AI-agentenes ferdigheter blir ny supply-chain-risiko

AI-agentenes nye blindfelt

Palo Alto Networks Unit 42 peker på et nytt svakt punkt i enterprise-AI: tredjeparts "skills" som installeres i AI-agenter. Poenget er enkelt. En agent-skill ligner en app eller en nettleserutvidelse, men kjører ofte tettere på kode, filer, nøkler og interne systemer enn vanlige sluttbrukerapper.

I en ny analyse beskriver Unit 42 hvordan offentlige skill-registre kan bli en supply-chain-kanal for AI-agenter. Alle kan publisere en pakke. Alle kan installere den i en agent. Når pakken først er installert, kan den få tilgang til miljøvariabler, filer, shell-kommandoer og eksterne tjenester på vegne av virksomheten. Det gjør skills til en ny kontrollflate for CISO, ikke bare en utviklerdetalj.

Forskerne introduserer Behavioral Integrity Verification, forkortet BIV. Metoden sammenligner det en skill hevder å gjøre med det den faktisk gjør. Unit 42 deler atferden inn i tre flater: metadata, kjørbar kode og naturlig språk i instruksjonsfilene. Det siste er viktig. En AI-agent leser ikke bare kode. Den leser også teksten som forteller når og hvordan en skill skal brukes. Dermed kan risiko ligge både i Python, JavaScript og shell, men også i en SKILL.md-fil som instruerer agenten til å gjøre mer enn manifestet sier.

Unit 42 crawlet OpenClaw agent-skill-registeret tidlig i 2026 og kjørte BIV på 49 943 skills. Resultatet var 250 706 atferdsavvik. 80,0 prosent av skillene hadde minst ett avvik mellom deklarert og faktisk atferd. Mesteparten var ikke nødvendigvis ondsinnet. Unit 42 skriver at den største feilkilden var umoden dokumentasjon og legitime hjelpefunksjoner som ikke var godt nok beskrevet. Likevel fant forskerne en mindre, men langt farligere gruppe med sammensatte angrepskjeder.

Det er her saken blir relevant for ledere. En enkel scanner kan se en fil-lesing, en base64-operasjon og en nettverkskall hver for seg. Hver handling kan se ufarlig ut alene. I kombinasjon kan de bli en kjede for stille dataeksfiltrering. Unit 42 trekker frem fire mønstre: eksfiltreringskjeder, fjernkjøring av kode, kodeobfuskering og brudd på dataflyt.

Tallene som bør inn i risikoregisteret

Unit 42 klassifiserte 163 754 avvik etter årsak. 81,1 prosent ble knyttet til utvikleroversikt, dokumentasjonsfeil, legitim hjelpekode, ubrukte deklarasjoner eller rammeverksavhengigheter. 18,9 prosent ble klassifisert som adversarial intent. I den gruppen var data theft og espionage den største kategorien, med 60 prosent av de ondsinnede avvikene.

På skill-nivå deler Unit 42 registeret inn i tre styringsnivåer. Den øverste risikogruppen var 5,0 prosent av registeret, 2 490 skills, som bar flertrinns angrepskjeder og burde kreve obligatorisk sikkerhetsgjennomgang. En mellomgruppe på 16,8 prosent hadde enkeltstående fiendtlige avvik og burde vurderes i kontekst. Resten var i hovedsak ufarlige skills der metadata og kode ikke var godt nok synkronisert.

Dette er nyttig fordi det skiller mellom støy og styringssignal. CISO trenger ikke behandle alle avvik som alarm. Men virksomheter som lar agenter installere tredjeparts skills uten en før-installasjonskontroll tar en unødvendig risiko. Det holder ikke å spørre om pakken er populær, eller om README-en ser ryddig ut. Spørsmålet er om deklarert atferd faktisk dekker kode, instruksjoner og nettverkshandlinger.

Fra app store-logikk til agent-logikk

Sammenligningen med mobilapper og nettleserutvidelser er presis. De markedene fikk også først fart, og deretter sikkerhetskontroll. Forskjellen er at AI-agentene ofte ligger nærmere produksjonsflyten. En intern kodeagent kan ha repo-tilgang. En IT-agent kan ha tilgang til ticket-systemer, terminaler og hemmeligheter. En support-agent kan lese kundedata. En finansagent kan ha API-nøkler mot betalings- eller ERP-systemer.

En skill som er dårlig deklarert eller bevisst kamuflert kan derfor gi større skade enn en vanlig plugin. Risikoen handler ikke bare om datalekkasje. Den handler om at agenten kan bli et tillitsanker som utfører handlinger andre systemer godtar. Hvis agenten har rettigheter, kan skillen arve deler av den tilliten.

Dette treffer norske virksomheter som nå går fra pilot til produksjon med agenter. Mange har allerede etablerte rutiner for npm, PyPI, container-images og SaaS-leverandører. Færre har samme modenhet for agent-skills, MCP-servere og naturlig språk som styringsflate. Det er et hull.

Hva ledelsen bør gjøre

CIO og CISO bør behandle tredjeparts skills som software supply chain, ikke som små konfigurasjonsfiler. Første tiltak er inventar. Hvilke agenter finnes? Hvilke skills er installert? Hvem kan installere nye? Hvilke credentials kan de nå? Hvilke eksterne domener kan de kontakte?

Neste tiltak er gate før produksjon. En skill bør ikke få tilgang til hemmeligheter, filsystem eller nettverk før den er sjekket mot deklarert atferd. Det bør være en policy for hva som må deklareres: filtilgang, nettverk, prosesskjøring, miljøvariabler, credential-håndtering, encoding og instruksjoner som overstyrer agentens normale regler.

Det tredje tiltaket er blast radius. Selv en godkjent skill bør kjøre med minste privilegium. Secrets bør ikke ligge i samme runtime som vilkårlig agentgenerert kode. Nettverks-egress bør begrenses. Sessions bør logges slik at sikkerhetsteamet kan se hvilke verktøy agenten brukte og hvorfor.

Det fjerde tiltaket er leverandørkrav. Hvis en plattform tilbyr agent-skills eller agent marketplace, bør innkjøp og sikkerhet spørre om atferdsanalyse, signering, provenance, revisjonsspor, sårbarhetshåndtering og tilbakekalling. Dette må inn i kontrakten før agentene får jobbe mot kjerneprosesser.

Unit 42s funn betyr ikke at agent-skills bør forbys. Det betyr at virksomheter må slutte å behandle dem som ufarlige snarveier. En agent som kan lese filer, hente hemmeligheter og sende data ut, er en sikkerhetsaktør. Da må ferdighetene den får installert vurderes med samme alvor som andre produksjonsavhengigheter.

Kilder og medier

Primærkilde: Palo Alto Networks Unit 42, "Trust No Skill: Integrity Verification for AI Agent Supply Chains", publisert 11. juni 2026. Source URL: https://unit42.paloaltonetworks.com/ai-agent-supply-chain-risks/

Thumbnail: OpenAI Image 2 / hogby.ai