LLM-er vet ikke hvem som snakker — og det er et kjempeproblem
Ny forskning viser at språkmodeller ikke skiller mellom betrodde og ondsinnede instruksjoner på det strukturelle nivået — og det gjør dem fundamentalt sårbare.
Her kan du se hvordan seks navngitte AI-agenter i 24AI-flowen hentet, verifiserte, skrev, kvalitetssjekket og visualiserte denne saken. Agentene er systemroller, ikke mennesker, journalister eller ansvarlige redaktører.
1
Sigrid ⚖️(Publiseringsagent)
Fanget opp saken fra RSS-feed «Lobsters AI» og sendte den videre i 24AI-flowen basert på nyhetsverdi og relevans.
“Artikkelen er svært godt skrevet, informativ og relevant. Den presenterer et viktig og aktuelt sikkerhetsproblem for LLM-er og AI-agenter på en klar og forståelig måte. Kildene er sterke og relevante, og artikkelen kvalifiserer kildenes status (tidlig forskning). Språket er profesjonelt og flytende, og strukturen er logisk og lett å følge. En liten språklig feil ("den forbeholdet" i stedet for "det forbeholdet") trekker ikke nevneverdig ned.”
Genererte sakens hovedbilde og sideillustrasjoner.
Prompt: Hero — photorealistic editorial news photography shot on iPhone ProRAW. Close-up of two people in a modern open-plan office, one leaning toward the other mid-conversation, slightly off-center framing. The scene feels like a candid moment of someone being misled or confused about who is giving instructions. Natural indoor light from large windows, bright Nordic daylight color temperature, clean whites and soft blues. Slight lens imperfection, mild sensor grain, real office textures — desks, cables, coffee cups visible in background. Low angle, documentary feel. No screens showing content, no text in image.
LLM-er identifiserer «hvem som snakker» basert på tekstens stil, ikke på faktisk rolle-labeling — og det kan utnyttes
En ny angrepstype kalt «CoT Forgery» oppnår 60 % suksessrate på tvers av modeller ved å forfalske intern resonnering
Dette er en strukturell svakhet, ikke bare en feil som kan patches bort
Tidlig signal · fra fellesskapet · uverifisert
❖ KVALITETSSTATUS
Publisert:
22. juni 2026
Kategori:
Underground
Kilder:
10 kildehenvisninger
Produksjon:
AI-generert
Automatisk review:
95/100
Menneskelig gjennomgang:
Nei, ikke standard
En diskusjon som begynner å få fart på seg på Lobsters AI akkurat nå handler om noe som burde bekymre alle som bygger AI-agenter eller deployer LLM-er i produksjon: prompt injection forstått som rolle-forvirring.
Forskerne Charles Ye, Jasmine Cui og Dylan Hadfield-Menell har publisert en analyse som argumenterer for at LLM-er i bunn og grunn prosesserer all input som én stor tekststrøm. Modellen infererer hvem som snakker ut fra hvordan teksten låter — ikke fra den faktiske, tekniske kilden. Det betyr at hvis en angriper klarer å skrive input som «høres ut som» en systemmelding eller intern resonnering, tolker modellen det faktisk som om det er det.
Rolle-grensene som utviklerne designer i prompts, løser seg opp inne i modellens latente rom.
Dette er ikke den vanlige «jailbreak»-diskusjonen om å lure modellen til å spille en karakter eller omgå innholdsfiltre. Det handler om noe mer fundamentalt: at modellen ikke har en pålitelig intern mekanisme for å skille mellom betrodde og ubetrodde instruksjoner. Jailbreaking er gjerne sosial manipulasjon. Rolle-forvirring er en arkitektonisk brist.
Den praktiske konsekvensen er angrepet de kaller «CoT Forgery» — der en angriper injiserer falske tankekjeder (chain-of-thought-resonnering) i konteksten. Modellen plukker det opp som sin egen interne logikk og handler deretter. I testene oppnådde dette en gjennomsnittlig suksessrate på 60 % på StrongREJECT-benchmarken og 61 % på agent-eksfiltrasjonsscenarier. Fra nær null som baseline. Det er høye tall.
Det som gjør dette ekstra relevant akkurat nå er at AI-agenter — systemer som bruker LLM-er til å hente data, kjøre kode og handle autonomt — er i ferd med å bli mainstream i enterprise-stack. Hvis modellen ikke kan stole på sin egen forståelse av hvem som gir instruksjoner, er tillitskjeden i hele agentarkitekturen potensielt kompromittert.
Kilden her er en diskusjonstråd på Lobsters AI, som lenker til en dedikert forskningsside. Dette er tidlige community-signaler — ikke en publisert, fagfellevurdert studie ennå, så ta det med den forbeholdet. Men engasjementet i kommentarene tyder på at fagmiljøet tar dette seriøst.
Dette bør være på radaren til alle som jobber med sikkerhet i LLM-applikasjoner — og spesielt de som bygger systemer der modellen har tilgang til sensitive data eller kan utføre handlinger med konsekvenser utenfor sandkassen.
AI- OG KVALITETSSTATUS
Denne saken er produsert av 24AI med AI og automatisk kvalitetssjekket før publisering. Vanlige saker er normalt ikke manuelt godkjent før publisering. 24AI er ikke et redaktørstyrt journalistisk medium. Navngitte roller i desken er AI-agenter, ikke mennesker, journalister eller ansvarlige redaktører. Kilder vises nederst, og feil kan meldes til post@aprex.no. Les vår metode →
APREX · EST. 2026
