Kunstig intelligens har ikke bare givet virksomheder nye muligheder. Den har også gjort det lettere at bygge bots, lettere at skalere angreb og sværere at skelne mellem legitim trafik og ondsindet automatisering. Det mærker virksomhederne især på websites, kundekonti og i stigende grad på deres API’er.
Af Flemming Østergaard
Midt i al AI-begejstringen er bots blevet et stort og voksende problem for virksomheders drift, forretning og kundevendte systemer.
”En bot er i bund og grund noget, der kan automatisere næsten alt online. Det kan være en chatbot, men det kan også være noget, der køber store mængder koncertbilletter eller sportsbilletter. Den automatiserer de handlinger online, som vi normalt udfører som mennesker,” siger Tim Ayling, Vice President of Cyber Solutions Specialists i Thales Group.
Bad bots udgør 40 pct. af al internet trafik
Det nye er ikke, at bots findes, men at AI har ændret både omfanget og karakteren af truslen. Det var i sig selv en kæmpestor overskrift, da Imerva/Thales-rapporten i 2025 påpegede, at automatiseret trafik stod for 51 pct. af al trafik på internettet i 2024. Men det var stærkt bekymrende, at bad bots udgjorde 37 pct. af al internet trafik – et tal, som nu er omkring 40 pct.
En væsentlig del af forklaringen er, at AI har gjort det meget lettere at bygge bots. Tim Ayling fortæller, at han selv på 30 sekunder kunne bygge en WhatsApp-chatbot til at træne spansk, selv om han ikke kan kode.
”Med vibe coding skriver du bare, hvad du vil have den til at gøre, og så bygger den det for dig,” siger Tim Ayling.
Det er dog ikke de simple bots, der bekymrer mest. Det alvorlige er, at professionelle aktører bruger AI til at gøre bots selvlærende og sværere at opdage. Adaptive bots er i stand til at ændre deres adfærd, når de bliver opdaget.
”Men det, man kalder en polymorf bot, ændrer ikke bare adfærd, den ændrer også sin kode. Den omskriver konstant sig selv, og derfor er det umuligt at lave en signatur til den,” påpeger Tim Ayling.
Bad bots går særligt efter API
Han understreger, at virksomheder skal være meget opmærksomme på, at angrebene fra bots i stigende grad går efter API’erne bag virksomhedernes websites. Det er her, systemer udveksler data, håndterer login, betalinger og andre kernefunktioner.
”Mange angreb går helt konkret ud på at hente data fra backend ved hjælp af bots, der angriber offentligt tilgængelige API’er,” siger Tim Ayling, som anslår, at omkring 40 procent af botangrebene er rettet mod API’er.
Samtidig undervurderer mange virksomheder problemet, fordi de ikke har overblik over deres egne API’er. For udviklere arbejder under stort pres, bygger API’er hurtigt og får dem ikke altid lukket ned igen.
Tim Ayling nævner Imperva’s egen erfaring, før virksomheden blev købt af Thales. Imperva tog deres eget API discovery-værktøj i brug, og fandt omkring 2.000 API’er, som de ikke vidste, at de havde.
”Den store udfordring er at opdage disse API’er, for når du først har opdaget dem, kan du gøre noget ved det. Men problemet er, at du er nødt til at blive ved med at opdage dem, for der dukker nye op hele tiden,” siger Tim Ayling.
Ikke nogen simpel løsning
Han understreger, at der ikke findes én enkel løsning til at beskytte sig mod botangreb.
”Virksomheder skal tænke i lagdelt forsvar, hvor blandt andet web application firewall, DDoS-beskyttelse, API-beskyttelse og bot management spiller sammen. Det giver et stærkt lagdelt forsvar, uden at det skaber for meget friktion for slutbrugerne”
siger Tim Ayling.
Thales’ løsning til kunderne er en platformtilgang, hvor kunder kan bygge nye sikkerhedslag på efter behov i stedet for at samle enkeltstående løsninger fra forskellige leverandører.
”Hvis kunderne indser, at de har brug for API-sikkerhed, kan de aktivere det. Det giver dem mulighed for at reagere hurtigt, når en ny trussel opstår,” siger Tim Ayling.
Han peger også på, at virksomhedernes egne AI-løsninger skaber nye angrebsflader. Thales er derfor i gang med at udvikle en AI-firewall til chatbots, som skal integreres i platformen.
Han lægger ikke skjul på, at mange virksomheder stadig reagerer for sent.
”Sikkerhed har typisk altid været en eftertanke. Virksomheder skynder sig at tage kunstig intelligens i brug, og først bagefter går det op for dem, hvor meget sikkerhedsarbejde der skal på plads,” siger Tim Ayling.
