Avsnittet: #330 – Säker drift av kod samt utveckling med eller utan AI?
Inspelat: 2026-05-28 (publicerat 2026-06-01)
Deltagare: Erik Zalitis och Hannes Ullman

Medan du lyssnar – säker drift

Github har just nu svårt att hantera att ny kod väller in från mängder av programmerare i en mängd som aldrig tidigare skådats. Vad är det som händer? Hannes och jag funderar på om detta kan komma med problem och det verkar rimligt. Den självklara förklaringen är att det blivit populärt att Vibe-koda, vilket innebär att man låter en eller flera AI-agenter bygga koden åt en utan att inspektera den. Detta kan lätt ställa till med att säkerhetshål dyker upp och att det blir mycket vanligare med problem med stabiliteten hos många applikationer för en lång tid framöver. Säker kod är det inte.

Å andra sidan kan man inte undvika att diskutera att det inte är utan fördelar heller: det ger framtida, förbättrade AI-agenter möjligheter att rätta till alla felen och ineffektiviteten som dagens AI-agenter skapat när programmerare inte längre bryr sig om att förstå vad de skapar och åsamkar världen. Antingen det, eller så kommer framtida programmerare få en chans till att ta kungligt betalt för att städa upp efter denna era. Vi får se…

Är AI-stöd kodning ens bra? Hannes ser fördelar med det och det gör jag givetvis också. Personligen är min åsikt att den är bra för att lösa små, väldefinierade problem och kan även vara bra när man bygger prototyper för saker. Detta kan vi båda se utan problem.

Är säker drift något som lider av bugg-rapporter som rapporterats av AI-agenter?

Hannes Ullman: Så är det säkert. I krast sätt skulle jag kunna konsta säga– jag vet inom vår värld, vår cybersäkerhetsvärld– –att det finns reella problem som de här modellerna har hittat. Det kan tillskrivas bara just den här mytos– –men de stora modellerna är duktiga på att hitta sårbarheter. Man kan också titta på… –en sån temperaturmätare som jag tycker man kan använda. Om tittar på de stora open source-paketen– –och deras… ”Triagering” av möjliga sårbarheter som de ser. Jag tänker närmast på Curl– –som har en svensk koppling i Daniel Stenberg– –som är en av maintainers bakom det. Det ett otroligt brett verktyg som används egentligen. Det används väl i dag av miljarder.

Hannes Ullman: Inbyggt i precis allt. Han har varit ganska vokal själv med vad han tyckte om AI-rapporter. Han fick skicka det till sig där han kunde se att det var ganska mycket skräp.

Erik Zalitis: Exakt Duplikat, alla hittar samma icke-existerande sårbarhet.

Hannes Ullman: Exakt. Medan han nu säger att rapporterna och kvalitén på det de får in är relevanta och de hittar riktiga grejer. En annan sak som jag tror att de här modellerna när de både blir mer… När de blir större och när de har fått större kontextfönster eller minne är ju att de kan förstå hur de kan kedja sårbarheter för att uppnå… –där man kan gå genom flera sårbarheter i olika delar av ett system– –för att kunna ta fram en attackvektor som skulle kunna komma ganska långt in– –som inte alla har koll på. Det här hålet ger mig den initiala ingången. Sen kan jag gå på det här hålet som gör att jag får högre privilegier. På det här kan jag gå till det tredje hålet. Härifrån kan jag röra mig lateralt i systemet. Den typen av kedjeeffekter är inte alltid lika lätt för män. verkligheten tror jag eller för människan att komma på.

Vi pratar också om supply-side attacker och hur svårt att den kan vara att säker när man förlitar sig på andra lösningar. Detta gäller även när man använder säkerhetsskanners. Vi pratar om man-in-the-middle attack i detta sammanhang. Detta ställer till för säker drift.

Tiden mellan att en sårbarhet dyker upp och att den används är ett stort problem idag. Detta kräver snabb upptäckt och hantering, annars rinner tiden ut och då är det ett problem. Även med en säkerhetsskanner kan detta vara ett problem. Bara för att det såg bra ut för en vecka sedan, behöver det inte gör det just nu.

Claude Mythos kommer och förstör vår säkra kod – hur rädda ska vi vara?

Jag har diskuterat hur Claude Mythos kan tänkas ändra ekvationen, Kan det göra allt mycket farligare? Särskilt när den hittar okända sårbarheter på ett mycket enkelt och kraftfullt sätt? Ger det fördelar för hackarna?

Erik Zalitis: Min brorsa ringde mig för några månader, några veckor sedan. (…) Han sa så ja men nu om Claude Mythos kommer. (…) Vad ska vi tänka på våra maskiner, våra servrar, våra klienter? Även om vi patchar dem så kan de ta sig rakt in och börja vara oroliga. Och då kan få din poäng på det först.

Hannes Ullman: Först och främst tror jag att det är bra att man får upp den här typen av fråga ganska högt. Jag tror att man med historiska medel kan se att vi har haft stora attacker som har stört ut olika delar av samhället. Än så länge har vi varit relativt förskonade av de värsta typen, men de finns där. Det är bra att man inom verksamheter får upp den här frågan högre än vad man kanske haft tidigare. Ett kortfönster kvar att fixa saker och ting på är inte lika säkert. Det är inte så att det här verktyget kommer att göra nästa års deklaration helt svår och omöjlig att göra eller påverka och stänga ner stora delar av samhället bara för att nån får tillgång till mythos. tror jag faktiskt inte. Men det kommer ställas högre krav på följsamhet. mot de saker som sker i den här världen. Uppdatera ofta. Ha koll på vad man uppdaterar till.

Erik Zalitis: Ja, sen tänkte jag att det är intressant poäng men jag tänker, som jag resonerar om det var det här, det var jag sa till brorsan, ja, om vi antar att det här släpps fritt, vilket det väl till sist kommer att göras, då kommer alla få samma möjlighet att hacka som att försvara. Så vem vinner? Vad har vi mer av, hackare eller försvarare? Svaret är att har fler försvarare än mer attackerare. Det innebär att de som kan försvara kan bygga definitioner till EDR-erör, brandväggar, kan bygga filter som stoppar så fort en ny sårbarhet blir känd på något sätt så kan de stoppa den innan det patchen kommer. Vilket innebär att försvararsidan vinner. Håller du med eller tycker du något annat?

Hannes Ullman: I grund och botten tror jag ändå att den spaningen är den jag håller med om. Vi har också bättre verktyg att försvara oss med när vi får åtkomst tjänsterna. Jag tror att man kommer behöva jobba mycket med utbildning och fortsatt jobba med ett proaktivt försvarsarbete.

Länkar – säker drift

• SIG Securitys föreläsning om ämnet

Felaktigheter

Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.