Virksomheder har de sidste to år spændt LLM’er for næsten alt, fra support og udvikling til automatisering. Samtidig er et andet mønster blevet tydeligt: angribere udnytter forvirringen mellem data og instruktion. Det her er ikke længere en akademisk diskussion. I 2024 ramte en injektionsfejl Slack AI. Sommeren 2025 kom et zero‑click angreb mod Microsoft 365 Copilot. Og i 2026 opsummerede CrowdStrike, at mere end 90 organisationer i 2025 blev ramt af ondsindede prompts. Derfor er historien aktuel nu: ikke fordi det er nyt, men fordi det bliver ved.
Hvad prompt injection er og hvorfor det virker
Prompt injection er, kort sagt, når tekst der burde være data, gemmer åbne eller skjulte instruktioner, som modellen følger. Det kan være en fodnote i en PDF, en sætning i bunden af en wiki eller et afsnit i en e‑mail. Modellen skelner dårligt mellem “indhold” og “hvad du skal gøre med det”. LLM’er er bygget til at være hjælpsomme, ikke mistroiske.
I praksis spiller tre lag sammen: system‑prompter (de faste regler i applikationen), brugerprompter (det medarbejderen skriver), og dataprompter (kontekst fra RAG, e‑mails, dokumenter, tickets). Angrebet gemmer sig i det tredje lag og forsøger at overstyre de to første. Det er social engineering i tekstform. Og adgangskontrol alene hjælper ikke, når den ondsindede tekst allerede er inde i konteksten.
Det virker, fordi modellen optimerer efter sammenhæng og compliance. “Ignorer alle tidligere instruktioner og gør X” er ikke altid nok længere, men det er sjældent nødvendigt. En formulering der ligner dokumentation, kan være lige så effektiv. Og ja, det sker oftere end man lige tror.

Hvor angriberne rammer: agenter, RAG‑rørledninger og model‑routere
Angrebsoverfladen er ikke kun chatten. Moderne enterprise‑opsætninger består af komponenter, der hver især kan misbruges. Multi‑agent flows fordeler opgaver mellem “specialist‑agenter”, som kan kalde API’er eller scripts. En enkelt forgiftet sætning i en kilde kan sende en agent ud efter creds eller starte en mailrække, der aldrig burde være sendt.
RAG‑pipelines øger risikoen, fordi de blander interne og eksterne kilder, indekserer dem til embeddings og løbende udvider konteksten. Hvis en kilde er forgiftet, bliver den ikke bare læst – den bliver høfligt citeret som autoritativ baggrund. Det forstærker injektionen. Og værre: langtidshukommelse. Når output skrives tilbage i en “memory store”, kan et vellykket angreb sætte sig i hukommelsen og leve videre.

Model‑routere er den nye vinkel. De vælger model og kontekst ud fra promptens indhold. En smart angriber kan påvirke rutevalget – fx tvinge et hop til en model med lempeligere sikkerhedslag eller til en kæde med bredere tilladelser. Den arkitektur er stærk for pris og ydeevne, men skaber endnu et sted, hvor skadelig tekst kan flytte grænserne.
Dokumenterede eksempler fra 2024–2026
I august 2024 beskrev forskere hos PromptArmor en sårbarhed i Slack AI, hvor en injektion i en offentlig kanal eller i et uploadet dokument kunne få Slack AI til at trække data fra private kanaler – inklusive API‑nøgler delt i lukkede udviklertråde. Den tekniske pointe: det var ikke en rettighedsfejl i Slack‑kanalerne, men i den måde AI‑assistenten tolkede og handlede på kontekst. Slack lappede fejlen, men mønsteret står tilbage som lærebogseksempel.
I juni 2025 fulgte Aim Security med EchoLeak, CVE‑2025‑32711, vurderet til CVSS 9,3. Det blev beskrevet som det første dokumenterede zero‑click prompt injection mod et produktionssystem, Microsoft 365 Copilot. En enkelt e‑mail, ingen brugerinteraktion, og Copilot kunne lokkes til at hente interne filer og sende dem ud af huset. Patch kom – men vektoren er svær at pakke væk: e‑mail som styringskanal for AI uden klik er den nye phishing, nærmere en AI‑drevet exfiltrationskanal.
CrowdStrikes Global Threat Report 2026, refereret af VentureBeat, satte tal på udviklingen: over 90 organisationer blev i 2025 ramt af ondsindede prompts, og angrebsvolumen fra AI‑aktiverede modstandere steg 89 procent år for år. Formuleringen var skarp: “Prompts are the new malware.” Den hænger ved – fordi den rammer rigtigt.
Hvorfor OWASP gør prompt injection til LLM01
OWASP’s LLM Top 10 for 2025 placerer prompt injection som LLM01 – øverst og mest kritisk. Listen er ikke pynt; den afspejler praksis. At skille instruktion fra data er uløst i nuværende arkitekturer, derfor bliver injektion den primære indgang. De øvrige punkter forstærker billedet: LLM05 om utilstrækkelig output‑håndtering, LLM06 om overdreven agent‑adgang og LLM08 om svagheder i vektor/embeddings. De peger samme vej: tekst bliver til kode, hvis kæden tillader det.
For arkitekturvalg betyder LLM01, at “least privilege” ikke kun gælder brugere og services, men også tekster, kontekster og flows. Hver overgang i kæden – ingestion, retrieval, prompt‑konstruktion, output‑handling – er en trust‑grænse. Ikke elegant. Nødvendigt.

Konsekvenser for drift, support og projektprioritering
Først: risikovurdering. AI‑projekter kan ikke kun måles på svar‑kvalitet eller latency. De skal screenes for, hvor let tekst kan styre handlinger, og hvor stor skade et enkelt fejltrin kan gøre. Truisme? Måske. Men den overses ofte i AI‑kontekst.
Næst: test og release. Prompt‑ændringer, opdatering af systemprompter og justering af RAG‑kilder er softwareændringer med sikkerhedseffekt. De skal gennem review, staging, negative tests og regression – præcis som kode. Hurtige hotfixes i prompter uden logning kommer på regningen senere.
Så: logning og audit. Uden sporbarhed på prompt‑tekst, retrieval‑spor og router‑valg er incident response gætværk. SOC skal have AI‑telemetri ind i SIEM. Det er ny datatype, ja, men uden den kan man ikke engang afgøre, om skaden kom fra brugeren, dokumentet eller systemprompter.

Endelig: adgangskontrol omkring RAG og agentflows. Indekser og embeddings er følsomme artefakter. Hvis de kompromitteres, kan eksfiltration blive systematisk. RBAC skal også gælde “hvad må modellen se” og “hvem må skrive til indekset”.
Praktiske mitigations — hvad virker i dag
Der er ingen sølvkugle, men der er værn, der reducerer risikoen markant. De koster friktion. Det er til at leve med.
- Risk‑workshops og trusselsmodellering: Kortlæg hvor tekst kan blive til handling. Identificér trust‑grænser i ingestion, retrieval, prompt‑konstruktion og output. Konsekvens: du opdager de steder, hvor en enkelt sætning kan udløse API‑kald, mails eller filadgang – og kan sætte bremser der.
- Prompt‑sanitization og kontekst‑filtre: Brug regel‑ og modelbaserede filtre til at flagge kendte injektionsmønstre, meta‑instruktioner og “ignore/override”-sprog. Konsekvens: færre åbenlyse angreb; vær forberedt på falske positiver og hav en undtagelsesproces.
- Stram RBAC for AI‑flows: Adskil læse‑ og skriveadgange til indekser, hukommelser og værktøjer. Giv agenter minimale tilladelser og kræv token‑scoping. Konsekvens: et vellykket angreb har mindre at arbejde med.
- Segmentering af RAG‑indekser: Opdel efter følsomhed, kilde og formål. Forbyd blandet retrieval fra intern og ekstern kilde uden eksplicit godkendelse. Konsekvens: injektionen spreder sig ikke på tværs af domæner.
- Output‑validering og policy‑guards: Verificér før der eksekveres – især ved filadgang, kodekørsel og beskedafsendelse. Konsekvens: skærer halen af “autonom agent” fejltrin, med lidt ekstra latency.
- Red‑team øvelser specifikt for injektion: Simulér RAG‑poisoning, zero‑click mails og router‑nudging. Konsekvens: finder de reelle huller, ikke kun dem på whiteboardet.
- Kontinuerlig logning og SIEM‑integration: Gem prompts, systemprompter, retrieval‑IDs, værktøjskald og router‑beslutninger. Konsekvens: gør hændelser efterprøvelige. Husk databeskyttelse i logningen.
- Medarbejdertræning målrettet AI‑flows: Forklar forskellen på “indhold” og “instruktion” i praksis. Konsekvens: færre interne kilder med utilsigtede meta‑instruktioner og mindre risiko for at kopiere ukritisk tekst ind i kritiske flows.
Tradeoffs og begrænsninger
Sanitization kan gøre ondt. Aggressive filtre kan blokere legitim tekst, især teknisk dokumentation med imperative formuleringer. Det kræver tuning og en klar eskaleringsvej. Ekstra validering og human‑in‑the‑loop giver naturligt mere ventetid. Sådan er det.
Black‑box modeller og leverandørafhængighed er en anden hæmsko. Hvis systemprompter, værktøjsgrænser eller sikkerhedsfiltre er skjult bag API’er, er du bundet til leverandørens patch‑tempo og telemetri. Det er ofte acceptabelt, men planlæg for “degraderede” modes, hvor mere af kæden styres internt.
Og: routere og multi‑agent orkestrering øger kompleksiteten. Hver ekstra hop er en mulig injektionsflade. Gevinsten i fleksibilitet kan være stor, men regningen er mere sikkerheds‑plumbing. Et kompromis er at standardisere få trykprøvede kæder og holde resten bag feature‑toggles.

Handlingsplan for to tidshorisonter
30 dage
- Indfør logning af prompts, retrieval‑spor og værktøjskald i alle produktionsflows. Start simpelt, men start.
- Klassificér RAG‑indekser og embeddings som følsomme artefakter. Lås skriveadgang ned.
- Etabler en midlertidig output‑gate for kritiske handlinger: filudlæsning, mail‑afsendelse, kodeeksekvering.
- Kør en fokuseret red‑team sprint mod én forretningskritisk kæde (fx supportbotten eller Copilot‑integration).
6–12 måneder
- Design arkitekturen efter OWASP LLM01‑principper: tydelige trust‑grænser, standardiserede prompt‑byggere, output‑policies som kode.
- Segmentér RAG‑indekser efter dataklasse og kilde; implementér cross‑domain blokering som standard.
- Udbyg SIEM‑skemaer med AI‑telemetri og playbooks for prompt‑injection hændelser. Inkludér eskalering til dataejere.
- Etabler et vedligeholdt policy‑bibliotek for agenter og værktøjstilladelser, inkl. regelmæssig review‑cyklus.
Rapportering, kilder og huller
Tallene og casene ovenfor er rapporteret via VentureBeat, som refererer til CrowdStrike’s Global Threat Report 2026 og til offentliggørelser fra PromptArmor (2024) og Aim Security om EchoLeak (CVE‑2025‑32711). Der er god konsistens mellem kilderne og OWASP’s prioritering i LLM Top 10 2025. For fuld styrke anbefales direkte gennemlæsning af CrowdStrike‑rapporten, CVE‑posten og Aim Securitys advisory – særligt for IoCs og patch‑detaljer. Det ændrer ikke hovedbilledet, men skærper beredskabet.
Konklusion og anbefaling til danske virksomheder
Prompt injection er ikke et hjørne‑case. Det er en praktisk, gentagelig angrebsmetode, der udnytter, at tekst nu kan styre systemer. Arkitekturen svigter, når kontekst og instruktion blandes uden kontrol. Start med risikovurdering, få sikkerhed og AI‑arkitektur i samme rum, og behandl RAG og agenter som systemer med skarpe grænser – ikke smarte gadgets. Man kan godt køre hurtigt, bare ikke med blinde vinkler. Du ser først forskellen, når loggen viser, hvem der fortalte modellen hvad – og hvorfor den adlød.