Förgiftad AI: Säkerhetsproblem som inte syns i loggen
De flesta företag som infört AI-verktyg tänker på säkerhetsrisker som krypterade filer och obehöriga intrång. Färre har funderat på vad som händer när AI-systemet ger fel svar, utan att ett enda larm utlöses. Det fenomenet kallas AI-dataförgiftning. Och det vanligaste problemet är inte en sofistikerad angripare. Det är er egna data.
Vad är AI-dataförgiftning?
När ni kopplar ett AI-verktyg till er verksamhetsdata, oavsett om det är en Copilot-integration, ett beslutsstödssystem eller en kundtjänstbot, lär sig systemet av den informationen. Om informationen är gammal, inkonsekvent eller manipulerad lär sig systemet det. Det producerar sedan svar som låter rimliga men bygger på felaktiga antaganden.
Inga filer är krypterade och inga larm utlösta Systemet verkar fungera normalt men grunderna för dess beslut är rubbade.
Det kan röra sig om ett inköpssystem som rekommenderar fel leverantör för att den interna prislistan är tre år gammal. En kundtjänstbot som ger felaktig information för att manualen beskriver en produktversion som inte längre säljs. Ett beslutsunderlag som bygger på motstridiga siffror från tre avdelningar som aldrig synkroniserats.
Problemet börjar ofta med er egna data
Forskning publicerad 2025 av Anthropic, UK AI Security Institute och Alan Turing Institute visar att så få som 250 skadligt utformade dokument räcker för att korrumpera en AI-modell av valfri storlek [1]. Angripare behöver inte komma åt modellen direkt. Det räcker med att påverka de datakällor modellen läser av.
För de AI-verktyg de flesta företag faktiskt driftsätter, kopplade mot interna kunskapsbaser och dokumentarkiv snarare än tränade från grunden, är siffran ännu lägre. Forskning presenterad visar att fem skadligt utformade dokument räcker för att förvränga ett sådant systems svar med 97 procents träffsäkerhet, även om systemet i övrigt bygger på miljontals rena dokument.
Men Rob T. Lee, som är AI-chef vid SANS Institute lyfter fram att det mest akuta problemet för de flesta organisationer är den egna datastrukturen snarare än externa angripare. [2]:
”De försöker använda datakällor från hela organisationen som finns på 13 olika platser. Data är inte synkroniserade; man har ingen ren referenspunkt.”
HR-system med inaktuella roller. SharePoint-mappar ingen äger. Gamla manualer som aldrig tagits bort. E-postarkiv från fem år tillbaka. Allt det är potentiell källa för ett AI-system, och kvaliteten på systemets svar är direkt beroende av kvaliteten på det det matas med.
Det behövs ingen angripare. Er egna data räcker.
Varför det är svårt att se
En traditionell cyberattack märks. Filer krypteras, system stannar, larm utlöses.
AI-förgiftning ser annorlunda ut. Systemet svarar. Det gör sitt jobb. Problemet är gradvist: svaren är lite fel, rekommendationerna lite skeva, besluten lite sämre underbyggda. Utan aktiv uppföljning märks det inte förrän skadan redan är gjord.
Adam Meyers, chef för motåtgärder vid CrowdStrike, liknar det vid ett dolt rörläckage [2]: ”Om du hade en läcka i ditt hus och den kom ut i källaren, i garderoben, i badrummet och i sovrummet, skulle du anta att du har 12 läckor. Men det kan finnas ett enda rör som orsakar alla dessa läckor.”
I februari 2026 tog en autonom AI-agent sig in i McKinseys interna AI-plattform Lilli och fick tillgång till miljontals konversationer och dokument [3]. Det som väckte mest uppmärksamhet bland säkerhetsexperter var inte datatillgången i sig, utan att angriparen även hade skrivaccess till de 95 systemprompts som styr hur Lilli beter sig för konsulter i hela organisationen. Wharton School sammanfattade det på följande sätt: hade attacken varit illvillig i stället för ett forskartest, hade en angripare kunnat förgifta systemets svar i hela företaget utan att ändra en enda rad kod. McKinsey uppger att inga klientdata exponerades.
För ett medelstort bolag kan konsekvenserna vara ekonomiska, juridiska eller strategiska, beroende på vilka beslut AI-systemet är kopplat till.
Tre frågor ni bör kunna svara på
Ni behöver inte lösa allt på en gång. Börja med att kontrollera att ni kan besvara dessa tre:
- Vad lär sig ert AI-verktyg av? Vilka datakällor är kopplade till de system ni använder? Är de aktuella? Vem är ansvarig för att hålla dem uppdaterade? Om ingen har svaret är det en risk.
- Hur gammal är er data? En SharePoint-mapp som senast uppdaterades 2022 är en dålig källa för ett system som ska ge råd om er nuvarande verksamhet. Gå igenom de datakällor som är kopplade till era AI-verktyg och sätt tydliga ägarskap.
- Hur följer ni upp kvaliteten? De flesta bolag testar AI-verktyg vid lansering men har ingen process för att kontrollera om svaren fortfarande stämmer sex månader senare. En enkel rutin för regelbunden kontroll räcker långt.
Styrning av AI-data är till stor del en fråga om grundläggande ordning i informationshanteringen. Det är ett arbete som kan bedrivas utan stora IT-projekt och utan djup teknisk kompetens.
Vår roll
Vi hjälper er att kartlägga vilka AI-verktyg som används i er organisation och vilka datakällor de läser av. Vi bedömer kvaliteten på dessa källor och identifierar var riskerna är störst. Vi hjälper er att sätta upp ett tydligt ägarskap och en rutin för att hålla era AI-kopplade data aktuella.
Arbetet sker i nära samarbete med er, utan stora investeringar och utan att avvakta ett IT-projekt.
Om ni vill veta mer är ni välkomna att höra av er.
Källor
[1] Anthropic, UK AI Security Institute & Alan Turing Institute, A small number of samples can poison LLMs of any size, oktober 2025. https://www.anthropic.com/research/small-samples-poison
[2] Cynthia Brumfield, Är ditt företags AI förgiftad?, Computer Sweden, 11 maj 2026. https://computersweden.se/article/4168755/den-forvrangda-sanningen-det-dolda-sakerhetshotet-inom-foretags-ai.html
[3] Jon Iwry, Wharton Accountable AI Lab, Two Early 2026 AI Exposures: Lessons for the Future of AI and Data Governance, 14 april 2026. https://ai-analytics.wharton.upenn.edu/wharton-accountable-ai-lab/two-early-2026-ai-exposures-lessons-for-the-future-of-ai-and-data-governance/
