AI-TRUSLER · 5 MIN. LÆSNING

Prompt injection: Sårbarheden jeres AI ikke fortæller om

Når jeres Copilot læser en mail med skjulte instruktioner, kan den udføre handlinger I ikke har bedt om. En teknisk gennemgang for IT-ansvarlige.

I sommeren 2025 opdagede forskere noget bekymrende ved Microsofts AI-assistent Copilot. En helt almindelig mail, sendt udefra, kunne indeholde skjulte instruktioner. Ikke til modtageren, men til AI'en. Når Copilot læste mailen som en del af sit arbejde, adlød den instruktionerne og kunne sende fortrolige data ud af huset. Ingen klikkede på noget. Sårbarheden fik navnet EchoLeak.

Kort svar: Prompt injection er en angrebsmetode hvor skjulte instruktioner gemmes i indhold som en AI-assistent læser, for eksempel en e-mail eller et dokument. AI'en kan ikke skelne mellem data og kommandoer, så den adlyder instruktionerne. EchoLeak-sårbarheden i Microsoft Copilot (CVE-2025-32711, kritisk med score 9,3) viste hvordan én mail kunne få Copilot til at lække fortrolige data uden et eneste klik.

Hvad er prompt injection?

En AI-assistent læser tekst og handler på den. Problemet er at den ikke pålideligt kan skelne mellem "tekst jeg skal arbejde med" og "ordrer jeg skal følge". Hvis en angriber gemmer en instruktion i en mail eller et dokument, kan AI'en komme til at følge den, selvom det aldrig var meningen.

EchoLeak-sagen

EchoLeak (CVE-2025-32711) var den første dokumenterede sag hvor prompt injection blev brugt til reel datatyveri i et produktivt AI-system. Den blev vurderet som kritisk med en CVSS-score på 9,3, blandt andet fordi den var "zero-click": offeret skulle bare modtage en mail, ikke åbne eller klikke på noget. Microsoft lukkede hullet, men metoden gælder for enhver AI-assistent med adgang til interne data.

9,3
CVSS-scoren for EchoLeak. Tæt på det maksimale, fordi angrebet krævede nul handling fra offeret.

Hvorfor det rammer jer

Fordi flere og flere virksomheder kobler AI-assistenter til deres mails, dokumenter og chat. Jo mere AI'en har adgang til, jo mere kan en vellykket prompt injection lække. Og det er ikke en fejl i ét produkt. Det er en grundlæggende egenskab ved den måde sprogmodeller fungerer på.

AI'en kan ikke høre forskel på en opgave og en ordre.

Hvad skal I gøre?

  1. Begræns hvad jeres AI har adgang til. Kun de mailbokse, mapper og kanaler der er nødvendige. Mindre adgang, mindre skade.
  2. Behandl alt eksternt indhold som potentielt fjendtligt. Også en harmløs mail kan bære skjulte instruktioner.
  3. Hold AI-værktøjer opdateret. Leverandører lapper løbende den slags huller.
  4. Hav overblik over hvilke AI-værktøjer der bruges. Også dem medarbejderne selv har taget i brug.

Hvad vi gør hos os

Vi hjælper jer med at få overblik over hvilke AI-værktøjer der har adgang til hvilke data, og med at stramme den adgang ind. Prompt injection bliver kun farlig når AI'en har bred adgang. Med styr på adgangen begrænser I skaden, også når den næste sårbarhed dukker op.

Ofte stillede spørgsmål

Hvad er prompt injection?

En angrebsmetode hvor skjulte instruktioner gemmes i indhold som en AI-assistent læser. AI'en kan ikke skelne data fra kommandoer og adlyder instruktionerne.

Hvad var EchoLeak?

En kritisk sårbarhed i Microsoft Copilot (CVE-2025-32711, score 9,3) hvor en enkelt mail med skjulte instruktioner kunne få Copilot til at lække fortrolige data uden et klik.

Er det kun et problem i Microsoft Copilot?

Nej. Prompt injection er en grundlæggende egenskab ved sprogmodeller og gælder enhver AI-assistent med adgang til interne data.

Hvordan beskytter vi os?

Begræns AI'ens adgang til kun det nødvendige, behandl alt eksternt indhold som potentielt fjendtligt, og hold værktøjerne opdateret.

HAR I SPØRGSMÅL?

Vi tager gerne en uforpligtende snak.