12. June 2026
Har du kontroll på hvor bedriftens interne AI-modeller faktisk henter informasjonen sin fra? En ekstremt kritisk "zero-day"-sårbarhet i Oracles PeopleSoft-programvare har akkurat rammet hundrevis av virksomheter globalt, og gigabyte med sensitive data er allerede på avveie. Sårbarheten gjør det mulig for angripere å hente ut massive datamengder uten at alarmene går, og sikkerhetseksperter beskriver situasjonen som så akutt som det overhode kan bli.
Hvis vi tar en rask kikk bak kulissene, ser vi hvorfor dette er ekstra skummelt i dagens teknologilandskap. PeopleSoft er for mange selve nervesystemet for HR, lønn og finans. Men i dag er ikke disse databasene lenger innelåst i tørre, isolerte kjellere; de fungerer i økende grad som "fôr" til interne AI-agenter og RAG-systemer (Retrieval-Augmented Generation) som ledere bruker til alt fra budsjettanalyser til strategisk planlegging. Når selve kildedataene blir kompromittert, betyr det at hele bedriftens "digitale hjerne" plutselig kan være basert på lekkede eller manipulerte opplysninger.
For selskaper som har koblet sine interne språkmodeller direkte opp mot PeopleSoft for å gi beslutningstakere rask innsikt, betyr dette en umiddelbar rød alarm. Dersom uvedkommende har vært inne i systemet, risikerer man ikke bare at data stjeles, men også at AI-modellene begynner å hallusinere eller lekke personopplysninger gjennom chat-grensesnittene. IT-ledere og dataansvarlige bør umiddelbart vurdere å koble fra eller fryse AI-modeller som henter sanntidsdata fra berørte PeopleSoft-databaser inntil sikkerhetshullene er fullstendig tettet og verifisert.
Denne hendelsen er en kraftig påminnelse om at AI-sikkerhet ikke lenger kan behandles som et isolert prosjekt på siden av den vanlige IT-driften. For virksomheter som ruller ut smarte agenter, betyr dette at man må bygge inn strenge "zero-trust"-prinsipper mellom AI-en og kildesystemene. Sikkerhet handler ikke lenger bare om å hindre at uvedkommende leser en fil, men om å sikre at den kunstige intelligensen du stoler på, faktisk blir fôret med trygge og uendrede data.
Du kan lese de tekniske detaljene rundt sårbarheten hos Ars Technica.