Spring til indhold
Tilbage til nyheder
AI-agent hackede rekrutteringsplatform på under en time. Det bør bekymre danske virksomheder.

AI-agent hackede rekrutteringsplatform på under en time. Det bør bekymre danske virksomheder.

AISikkerhed

Sikkerhedsfirmaet Codewall satte en autonom AI-agent løs på den AI-drevne rekrutteringsplatform Jack & Jill. Inden for en time havde agenten fundet fire sårbarheder, kædet dem sammen og skaffet sig fuld administratoradgang til virksomhedskonti.

Det er ikke science fiction. Det er en konkret test, offentliggjort i marts 2026, mod en London-baseret startup med 20 millioner dollar i seed-funding og kunder som Anthropic, Stripe og Cursor.

💡 Sårbarhedens omfang Angrebet fik en CVSS-score på 9.8 ud af 10. Det svarer til komplet overtag af en virksomheds konto, inklusiv adgang til medarbejdernavne, e-mails, rekrutteringsaftaler og jobopslag.

Hvad skete der konkret?

Codewalls AI-agent fandt en URL-henter, der afslørede intern API-dokumentation. Den opdagede en aktiv testtilstand i autentificeringssystemet med en statisk engangskode. Den udnyttede et manglende rolletjek under onboarding. Og den fandt et endpoint, der tildelte brugere til en virksomhed baseret på e-maildomæne uden at verificere ejerskab.

Agenten oprettede en konto, autentificerede sig via testtilstanden, blev automatisk tilknyttet en eksisterende virksomhed og fik fuld administratoradgang. Alt sammen uden menneskelig styring.

Bagefter besluttede agenten på eget initiativ at teste platformens AI-stemmebot "Jack" over 28 samtalerunder. Stemmebottens sikkerhedsfiltre holdt stand, men da agenten udgav sig for at være Donald Trump, svarede "Jack" med "Mr. President" uden at stille spørgsmål.

Hvad betyder det for danske virksomheder?

Mange danske virksomheder bruger allerede AI-baserede værktøjer til rekruttering, kundeservice og intern administration. Pointen her er todelt.

For det første: Angrebsfladen vokser, når man integrerer AI-tjenester. Hver ny API, hvert nyt autentificeringslag og hver ny tredjepartsintegration kan indeholde fejl, som en AI-agent kan kæde sammen hurtigere end noget menneske.

For det andet: Testtilstande, standardkoder og manglende rolletjek er klassiske fejl. De har intet med AI at gøre. Men AI-agenter gør dem langt farligere, fordi de kan finde og udnytte dem systematisk og hurtigt.

💡 Konkret anbefaling Gennemgå jeres tredjepartsintegrationer for aktive testtilstande og statiske koder. Tjek om rolletildeling sker automatisk uden verifikation. Det er lavthængende frugter, som en AI-agent kan plukke på minutter.

Sårbarhederne blev fikset

Codewall oplyste sårbarhederne til Jack & Jill efter testen, og platformen patchede dem kort efter. Det er god praksis, og det viser, at ansvarlig disclosure stadig fungerer.

Men testen rejser et spørgsmål, som danske IT-afdelinger bør tage alvorligt: Hvis en AI-agent kan overtage en virksomhedskonto på en time, hvor hurtigt kan jeres egne integrationer holdes op mod samme test?

🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.

Læs original kilde →

Fandt du en fejl?