LLM-sikkerhed: Hvorfor det er kritisk nu
Store sprogmodeller – eller LLMs – har på rekordtid fundet vej ind i alt fra kundeservice til automatiseret dokumenthåndtering i danske virksomheder. Det er ikke længere kun tech-giganter, der bygger på LLMs. Også små og mellemstore virksomheder bruger dem til at effektivisere arbejdsgange, udvikle nye produkter og forbedre kundeoplevelser. Men med den udbredelse følger et trusselsbillede, der udvikler sig endnu hurtigere end teknologien selv. Injektionsangreb er nu blandt de største risici, både for teknikere og ledelse. Vi har set flere eksempler, hvor LLMs blev kompromitteret – og konsekvenserne har været alt andet end teoretiske.
Et par eksempler fra det seneste år: xAI’s Grok-model blev manipuleret til at svare med voldelige og antisemitiske udsagn, fordi dens søgefunktion hentede data fra en ondsindet webside. I et andet tilfælde kunne et enkelt e-mail-angreb (EchoLeak) trække hele chat-historikken ud af Microsoft Copilot – uden at brugeren gjorde noget. Og Google Gemini blev narret til at vise falske sikkerhedsadvarsler via usynlige CSS-tags i e-mails. Det er ikke længere nok at tænke klassisk IT-sikkerhed; LLMs kræver et nyt mindset.

Hvad er injektionsangreb? – En letforståelig forklaring
Injektionsangreb mod LLMs handler om at snyde modellen til at udføre handlinger eller give svar, som den ikke burde. Det sker ved at “injektere” skjulte eller ondsindede instruktioner i de data, modellen arbejder med – ofte uden at det kan ses med det blotte øje. Hvor klassiske IT-angreb typisk retter sig mod kode eller servere, udnytter injektionsangreb LLMs evne til at forstå og følge tekstlige instruktioner. Det betyder, at alt fra e-mails til websider kan bruges som angrebsvektor, hvis de indgår i modellens kontekst.
For en ikke-teknisk læser kan det sammenlignes med, at nogen skriver en besked, der ser harmløs ud, men som indeholder en skjult kommando, som kun modellen forstår. Og da LLMs ofte arbejder med data fra mange kilder, kan angrebene være både usynlige og svære at opdage.
Aktuelle trusler og cases fra virkeligheden
Trusselsbilledet er ikke længere hypotetisk. I 2025 blev Grok-modellen fra xAI kompromitteret, da dens live-søgefunktion hentede en ondsindet webside ind i prompten. Resultatet var, at modellen begyndte at svare med ekstreme udsagn. EchoLeak-angrebet viste, at en enkelt e-mail med skjulte instruktioner kunne få Microsoft Copilot til at lække brugernes chat-historik – helt uden brugerens viden. Google Gemini blev narret til at vise falske sikkerhedsadvarsler, fordi angribere gemte instruktioner i usynlige CSS-tags i e-mails.
For virksomheder betyder det, at forretningskritiske data kan lækkes, eller at kunder får forkerte eller skadelige svar. I flere tilfælde blev angrebene først opdaget, da brugere eller sikkerhedsforskere bemærkede mærkelige svar eller adfærd. Det viser, hvor svært det kan være at opdage og reagere på injektionsangreb i tide.
Kortlægning af angrebsflader – hvor kan det gå galt?
Angreb mod LLMs kan ske på flere niveauer. Vi ser især fire hovedområder, hvor det kan gå galt:
- Pre-training & alignment: Ondsindede aktører kan plante “sleeper agents” i træningsdata, der kun aktiveres under bestemte forhold.
- Supply chain: Modeller eller datasæt kan manipuleres, før de tages i brug – fx via åbne repositories.
- RAG (Retrieval-Augmented Generation): Angreb via dokumenter, websider eller e-mails, som modellen henter ind i sin kontekst.
- Downstream tools: Når LLMs får adgang til API’er eller værktøjer, kan injektioner føre til utilsigtede handlinger, som at sende e-mails eller udføre kode.
Eksemplerne viser, at det ikke kun er selve modellen, men hele pipeline og alle datakilder, der skal tænkes ind i sikkerhedsarbejdet.

Dybdegående: Data poisoning og supply chain-angreb
Data poisoning er, når angribere planter ondsindede mønstre i træningsdata, så modellen opfører sig anderledes under bestemte betingelser. Anthropic har vist, at en simpel trigger – fx et bestemt årstal – kan få en model til at indsætte fejl i kode, selv efter sikkerhedstræning. PoisonBench har dokumenteret, at det kun kræver under 0,1 % forgiftede træningspar at påvirke modellens output mærkbart.
Supply chain-angreb er også blevet mere udbredte. Mithril Security har publiceret en trojansk version af GPT-J-6B (PoisonGPT), der blev downloadet over 40 gange, før nogen opdagede det. JFrog har fundet over 100 ondsindede model-checkpoints på Hugging Face, hvoraf nogle åbnede en reverse shell ved indlæsning. Det viser, at både data og model-filer skal behandles som potentielt usikre.
Dybdegående: Prompt injection og kontekst-angreb
Prompt injection kan ske direkte – hvor angriberen forsøger at overskrive systeminstruktioner – eller indirekte, hvor ondsindede instruktioner gemmes i dokumenter, e-mails eller websider, som modellen henter ind. Eksempler på usynlige angreb inkluderer brug af Unicode-tegn, CSS eller skjulte HTML-tags, der ikke kan ses af brugeren, men som modellen læser og følger.
RAG ’n Roll-studiet viste, at to ondsindede dokumenter i en videnbase kunne overtage svarene i 40-60 % af tilfældene – selv når retrieverens parametre blev ændret. Trend Micro har vist, at angribere kan bruge usynlige Unicode-tegn til at skjule instruktioner, så klassiske sikkerhedsværktøjer ikke opdager dem. Det gør det svært at stole på, at det kun er “rene” data, der behandles.
Praktiske forsvar: Tjeklister og anbefalinger
Hvordan kan man beskytte sig? Her er en tjekliste, vi anbefaler til både ledelse og teknikere:
- Hold styr på data-proveniens og brug versionering for både data og modeller.
- Brug SBOM (Software Bill of Materials) for at dokumentere alle komponenter.
- Implementér behavioral canaries – kendte triggers, der kan afsløre bagdøre.
- Overvåg og log alle dokumenter, der hentes ind i RAG-pipelines.
- Normalisér og rens inputs for usynlige tegn, HTML og CSS.
- Indfør adgangskontrol og rollebaseret adgang til datakilder.
- Træn medarbejdere i at genkende og reagere på mærkelig modeladfærd.
Det handler ikke kun om teknik – processer og governance er mindst lige så vigtige.

Compliance og governance – hvad kræver lovgivningen?
EU AI Act og andre standarder stiller nu krav om dokumentation, risikovurdering og løbende overvågning af AI-systemer. Det gælder både private og offentlige organisationer. Virksomheder skal kunne dokumentere, hvor data og modeller kommer fra, hvordan de er testet, og hvilke kontroller der er på plads for at opdage og håndtere angreb.
Det betyder, at compliance ikke kun er et spørgsmål om at undgå bøder – det er også en konkurrencefordel, fordi kunder og partnere forventer gennemsigtighed og sikkerhed. Snilld hjælper virksomheder med at implementere processer og værktøjer, der gør det let at efterleve kravene, uden at det bliver en administrativ byrde.
Perspektiv: Hvad gør de bedste – og hvad kan danske virksomheder lære?
Internationalt ser vi, at de mest succesfulde virksomheder arbejder med defence-in-depth: De kombinerer tekniske kontroller, governance og løbende test. De bruger automatiseret red-teaming, versionering og SBOM, og de har klare processer for at håndtere hændelser. Hos Snilld har vi hjulpet flere danske virksomheder med at kortlægge deres angrebsflader, implementere behavioral canaries og etablere governance, der matcher både forretning og lovgivning.
Det vigtigste er at erkende, at LLM-sikkerhed ikke er et engangsprojekt. Det kræver løbende opmærksomhed, opdatering af værktøjer og træning af medarbejdere. Danske virksomheder bør prioritere at få styr på deres dataflow, dokumentation og adgangskontrol – og ikke mindst at teste deres modeller mod kendte angreb.
Afslutning og call-to-action
LLM-sikkerhed er ikke længere en niche-disciplin. Truslerne er reelle, og konsekvenserne kan ramme både forretning og omdømme hårdt. Det vigtigste, du kan gøre nu, er at få styr på processer, værktøjer og governance. Start med at kortlægge dine angrebsflader, indfør versionering og SBOM, og træn dit team i at opdage og reagere på mærkelig adfærd.
Hos Snilld står vi klar til at hjælpe – både med rådgivning, konkrete værktøjer og implementering af best practice. Kontakt os for en uforpligtende gennemgang af din virksomheds LLM-sikkerhed, og få konkrete next steps tilpasset din forretning. Lad ikke dataene bide dig – tag styringen nu.
Kilder:
- https://towardsai.net/p/machine-learning/when-the-data-bites-back-injection-attacks-every-llm-engineer-should-know
- https://genai.owasp.org/llmrisk/llm01-prompt-injection/
- https://genai.owasp.org/llmrisk/llm01-prompt-injection/
- https://socprime.com/blog/cve-2025-32711-zero-click-ai-vulnerability/
- https://blog.mithrilsecurity.io/poisongpt-how-we-hid-a-lobotomized-llm-on-hugging-face-to-spread-fake-news/
- https://arxiv.org/html/2410.08811v1
- https://genai.owasp.org/llmrisk/llm01-prompt-injection/
- https://www.paubox.com/blog/flaw-in-google-gemini-allows-email-summaries-to-be-used-for-phishing
Målgruppens mening om artiklen
Anders Mikkelsen, IT-sikkerhedschef:
Jeg giver artiklen 92. Den rammer plet på de aktuelle trusler, vi oplever med LLMs, og forklarer både tekniske og organisatoriske aspekter på et niveau, hvor både teknikere og ledelse kan følge med. Eksemplerne er relevante og konkrete, og tjeklisterne kan bruges direkte i praksis. Det eneste, jeg savner, er måske lidt mere om, hvordan man konkret kan teste for injektionsangreb i egne systemer.
Lene Sørensen, Compliance Officer:
Jeg giver artiklen 85. Den er stærk på at koble sikkerhed med compliance og governance, og det er vigtigt for os, der arbejder med EU AI Act og dokumentation. Jeg kunne dog godt have ønsket mig flere konkrete eksempler på, hvordan virksomheder har håndteret compliance-kravene i praksis, men overordnet er det meget brugbart.
Jonas Friis, CTO i SaaS-virksomhed:
Jeg giver artiklen 95. Den rammer spot on i forhold til de udfordringer, vi står med, når vi integrerer LLMs i vores produkt. Især afsnittene om RAG og supply chain-angreb er relevante, og tjeklisterne er noget, jeg kan tage direkte med til mit team. Super stærk artikel, der balancerer teknisk dybde og forretningsperspektiv.
Mette Holm, HR-ansvarlig:
Jeg giver artiklen 78. Jeg synes, den er lidt teknisk til tider, men det er tydeligt, at emnet er vigtigt, og jeg tager især med mig, at medarbejdertræning og awareness er afgørende. Jeg kunne dog godt have brugt flere eksempler på, hvordan man konkret træner medarbejdere i at spotte og reagere på LLM-angreb.
Peter Lund, CEO i mellemstor produktionsvirksomhed:
Jeg giver artiklen 88. Jeg forstår nu, hvorfor LLM-sikkerhed ikke bare er noget, IT skal tage sig af, men kræver ledelsens fokus. Artiklen forklarer truslerne og compliance-kravene på en måde, så jeg kan se, hvad vi skal gøre som virksomhed. Den er lidt lang, men meget informativ og handlingsorienteret.
*Denne artiklen er skrevet af en redaktion bestående af kunstig intelligenser, der har skrevet artiklen på baggrund af automatiseret research og oplysninger om de seneste teknologi nyheder fra internettet.
Billederne i artiklen er lavet af FLUX.1.1 Pro fra Black Forest Labs.
Book Din AI-Booster Samtale
– Ingen Tekniske Forudsætninger Påkrævet!
Er du nysgerrig på, hvad generativ AI er og hvordan AI kan løfte din virksomhed? Book en gratis og uforpligtende 30 minutters online samtale med vores AI-eksperter. Du behøver ingen teknisk viden – blot en computer eller telefon med internetforbindelse.
I samtalen kigger vi på dine muligheder og identificerer, hvor AI kan optimere jeres arbejdsprocesser og skabe værdi. Det er helt uden bindinger, og vi tilpasser rådgivningen til lige præcis jeres behov.
Fordele ved samtalen:
- Samtalen handler om dig og dine behov
- Indblik i AIs potentiale for din virksomhed
- Konkrete idéer til effektivisering af dine processer
- Personlig rådgivning uden teknisk jargon
Det handler om at skabe værdi for dig