Security

Threat modeling til generativ og agentic AI

3 min læsning

Resumé

Microsoft fremhæver, at threat modeling for generativ og agentic AI kræver en ny tilgang, fordi disse systemer er nondeterministiske, lette at påvirke via instruktioner og kan udvide deres rækkevidde gennem værktøjer, hukommelse og autonome workflows. Det er vigtigt, fordi kendte sikkerhedsrisici dermed får nye former – som prompt injection, misbrug af værktøjer og privilege escalation – som kan få større konsekvenser end i traditionel software.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor dette er vigtigt

Threat modeling hjælper teams med tidligt at identificere, hvad der kan gå galt – før fejl i den virkelige verden eller adversarial exploits opstår. Microsoft bemærker, at AI-applikationer (især generative og agentic systemer) bryder med mange antagelser i traditionel, deterministisk software, så sikkerhedsteams skal tilpasse deres tilgang til threat modeling for at tage højde for probabilistiske outputs, udvidede attack surfaces og menneskecentreret skade.

Hvad er nyt: sådan ændrer AI trusselslandskabet

Microsoft fremhæver tre karakteristika, der grundlæggende ændrer threat modeling for AI:

  • Nondeterminisme: det samme input kan give forskellige outputs på tværs af kørseler, hvilket kræver analyse af spændet i sandsynlig adfærd – herunder sjældne, men højkonsekvente udfald.
  • Bias mod at følge instruktioner: modeller er optimeret til at være hjælpsomme, hvilket gør dem mere modtagelige for prompt injection, tvang og manipulation – især når data og instruktioner deler samme inputkanal.
  • Systemudvidelse via værktøjer og hukommelse: agentic systemer kan kalde API’er, bevare state og udløse workflows autonomt. Når noget går galt, kan fejl hurtigt forstærkes på tværs af komponenter.

Disse egenskaber omformer velkendte risici til nye former, herunder:

  • Direkte og indirekte prompt injection (herunder via eksternt indhold, som modellen henter)
  • Misbrug af værktøjer og privilege escalation gennem chaining
  • Stille dataexfiltration (outputs eller tool calls, der lækker følsomme oplysninger)
  • Selvsikkert forkerte outputs, der behandles som fakta
  • Menneskecentrerede skader såsom nedbrydning af tillid, overafhængighed, forstærkning af bias og overbevisende misinformation

Trusselsmodel ud fra aktiver, ikke angreb

En central anbefaling er at starte med eksplicit at definere, hvad du beskytter – fordi AI-aktiver rækker ud over databaser og legitimationsoplysninger. Almindelige AI-specifikke aktiver omfatter:

  • Brugersikkerhed (især når AI-vejledning påvirker handlinger)
  • Brugertillid til outputs og adfærd
  • Privatliv/sikkerhed for følsomme virksomheds- og brugerdata
  • Integritet af prompts, instruktioner og kontekstuelle data
  • Integritet af agenthandlinger og downstream-effekter

Denne asset-first-tilgang tvinger også policy-beslutninger tidligt: Hvilke handlinger må systemet aldrig udføre? Nogle udfald kan være uacceptable uanset fordel.

Modellér det system, du faktisk har bygget

Microsoft understreger, at AI threat modeling skal afspejle reel drift, ikke idealiserede diagrammer. Vær særligt opmærksom på:

  • Hvordan brugere faktisk interagerer med systemet
  • Hvordan prompts, hukommelse og kontekst sammensættes og transformeres
  • Hvilke eksterne kilder der indtages, og hvilke tillidsantagelser der findes
  • Hvilke værktøjer/API’er systemet kan kalde (og under hvilke tilladelser)
  • Om handlinger er reaktive eller autonome, og hvor menneskelig godkendelse håndhæves

I AI-systemer bliver prompt assembly pipeline en førsteklasses sikkerhedsgrænse – konteksthentning, transformation, persistens og genbrug er steder, hvor “stille” tillidsantagelser akkumuleres.

Betydning for IT-administratorer og platformsejere

For administratorer, der implementerer AI-løsninger (tilpassede apps, Copilots eller agentic workflows), understreger denne vejledning, at kontroller skal dække:

  • Hele data-to-prompt-to-action-forløbet (ikke kun modelhosting)
  • Tilladelser og guardrails for tool access og downstream-automatiseringer
  • Driftsmæssig overvågning for uventede outputs, usædvanlige tool calls og exfiltration patterns

Handlingspunkter / næste skridt

  • Kortlæg AI-aktiver: medtag tillid, sikkerhed og integritet for instruktioner/kontekst.
  • Kortlæg prompt-pipelinen fra ende til anden: kilder, hentning, transformation, hukommelse og genbrug.
  • Begræns værktøjstilladelser og kræv menneskelig godkendelse for handlinger med stor effekt.
  • Test for injection og misbrug: medtag indirekte prompt injection via hentet indhold.
  • Planlæg for uheld: afbød overafhængighed med UX-signaler, valideringstrin og eskaleringsveje.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Scott Christiansen, Alyssa Ofstein and Neil Coles
AI securitythreat modelingprompt injectionagentic AIrisk management

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.