AI-TRUSLER · 5 MIN. LÆSNING
Prompt injection: Sårbarheden jeres AI ikke fortæller om
Når jeres Copilot læser en mail med skjulte instruktioner, kan den udføre handlinger I ikke har bedt om. En teknisk gennemgang for IT-ansvarlige.
I sommeren 2025 opdagede forskere noget bekymrende ved Microsofts AI-assistent Copilot. En helt almindelig mail, sendt udefra, kunne indeholde skjulte instruktioner. Ikke til modtageren, men til AI'en. Når Copilot læste mailen som en del af sit arbejde, adlød den instruktionerne og kunne sende fortrolige data ud af huset. Ingen klikkede på noget. Sårbarheden fik navnet EchoLeak.
Kort svar: Prompt injection er en angrebsmetode hvor skjulte instruktioner gemmes i indhold som en AI-assistent læser, for eksempel en e-mail eller et dokument. AI'en kan ikke skelne mellem data og kommandoer, så den adlyder instruktionerne. EchoLeak-sårbarheden i Microsoft Copilot (CVE-2025-32711, kritisk med score 9,3) viste hvordan én mail kunne få Copilot til at lække fortrolige data uden et eneste klik.
Hvad er prompt injection?
En AI-assistent læser tekst og handler på den. Problemet er at den ikke pålideligt kan skelne mellem "tekst jeg skal arbejde med" og "ordrer jeg skal følge". Hvis en angriber gemmer en instruktion i en mail eller et dokument, kan AI'en komme til at følge den, selvom det aldrig var meningen.
EchoLeak-sagen
EchoLeak (CVE-2025-32711) var den første dokumenterede sag hvor prompt injection blev brugt til reel datatyveri i et produktivt AI-system. Den blev vurderet som kritisk med en CVSS-score på 9,3, blandt andet fordi den var "zero-click": offeret skulle bare modtage en mail, ikke åbne eller klikke på noget. Microsoft lukkede hullet, men metoden gælder for enhver AI-assistent med adgang til interne data.
Hvorfor det rammer jer
Fordi flere og flere virksomheder kobler AI-assistenter til deres mails, dokumenter og chat. Jo mere AI'en har adgang til, jo mere kan en vellykket prompt injection lække. Og det er ikke en fejl i ét produkt. Det er en grundlæggende egenskab ved den måde sprogmodeller fungerer på.
Hvad skal I gøre?
- Begræns hvad jeres AI har adgang til. Kun de mailbokse, mapper og kanaler der er nødvendige. Mindre adgang, mindre skade.
- Behandl alt eksternt indhold som potentielt fjendtligt. Også en harmløs mail kan bære skjulte instruktioner.
- Hold AI-værktøjer opdateret. Leverandører lapper løbende den slags huller.
- Hav overblik over hvilke AI-værktøjer der bruges. Også dem medarbejderne selv har taget i brug.
Hvad vi gør hos os
Vi hjælper jer med at få overblik over hvilke AI-værktøjer der har adgang til hvilke data, og med at stramme den adgang ind. Prompt injection bliver kun farlig når AI'en har bred adgang. Med styr på adgangen begrænser I skaden, også når den næste sårbarhed dukker op.
Ofte stillede spørgsmål
Hvad er prompt injection?
En angrebsmetode hvor skjulte instruktioner gemmes i indhold som en AI-assistent læser. AI'en kan ikke skelne data fra kommandoer og adlyder instruktionerne.
Hvad var EchoLeak?
En kritisk sårbarhed i Microsoft Copilot (CVE-2025-32711, score 9,3) hvor en enkelt mail med skjulte instruktioner kunne få Copilot til at lække fortrolige data uden et klik.
Er det kun et problem i Microsoft Copilot?
Nej. Prompt injection er en grundlæggende egenskab ved sprogmodeller og gælder enhver AI-assistent med adgang til interne data.
Hvordan beskytter vi os?
Begræns AI'ens adgang til kun det nødvendige, behandl alt eksternt indhold som potentielt fjendtligt, og hold værktøjerne opdateret.