhet. En ansatt, konsulent eller angriper trenger ikke nødvendigvis API-tilgang til en kommersiell modell. De kan bruke en lokal modell uten logging, uten sentral policy og uten at virksomhetens DLP- eller CASB-kontroller ser hele aktiviteten.

Det skaper tre praktiske problemer.

Det første er kontrolltap. Mange AI-policyer er skrevet for tjenester som kan blokkeres i nettleser, styres med SSO eller legges inn i en godkjent verktøyliste. Lokale modeller passer dårlig inn i den modellen. De kan ligge i utviklermiljøer, containere, private maskiner eller små interne servere. Da hjelper det lite at innkjøp har valgt én «trygg» enterprise-chatbot.

Det andre er logg- og bevisproblemet. Når en modell kjøres lokalt, finnes det ofte ingen leverandørlogg å hente ved hendelseshåndtering. Hvis modellen er brukt til phishing, sosial manipulering, skadevareanalyse, uautorisert kodegenerering eller omgåelse av interne kontroller, kan sporene være svake. CISO må derfor behandle lokal AI-kjøring som en del av endepunkt- og utviklerrisiko, ikke bare som SaaS-risiko.

Det tredje er leverandørstyring. Åpen modellbruk er ikke nødvendigvis feil. Den kan være nødvendig for personvern, kostnadskontroll, latency, forskning eller nasjonal kontroll over data. Men det krever en annen governance-modell. Virksomheten må vite hvilke modeller som er godkjent, hvor de er hentet fra, hvilke vekter som brukes, hvilke sikkerhetstester som er gjort, og hvem som får kjøre dem mot hvilke data.

NPR siterer International AI Safety Report, ledet av Yoshua Bengio og bestilt av britiske myndigheter, på at åpne modeller foreløpig ligger under ett år bak de mest avanserte lukkede modellene. Det er kort tid i et sikkerhetsbudsjett. Når de lukkede frontier-modellene blir bedre til sårbarhetsjakt og kodegenerering, vil åpne modeller følge etter. Dermed kan gapet mellom forsvar og angrep bli et spørsmål om drift, tilgang og kontroll, ikke bare modellkvalitet.

Dette betyr ikke at norske virksomheter bør forby alle open-weight-modeller. Et generelt forbud blir lett papir. Det er bedre å klassifisere bruken. Lavrisiko eksperimentering med åpne data er én ting. Lokal modellkjøring med produksjonsdata, kundedata, kildekode, sikkerhetslogger eller tilgang til interne verktøy er noe annet.

Tiltakene bør være konkrete:

• Lag en egen policy for lokale og selvhostede AI-modeller. Ikke gjem dem under generell «bruk av ChatGPT».
• Krev registrering av modeller, vekter, nedlastingskilde og formål før intern bruk med sensitive data.
• Sett tekniske sperrer på endepunkt, utviklermaskiner og containerregistre der ukjente modellvekter kan introduseres.
• Mål lokal inferens og GPU-bruk som mulig shadow-AI-signal, særlig i utviklings- og sikkerhetsmiljøer.
• Still krav til rødtesting, modellkort og sikkerhetsvurdering før åpne modeller brukes i produksjonsflyter.
• Skill mellom godkjente forsknings-/sikkerhetsmiljøer og uautorisert bruk. Begge vil finnes. Bare én av dem bør være usynlig.

Styrepoenget er at AI-risiko ikke lenger kan avgrenses til kontrakter med de store modellhusene. Leverandørens guardrails hjelper lite når modellen er kopiert, endret og kjørt utenfor leverandørens kontroll.

For CIO betyr det at AI-plattformstrategien må dekke både sky, SaaS og lokal modellkjøring. For CISO betyr det at AI må inn i endepunktkontroll, utviklerplattform, trusselmodellering og hendelsesrespons. For styret betyr det at spørsmålet ikke bare er «hvilken AI bruker vi?», men også «hvilken AI kan brukes hos oss uten at vi vet det?».

Kilder og medier

Primærkilde/top-tier kilde: NPR, «These AI models are free, private, and will never say 'no'», publisert 31. mai 2026: https://www.npr.org/2026/05/31/nx-s1-5816391/ai-safety-concerns-danger-open-weight-models-risks

Kildekreditering: NPR, NCITE, Alice og International AI Safety Report er omtalt som kildegrunnlag i artikkelen.

Thumbnail: OpenAI Image 2 / hogby.ai