Reglen blev aldrig brudt

Den 30. juni 2026 offentliggjorde Microsofts sikkerhedsteam en advarsel om de værktøjer, dine AI-agenter kobler sig til. Problemet er ikke en virus eller en ulappet fejl. Det er den korte beskrivelse i almindeligt sprog, der følger med hvert værktøj for at fortælle agenten, hvad værktøjet gør, og hvornår det skal bruges. En agent læser den tekst og stoler på den. Hvis en angriber redigerer den, følger agenten redigeringen.

Microsofts eksempel er bevidst hverdagsagtigt. En finansagent bliver bedt om at samle de sidste tredive ubetalte fakturaer og sende dem til en server. Hvert enkelt skridt ser legitimt ud, så intet udløser en alarm. Agenten er ikke hacket. Den er instrueret, et sted ingen tænkte på at beskytte.

Det er allerede sket

Dette er ikke et laboratoriescenarie. I september 2025 fandt forskere en npm-pakke ved navn postmark-mcp, der havde spejlet et legitimt e-mailværktøj gennem femten rene udgivelser. Version 1.0.16 indførte en enkelt linje, der i det skjulte kopierede hver e-mail, agenten sendte, til en ekstern adresse. Teams, der havde godkendt værktøjet måneder tidligere, blev udsat i det øjeblik, de opdaterede.

Grunden til, at denne slags angreb bliver ved med at virke, er, at de fleste kontroller overvåger modellen, ikke værktøjskassen. Et promptfilter læser, hvad brugeren skriver. Det genlæser ikke beskrivelsen af et værktøj, agenten har stolet på i seks måneder, hvilket er præcis, hvor instruktionen nu gemmer sig.

Behandl dine værktøjer som en forsyningskæde

Microsofts egen vejledning er den rette ramme for en ejer. Hvert tilkoblet værktøj er en del af din forsyningskæde. Før en liste over godkendte værktøjsudgivere, sluk for tillad alt, og lad hver agent kun bruge de specifikke værktøjer, den har brug for. Behandl et værktøjs beskrivelse som en systemprompt, gennemgå enhver ændring af den, som du ville gennemgå en kodeændring, og marker kommandoer, der ikke har noget at gøre i et hjælpefelt.

Intet af det kræver et nyt produkt. Det kræver, at du ved, hvad dine agenter er koblet til, hvem der skrev det, og hvad der er ændret, siden du godkendte det. De fleste virksomheder, der ruller agenter ud inden for finans, indkøb og support, kan ikke besvare de tre spørgsmål i dag, og deri ligger den reelle eksponering.