Regeln bröts aldrig

Den 30 juni 2026 publicerade Microsofts säkerhetsteam en varning om de verktyg som dina AI-agenter ansluter till. Problemet är inte ett virus eller en olagad brist. Det är den korta, klarspråkliga beskrivning som följer med varje verktyg för att tala om för agenten vad verktyget gör och när det ska användas. En agent läser den texten och litar på den. Om en angripare ändrar den så följer agenten ändringen.

Microsofts exempel är avsiktligt vardagligt. En finansagent ombeds att samla in de senaste trettio obetalda fakturorna och skicka dem till en server. Varje enskilt steg ser legitimt ut, så ingenting utlöser ett larm. Agenten är inte hackad. Den är instruerad, på en plats som ingen tänkte på att vakta.

Det har redan hänt

Det här är inget laboratoriescenario. I september 2025 hittade forskare ett npm-paket vid namn postmark-mcp som hade speglat ett legitimt e-postverktyg genom femton rena släppningar. Version 1.0.16 smög in en enda rad som i hemlighet kopierade varje e-post som agenten skickade till en extern adress. Team som hade godkänt verktyget månader tidigare exponerades i samma ögonblick som de uppdaterade.

Anledningen till att den här typen av attack fortsätter att fungera är att de flesta kontroller bevakar modellen, inte verktygslådan. Ett promptfilter läser vad användaren skriver. Det läser inte om beskrivningen av ett verktyg som agenten har litat på i sex månader, vilket är precis där instruktionen nu gömmer sig.

Behandla dina verktyg som en leveranskedja

Microsofts egen vägledning är rätt ram för en ägare. Varje anslutet verktyg är en del av din leveranskedja. För en lista över godkända verktygsutgivare, slå av tillat allt och lat varje agent bara använda de specifika verktyg den behöver. Behandla ett verktygs beskrivning som en systemprompt, granska varje ändring av den på samma sätt som du skulle granska en kodändring och flagga kommandon som inte har något att göra i ett hjälpfält.

Inget av detta kräver en ny produkt. Det kräver att du vet vad dina agenter är anslutna till, vem som skrev det och vad som ändrats sedan du godkände det. De flesta företag som rullar ut agenter inom ekonomi, inköp och support kan inte svara på de tre frågorna idag, vilket är den verkliga exponeringen.