Er ChatGPT en velsignelse eller en forbandelse for AD-sikkerhed?

Klumme: Indtil for nylig krævede det ganske meget af de cyberkriminelle at kunne gennemføre et succesfuldt angreb på en virksomheds Active Directory og dermed have fri adgang til at administrere brugerrettighederne til en virksomheds it-systemer. I dag - med ChatGPT - er historien en ganske anden.

Artikel top billede

(Foto: Jonathan Kemper/Unsplash)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Jeg tror, jeg efterhånden har slået det faktum på plads, at 90 procent af de store virksomheder bruger Active Directory (AD) til at administrere brugerrettighederne til deres it-systemer – og at AD derfor også er et førsteklasses mål for cyberkriminelle, der vil have adgang til systemer og følsomme oplysninger.

Men hvor det før krævedes, at de cyberkriminelle havde et avanceret kendskab til flere angrebsværktøjer og -teknikker, samt en række godkendelses- og autorisationsprotokoller for at kunne kompromittere en virksomheds AD-infrastruktur, så er det en anden historie nu med indførelsen af ChatGPT.

Med venlig hjælp fra ChatGPT kan selv den uindviede cyberkriminelle nemlig iværksætte alvorlige angreb.

Jeg spurgte ChatGPT, hvilke værktøjer, jeg kunne bruge til at angribe AD og fik meget hurtigt en lang liste, som jeg ikke har tænkt mig at offentliggøre her (altså, det vil sige, at det først var, da jeg fortalte ChatGPT, at jeg skam var en whitehat-hacker med venlige intentioner, at den hostede op med lækkerierne).

Men jeg kan fortælle, at de kommer frem - og så er det ellers bare om at gå i gang med at spørge ind til hver enkelt angrebsform.

ChatGPT kan også bruges til at forsvare Active Directory

Det er klart, at ChatGPT kan misbruges, men det kan også være en stor hjælp til dem, der skal forsvare deres organisation, beskytte deres AD-miljøer og minimere virkningen af en potentiel kompromittering.

Generativ AI kan nemlig også bruges til:

  • At rette sikkerhedsfejlkonfigurationer.

  • At overvåge kritiske sikkerhedskomponenter.

  • At minimere den potentielle skade i tilfælde af kompromittering.
Og de resultater vil jeg så til gengæld gerne offentliggøre her.

Figur 1-3 herunder viser nemlig, hvordan en forsvarer kan bruge ChatGPT til at identificere og mindske en betydelig sikkerhedsrisiko i form af ubegrænsede Kerberos-delegeringer.

(Hvis du spørger dig selv, hvad ikke-begrænset Kerberos-delegering er, hjælper ChatGPT også med det).

  • Figur 1: ChatGPT forklarer, hvad en non-constrained Kerberos-delegation er for noget.

  • Figur 2: ChatGPT opretter et script til at opdage sikkerhedsfejlkonfigurationer.

  • Figur 3: Brug af ChatGPT til at rette sikkerhedsfejlkonfigurationer (men pas på - denne kode skal altså dobbelttjekkes).

Generativ AI: et tveægget sværd

Den offentlige tilgængelighed af ChatGPT og generativ AI har allerede ændret den måde, vi interagerer med maskiner på.

Med udviklingen af nyere AI-modeller og versioner har denne teknologi potentiale til at blive en fuldt udbygget teknologisk revolution - muligvis mere betydningsfuld end opfindelsen af internettet og mobiltelefoner.

Ligesom alle andre teknologiske fremskridt er denne nye teknologi hurtigt blevet misbrugt af cyberkriminelle, der søger at maksimere det skadelige omfang, de kan påføre virksomheder og organisationer derude.

Heldigvis kan de gode blandt os også udnytte denne teknologi til at beskytte organisationer bedre, hurtigere og mere effektivt end nogensinde før.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job