CISA og partnere fra Australia, Canada, New Zealand og Storbritannia publiserte denne uken felles veiledning for agentisk KI, melder CSO Online. Råd-katalogen krever sterk autentisering basert på Secure by Design-prinsipper, kontinuerlig overvåking og inventar over hva hver agent kan røre av data, verktøy og systemer.
Det er en tydelig kontrast til hvordan mange team faktisk kjører agenter i dag. Standardpraksisen for å koble Codex, Claude eller egne agenter til APIer, MCP-servere og interne databaser har vært å gi bredt tilgangsnivå og deretter håpe at sandbox-grenser holder. Veiledningen avviser den modellen direkte.
«Organisasjoner kan ikke bare slippe agenter inn i produksjon og håpe at sikringene holder. De må forstå hva hver agent har tilgang til, hvordan den oppfører seg, hvilke systemer som stoler på dens output, og hvilke angrepsstier som blir nådbare hvis den manipuleres.» — Piyush Sharma, CEO og medgründer i Tuskira
CISA peker på fire konkrete risikomønstre: privilegie-kompromittering, scope creep, identitetsforfalskning og agent-imitasjon. Felles for alle er at agenten får mer makt enn den trenger, og at den makten misbrukes via prompt injection eller manipulert ekstern kontekst. Veiledningen krever at organisasjoner validerer hvordan agentene tolker input, og at de ikke blindt stoler på eksternt innhold eller instruksjoner.
For den andre halvdelen av råd-settet er fokuset operasjonelt. Live-overvåking under utførelse, menneskelig godkjenning før kritiske beslutninger, og revisjon etter at oppgaven er ferdig. Nick Tausek i Swimlane formulerer det slik:
«Sikkerhetsteam trenger kontinuerlig synlighet på hvordan agenter oppfører seg, hvilke systemer de berører, og når handlingene deres avviker fra forventet mønster.» — Nick Tausek, Lead Security Automation Architect i Swimlane
For norske utviklere som bygger egne agenter er signalet uavhengig av om du leverer til offentlig sektor: rammeverket fra CISA blir referansen som compliance-team og kunder kommer til å peke på i kontraktsforhandlinger. Hvis agenten din kan slette filer, kjøre kode eller nå et betalings-API uten et menneske mellom, har du nå en ekstern kilde som sier at det ikke er greit.
Hva bør du gjøre?
- Lag et inventar over agent-tilgang. Skriv ned hver MCP-server, hvert API og hver databasekobling agenten din har. Hvis listen overrasker deg, er den for lang.
- Skill høyrisiko-handlinger ut. Operasjoner som sletter, betaler eller eksponerer data bør kreve eksplisitt menneskelig godkjenning, ikke bare en sandbox-flagg.
- Logg agent-handlinger sentralt. Du trenger sporbarhet hvis noe går galt. Strukturerte logger med agent-ID, verktøy, input og output er minimum.
Bakgrunn
Veiledningen er medforfatter av Australian Signals Directorate, Canadian Centre for Cyber Security, New Zealand National Cyber Security Centre og UK National Cyber Security Centre. Den følger en serie hendelser der prompt injection har klart å eskalere fra eksperimentell sårbarhet til reell angrepsvektor i agent-baserte systemer.