← Tilbage til oversigten

KI-coding-værktøjer som angrebsvej: Derfor bliver udviklingsmiljøer den nye cyberfront

Dr. Maik Bunzel
Dr. Maik Bunzel
03.07.2026 · 7 min. læsetid
KI-coding-værktøjer som angrebsvej: Derfor bliver udviklingsmiljøer den nye cyberfront

Når assistenten bliver angriberen: Det nye trusselsbillede for KI-udviklingsværktøjer

Softwareudvikling har ændret sig fundamentalt de seneste to år. KI-drevne programmeringsassistenter som Cursor, Claude Code eller GitHub Copilot er langt fra nicheprodukte mere – de er en del af hverdagen for udviklingsteams i virksomheder af alle størrelser. Men med den hastige udbredelse af disse værktøjer vokser en angrebsflade, der i stigende grad bekymrer sikkerhedsforskere: Angribere kaprer KI-miljøer, stjæler adgangsoplysninger og indsmugler skadelig kode – til tider helt uden brugerinteraktion.

Flere sikkerhedsforskningsteams har i de seneste uger uafhængigt af hinanden dokumenteret alvorlige sårbarheder i udbredte KI-Coding-værktøjer. Det billede, der tegner sig, er alarmerende for virksomheder, der satser på KI-drevet udvikling.

GuardFall og Agentjacking: Ti ud af elleve KI-agenter berørt

Det israelske sikkerhedsfirma Adversa AI har identificeret en angrebsteknik ved navn GuardFall, der kan kompromittere ti ud af elleve undersøgte open source-KI-agenter. Berørte er populære værktøjer som Hermes, OpenCode, Goose, Cline, Roo-Code, Aider, Plandex, Open Interpreter, OpenHands og SWE-agent. Kun værktøjet Continue viste sig at være modstandsdygtigt.

Exploitet udnytter specifikke Bash-teknikker – herunder kommandosubstitution og shell-variabler – til at omgå sikkerhedsfiltre. I tilfælde af succes kan angribere opsnappe SSH-nøgler og adgangsoplysninger. Sideløbende demonstrerede Tenet Security teknikken kaldet Agentjacking: Her indsendte forskere en fingeret fejlrapport til en offentlig datakilde og fik KI-agenter som Claude Code, Cursor og Codex til efterfølgende at udføre skadelig kode. Anslået 2.388 organisationer med eksponerede datakilder betragtes som potentielt sårbare.

Zero-Click-angreb: CVSS 9,8 i Cursor IDE

Særligt kritiske er to sikkerhedshuller i det udbredte udviklingsmiljø Cursor, registreret som CVE-2026-50548 og CVE-2026-50549. Begge opnår den maksimale CVSS-alvorlighetsgrad på 9,8. Den tilhørende exploit ved navn DuneSlide benytter Prompt Injection til at bryde ud af sandboxmiljøet – og det skræmmende ved det er: Offeret behøver ikke engang aktivt at gøre noget. Det er tilstrækkeligt at stille et tilsyneladende uskadeligt spørgsmål, der fodres med manipuleret indhold. Intet klik, ingen bekræftelse, intet tegn på angrebet.

Berørt er Cursor 2.x – en version, der er i brug i adskillige Fortune-500-virksomheder. For organisationer, der har integreret KI-Coding-værktøjer dybt i deres udviklingspipeline, udgør dette en strukturel risiko, der rækker langt ud over den enkelte udviklers computer.

Slopsquatting og Phantom Squatting: Når KI hallusinerer og angribere ved det

En ny og særligt lumsk angrebskategori opstår i skæringspunktet mellem KI-hallusinationer og målrettet manipulation af software-forsyningskæden. Sikkerhedsfirmaet Socket dokumenterer for første halvår af 2026 en stigning i kompromitterede softwarepakker med en faktor 4,5 sammenlignet med hele året 2025 – en dramatisk vækst, der hænger direkte sammen med den udbredte brug af KI-Coding-assistenter.

Fænomenet bærer betegnelsen Slopsquatting: Angribere registrerer pakkenavne, som KI-modeller regelmæssigt hallucinerer. Ifølge en analyse fra Socket er 19,7 procent af alle pakkenavne foreslået af KI-assistenter simpelthen opfundne – og 43 procent af dem optræder konsekvent og reproducerbart. Udviklere, der stoler på KI-forslag uden at verificere dem, installerer dermed utilsigtet skadelig kode direkte i deres projekter.

Unit 42, forskningsteamet hos Palo Alto Networks, beskriver en beslægtet angrebsvektor kaldet Phantom Squatting: I en analyse af over to millioner URL'er og 913 brands blev der identificeret ca. 250.000 ikke-registrerede domæner, som store sprogmodeller regelmæssigt præsenterer som angiveligt legitime. I et dokumenteret tilfælde registrerede angribere et sådant KI-hallucineret domæne hele 51 dage før det egentlige angreb – de ventede altså målrettet på, at KI'en ville anbefale det.

Kvaliteten af en KI-agent måles ikke alene på dens ydeevne, men i lige så høj grad på dens angrebsflade. Den, der integrerer KI-agenter i forretningsprocesser uden at tænke sikkerhedskoncepter med ind, bygger på et sprukket fundament.

Desktop-assistenter og browser-plugins: Den usynlige angrebsflade

Risiciene er ikke begrænset til udviklingsmiljøer. Pentera Labs viste, hvordan en kompromitteret e-mailkonto er tilstrækkelig til at overtage en komplet Claude-Desktop-installation: Angribere injicerer skadelige instruktioner i personlige indstillinger, der synkroniseres på tværs af alle brugerens enheder. Bemærkelsesværdigt: Claude-producenten Anthropic klassificerede denne adfærd som forventet funktionalitet – et fund, der rejser grundlæggende spørgsmål om sikkerhedsfilosofien hos KI-platformsudbydere.

Endnu mere subtil er teknikken InkJect, som DeepKeep afslørede: Her indlejres instruktioner i billeder – via kontrastsvag tekst eller perspektivisk forvrængning – for at manipulere KI-systemer som GPT-5.2 eller Claude Sonnet 4.6. Og den såkaldte BioShocking-jailbreak udnytter et fiktivt spilscenarie til at få KI-browserassistenter som ChatGPT Atlas og Perplexity Comet til at videregive følsomme data.

Aktive angreb på KI-infrastruktur: Teori er for længst blevet praksis

Alle disse angrebsvektorer er ingen akademiske tankeeksperimenter. Trend Micro observerede mellem slutningen af marts og midten af april 2026 en aktiv kampagne, der udnyttede en kritisk sårbarhed i KI-workflow-platformen Langflow (CVE-2026-33017, CVSS 9,3). Angribere installerede krypto-miners på eksponerede KI-endepunkter og deaktiverede målrettet sikkerhedsmekanismer som AppArmor og SELinux. Den såkaldte Djinn-Stealer retter sig specifikt mod autentificeringstokens til KI-programmeringsassistenter – herunder Gemini, Codex og Claude – samt mod adgangsoplysninger til cloud-udbydere.

Dr. Maik Bunzel, grundlægger og administrerende direktør for mabucon.eu, følger denne udvikling med stigende opmærksomhed i forhold til sine erhvervskunder: „Vi integrerer KI-agenter i virksomheders kerneprocesser. Det gør sikkerhed til en grundlæggende forudsætning – ikke til en efterbetragtning. De aktuelle fund viser, at angreb på KI-infrastruktur ikke længere er undtagelsen – de er systematiske og målrettede."

Hvad virksomheder konkret skal gøre nu

Konsekvenserne af den aktuelle forskningsmæssige situation er klare. Virksomheder, der produktivt anvender KI-coding-værktøjer eller KI-agenter, bør prioritere følgende foranstaltninger:

  • Håndhæv patch-management konsekvent: Sikkerhedsopdateringer til KI-udviklingsmiljøer som Cursor skal prioriteres på samme niveau som opdateringer til operativsystemer eller databaser.
  • Indfør Prompt-Injection-audits: KI-drevne systemer bør regelmæssigt testes for sårbarhed over for Prompt-Injection-angreb – både under udvikling og i produktiv drift.
  • Sikr software-forsyningskæden: Alle pakker og afhængigheder, som KI-assistenter foreslår, skal verificeres før installation. Automatiserede værktøjer til forsyningskædesikring er her uundværlige.
  • Mindste-rettigheds-princippet for KI-agenter: KI-agenter bør kun tildeles de rettigheder, der er nødvendige for den konkrete opgave – og ikke mere end det.
  • Netværkssegmentering og monitorering: KI-udviklingsmiljøer bør drives i separate netværkssegmenter og løbende overvåges for anomal adfærd.
  • Oplær udviklere i awareness: Slopsquatting og Phantom Squatting fungerer kun, når udviklere ukritisk stoler på KI-forslag. Målrettede kurser kan reducere denne risiko betydeligt.

Den strukturelle udfordring: hastighed versus sikkerhed

Bag de tekniske detaljer gemmer sig en grundlæggende spænding, som enhver virksomhed, der produktivt anvender KI-værktøjer, må forholde sig til: Det konkurrencemæssige pres tvinger til hurtig adoption af nye teknologier – men disse værktøjers sikkerhedsmæssige modenhed halter ofte bagud i forhold til deres udbredelse.

Det er ikke en ny erkendelse, men dimensionen er ny. Når ti ud af elleve testede open source KI-agenter deler en kritisk sårbarhed, viser det, at sikkerhedsbevidstheden i udviklingen af KI-værktøjer endnu ikke har nået det niveau, som trusselsbilledet kræver. Virksomheder kan ikke udelukkende stole på leverandørerne.

Dr. Maik Bunzel, grundlægger og direktør for mabucon.eu, sætter det på spidsen: „For virksomheder, der driver KI-automatisering seriøst, er det ikke et spørgsmål om hvorvidt, men om hvordan. Spørgsmålet lyder: Hvordan tilrettelægger vi brugen af KI-agenter, så de er produktive og samtidig sikre? Det kræver governance-strukturer, ikke blot tekniske patches."

Udsyn: KI-sikkerhed som selvstændig disciplin

Det aktuelle trusselsbillede gør det tydeligt: KI-sikkerhed er ved at udvikle sig til en selvstændig fagdisciplin, der udvider klassiske IT-security-koncepter, men ikke erstatter dem. Begreber som Prompt Injection, Agentjacking eller Slopsquatting vil i de kommende år blive en del af sikkerhedsansvarliges standardvokabular – på samme måde som SQL-Injection eller phishing blev det for to årtier siden.

For virksomheder, der integrerer KI-agenter i deres forretningsprocesser – hvad enten det drejer sig om softwareudvikling, procesautomatisering eller kundekontakt –, gælder: Evnen til at anvende KI sikkert bliver i stigende grad en strategisk kompetence. Den afgør ikke blot beskyttelsen mod angreb, men også den tillid, som kunder, partnere og regulatorer kan have til KI-understøttede processer.

Den aktuelle forskningstilstand er et wake-up call – men også en invitation til at tænke KI-sikkerhed ind fra begyndelsen frem for at påføre den i efterhånd. Virksomheder, der nu investerer i robuste governance-strukturer, opnår et forspring, der rækker langt ud over ren risikoforebyggelse.

Kontakt

Hvilken af dine arbejdsgange skal være den første til at blive klogere?

Beskriv kort, hvilken proces du vil understøtte eller erstatte ved hjælp af AI. Vi vender tilbage med en første, konkret vurdering — uforpligtende og fortroligt.