Asger Risom
Under 2025 dokumenterade forskare en rad AI-relaterade säkerhetsrisker, vissa redan utnyttjade i verkliga angrepp, andra demonstrerade i kontrollerade attacker.
Artificiell intelligens utlovade ett produktivitetssprång i år, särskilt i takt med att agentbaserade system började smyga sig in i vardagliga affärsprocesser.
Men den snabba användningen blottlade också en växande attackyta – en som säkerhetsforskare menar att många organisationer inte var förberedda på att försvara.
Under 2025 dokumenterade forskare en rad AI-relaterade säkerhetsrisker, vissa redan utnyttjade i verkliga angrepp, andra demonstrerade i kontrollerade attacker. Tillsammans ger de en bild av ett ekosystem som springer före sitt försvar.
Skuggverktyg sprids
En av de mest omedelbara riskerna kom inte från avancerade attacker, utan från vardagliga beteenden inom företag.
Anställda började i allt större utsträckning använda AI-verktyg utan godkännande, ofta utan att förstå hur deras data lagrades eller behandlades.
Undersökningar som forskare hänvisar till visade att nästan hälften av de anställda i USA och Storbritannien använde icke godkända AI-verktyg, samtidigt som många saknade grundläggande kunskap om datahantering.
Enligt Orca Securitys rapport 2025 State of Cloud Security använder nu 84 procent av organisationerna AI-verktyg i molnet, och 62 procent hade minst ett sårbart AI-paket driftsatt.
Cloud Security Alliance rapporterade separat att en tredjedel av organisationerna hade drabbats av ett molndataintrång som involverade en AI-arbetsbelastning, ofta kopplat till felkonfigurationer eller svag autentisering.
Buggar i betrodd AI-programvara
Inte ens allmänt använda AI-plattformar gick fria. Under året avslöjade forskare – och observerade i vissa fall aktiv exploatering av – sårbarheter i populära AI-ramverk.
Dessa inkluderade fjärrkodexekveringsbrister i öppen källkod-verktyg som Langflow och Ray, svagheter i OpenAI:s Codex CLI samt sårbarheter som påverkade inferensservrar från Nvidia, Meta, Microsoft och öppen källkodsprojekt som vLLM och SGLang.
Fynden underströk hur snabbt AI-verktyg har blivit en del av kritisk infrastruktur.
Förgiftade leveranskedjor
Även själva utvecklingskedjorna för AI blev måltavlor. Forskare vid ReversingLabs rapporterade att de upptäckt skadlig kod gömd i AI-modeller som hostades på Hugging Face, samt trojaniserade Python-paket som utgav sig för att vara legitima AI-SDK:er.
I båda fallen missbrukade angripare Pythons serialiseringsformat Pickle, som ofta används tillsammans med PyTorch-modeller, för att dölja skadlig kod. Incidenterna belyste den växande risken för leveranskedjeattacker riktade direkt mot AI-utvecklare.
Stulna AI-inloggningar
Ett annat framväxande hot rörde stöld av autentiseringsuppgifter som används för att få tillgång till stora språkmodeller via betalda API:er, ett fenomen som forskare kallade ”LLMjacking”.
Microsoft lämnade 2025 in en civil stämningsansökan mot en grupp som anklagades för att ha stulit LLM-inloggningar och sålt vidare tillgången till andra kriminella.
Forskare varnade för att missbruk av avancerade modeller kan generera kostnader som överstiger 100 000 dollar per dag för drabbade vars uppgifter komprometterats.
Prompter vänds mot systemen
Prompt injection-attacker förblev en av de mest utbredda AI-specifika riskerna. Eftersom språkmodeller inte pålitligt skiljer mellan instruktioner och data kan skadlig text inbäddad i e-post, dokument eller webbsidor tolkas som kommandon.
Forskare demonstrerade sådana attacker mot kodassistenter, AI-agenter, webbläsare och chattbottar, inklusive produkter från GitHub, Google, Microsoft, OpenAI, Salesforce och Anthropic.
I de allvarligaste fallen kunde angripare utlösa dataexfiltrering eller missbruk av anslutna verktyg.
MCP-problemet
Slutligen slog forskare larm om den snabba spridningen av servrar för Model Context Protocol, som gör det möjligt för AI-system att interagera med externa verktyg och datakällor.
Med tiotusentals MCP-servrar nu online varnade säkerhetsteam för att skadliga eller dåligt säkrade servrar kan möjliggöra kodinjektion, prompthijacking eller obehörig åtkomst. Demonstrationer visade hur illasinnade MCP-servrar kunde kompromettera utvecklingsmiljöer genom att injicera skadlig webbläsarkod.
Källor: CSOOnline, Orca Security, OpenAI
