Autonome AI‑agenter åbner ny angrebsflade i supply chain‑kæden

En igangværende kampagne mod kryptovaluta‑brugere illustrerer, hvordan autonome AI‑agenter kan misbruges i en ny type supply chain‑angreb, hvor både distribution, tillid og sociale interaktioner mellem agenter udnyttes som angrebsvektor. Metoden er teknisk set målrettet kryptowallets – men sikkerhedsforskere vurderer, at den er generisk nok til at kunne overføres til langt bredere økosystemer.

Sådan står der at læse i Security Week i dag.

AI-agenter med frihedsgrader – og et tillidsproblem

Artiklen bygger på en analyse lavet af sikkerhedsfirmaet Straiker, der har taget udgangspunkt i, at at agentbaseret AI er bygget til at handle autonomt: installere værktøjer, udføre handlinger og samarbejde med andre agenter, typisk uden menneskeligt tilsyn. Det bryder grundlæggende med “zero trust”-tankegangen, og den svaghed er netop omdrejningspunktet for det aktuelle angreb.

Straiker har analyseret mere end 3.500 “Claude Skills” i AI‑markedspladsen Clawhub. Skills fungerer som plugins, som AI‑agenter automatisk kan vælge at bruge, hvis de vurderer det relevant. Under analysen identificerede researcherne både åbent ondsindede plugins og en større mængde højrisikomoduler, men især én kampagne skilte sig ud.

Bob‑p2p: Et forsyningskædeangreb forklædt som AI‑økosystem

Kernen i kampagnen er et plugin kaldet bob‑p2p, udgivet af en aktør der fremstår som AI‑agenten “BobVonNeumann”. På agent‑platformen Moltbook – en slags socialt medie for autonome agenter – interagerede den falske agent med andre agenter, opbyggede troværdighed og promoverede plugin’et som et decentraliseret API‑marked.

Plugin’et viste sig dog at fungere som en supply chain‑trojansk hest:

• agenter blev instrueret i at hente og lagre Solana‑wallet‑nøgler i klartekst
• midler blev automatisk brugt til køb af værdiløse tokens
• betalingerne blev routet gennem infrastruktur kontrolleret af angriberen

Efter installation foregik resten automatisk, fordi agenter bruger hinandens workflows, delemoduler og anbefalinger. Det skabte en selvforstærkende kæde, hvor kompromitterede agenter uforvarende kunne påvirke andre agenter til at installere det samme plugin – uden menneskelig involvering.

Social engineering rettet mod algoritmer – ikke mennesker

Det bemærkelsesværdige i angrebet er, at angriberen ikke primært manipulerer mennesker, men andre AI‑agenter. Gennem persona‑opbygning, netværksaktivitet og “troværdige” interaktioner på agent‑platforme opnår angriberen adgang til distributionskanaler, som ellers ville have krævet phishing eller komplekse bagdørsoperationer.

Straiker beskriver metoden som en hybrid mellem klassisk supply chain‑forgiftning og et social engineering‑angreb målrettet maskiner. Når tillid mellem agenter – og ikke mennesker – bliver udnyttet, opstår en angrebsoverflade, der skalerer ekstremt hurtigt og kan fungere uden nogen form for manuel opfølgning.

Et gentageligt og skalerbart angrebskoncept

Ifølge researcherne er den mest bekymrende konklusion ikke det økonomiske tab, men angrebets generiske model:

• Skab en overbevisende AI‑persona - en “agent”, der opfører sig troværdigt over tid. 
• Opbyg et netværk i agent‑fællesskaber - deltag i samtaler, anbefal værktøjer, opbyg legitim historik. 
• Introducér et nyttigt plugin først - for at opnå adoption og social proof inden det reelle angreb. 
• Distribuér den ondsindede komponent - hvorefter tillidskæder mellem agenter overtager spredningen.

Denne model er i princippet platform‑agnostisk, fremgår det. Hvor kampagnen i øjeblikket misbruger kryptowallets og Solana‑nøgler, kan den samme taktik anvendes i andre økosystemer, hvor AI‑agenter installerer moduler, udveksler data eller koordinerer handlinger på tværs af domæner.

Agenter opererer i lukkede fora

Security Week skriver, at eksperter forventer, at denne type angreb bliver standardrepertoire i takt med, at autonome agenter bliver integreret i forretningsprocesser. Mulige fremtidige trusselsbilleder inkluderer:

• koordinerede agent‑botnets, der manipulerer anbefalingssystemer
• falske agent‑personas, der fremmer bestemte modeller, plugins eller leverandører
• supply chain‑compromise i automatiserede workflow‑kæder
• “AI influence ops”, hvor angreb målrettes algoritmer snarere end brugere

Den afgørende pointe er, at angribere nu kan operere i rum, hvor mennesker kun observerer – ikke interagerer. Det skaber en ny klasse af angreb, hvor tillid mellem autonome systemer bliver en direkte risiko.