En tråd som gjør runder på Lobsters AI akkurat nå treffer en nerve mange i sikkerhetsfeltet kjenner godt, men få snakker høyt om: du kan ha en streng nettverks-allowliste på AI-containerne dine, og det hjelper fortsatt ikke nok.

Artikkelen det lenkes til — en teknisk note om "canister egress proxy" og DLP (Data Loss Prevention) — argumenterer for at tradisjonelle nettverkskontroller er fundamentalt utilstrekkelige når angripere (eller feilkonfigurerte AI-agenter) aktivt prøver å få data ut. Og community-reaksjonene er verdt å merke seg: folk er ikke overrasket, de er frustrerte.

Hvorfor er dette relevant akkurat nå? Fordi 2025–2026 har vært årene der organisasjoner virkelig begynte å kjøre AI-agenter i produksjon med nettverkstilgang. Mange trodde at en fornuftig allowliste — "agenten får bare snakke med disse API-ene" — var tilstrekkelig isolasjon. Det holder ikke.

En AI-agent som kan gjøre HTTP-kall til én tillatt tjeneste, kan i prinsippet eksfiltrere data gjennom den samme kanalen.

Teknikkene som omgår allowlister er ikke ny teknologi. DNS-tunneling har eksistert i årevis: data pakkes inn i DNS-spørringer mot domener angriperen kontrollerer, og siden DNS-trafikk sjelden blokkeres, slipper det gjennom. HTTPS-eksfiltrering fungerer ved at trafikken ser ut som vanlig HTTPS mot en tillatt vert. ICMP-tunneling gjemmer data i ping-pakker. Og så er det misbruk av legitime tjenester — laste opp filer til Google Drive eller Dropbox, tjenester som nesten alltid er på allowlisten.

Forskningsdata underbygger alvoret: 96 prosent av alle ransomware-hendelser i første kvartal 2026 involverte datalekkasje, og gjennomsnittskostnaden per hendelse nærmer seg 5,2 millioner dollar ifølge IBMs 2024 Data Breach Report.

Nettverks-allowlister stopper ikke AI-lekkasjer — her er hvorfor - Bilde 1

Det som gjør dette spesielt ubehagelig i AI-kontekst er at agenter per definisjon er laget for å kommunisere med omverdenen. De henter data, kaller APIer, sender resultater videre. Grensen mellom legitim adferd og eksfiltrering er vanskelig å trekke — og det er akkurat den grensen angripere og prompt injection-angrep utnytter.

Hva skal man gjøre? Lobsters-diskusjonen peker på egress-proxyer med DLP-inspeksjon, mikrosegmentering og aktiv overvåking av utgående trafikk som nødvendige tiltak — ikke valgfrie. Allowlister er en forutsetning, ikke en løsning.

Dette er early signals fra et teknisk community, ikke bekreftet av større sikkerhetsrapporter ennå. Men samtalen er i gang, og den antyder at mange AI-deployments i dag har en sikkerhetsmodell som er et par år forsinket.

Kilde: Lobsters AI / dergraf.org — community-diskusjon, ikke fagfellevurdert forskning.