Kriminelle brukte tidligere KI til å skrive skadevaren selv. Nå lar de i økende grad agenten planlegge og gjennomføre angrepet, ifølge ESETs trusselrapport for første halvår 2026, publisert 8. juli. Sikkerhetsselskapet gjennomgikk 900 000 KI-skills i offentlige repoer, altså de små funksjonelle komponentene en agent laster inn for å kunne gjøre noe konkret. Titusenvis ble vurdert som mistenkelige. Tusenvis var rent skadelige.
Veksten er det interessante. Skills ESET regnet som mistenkelige gikk fra rundt 10 000 til over 25 000 i rapportperioden. De som ble blokkert som direkte skadelige, steg fra omtrent 600 til over 3 000. Angrepsflaten vokser altså raskere enn antallet agenter som bruker den.
Mekanismen er kjent fra nettleserutvidelser og mobilapper: legg noe nyttig i et offentlig repo, og vent på at noen installerer det uten å lese koden. ESET beskriver ett verktøysett som annonserte legitime red teaming-funksjoner, men som i tillegg kunne eksfiltrere legitimasjon og etablere vedvarende tilgang med høye privilegier. Noen slipper også Mimikatz, verktøyet som går igjen i løsepengeangrep.
«Når det gjelder håndtering av sensitive data, kjøp, API-kall eller instruksjonskjeder, øker KI-agentenes høyere grad av autonomi risikoen og omfanget av slike angrep.» — ESETs trusselrapport for første halvår 2026
Forskjellen fra en ondsinnet npm-pakke er autonomien. En skill kjører ikke bare kode, den kan overstyre brukerens instruksjoner eller stille endre hva agenten gjør videre. Da holder det ikke å stole på beskrivelsen i README-en.
Hva bør du gjøre?
- Les koden i hver skill du installerer, ikke beskrivelsen. En skill som ber om nettverkstilgang den ikke trenger, er nok til å droppe den.
- Kjør agenten i container eller VM med eksplisitt tillatte utgående domener. De fleste skadelige skills trenger å nå ut for å ha nytte av det de stjeler.
- Fest versjoner. Et repo som var trygt da du klonet det, er ikke nødvendigvis trygt etter neste oppdatering.