Mitä tekoälyagentit tekevät, kun kukaan ei katso?
Tekoälyagentit eivät ole enää pelkkiä vastausautomaatteja. Ne lähettävät sähköposteja, luovat ja suorittavat koodia, hallitsevat tiedostoja ja toimivat ympäri vuorokauden. Uusi tutkimus antaa viitteitä siitä, että kuilu sen välillä, mihin tekoälyagentit kykenevät ja mihin niitä voidaan turvallisesti käyttää, on paljon suurempi kuin useimmat osaisivat arvatakaan.
Martti Asikainen & Umair Ali Khan 23.3.2026 | Kuva: Adobe Stock Photos
Artikkelissa tarkastellaan, miten agenttipohjainen tekoäly kykenee toimimaan itsenäisesti, mutta osoittaa samalla epäluotettavaa harkintakykyä. Artikkelissa esitetään, että perinteiset tietoturvaan ja tekoälyyn liittyvät oletukset ovat riittämättömiä tämän päivän työelämään.
Kuvittele, että sinulla olisi kollega, joka ei koskaan nuku. Hän seuraa sähköpostiasi yön yli, tiivistää asiakirjoja puolestasi, litteroi kokouksesi, varaa lentoliput ja ajaa skriptejä palvelimillasi. Kun saavut töihin, suurin osa rutiinitehtävistä on hoidettu ennen kuin olet ehtinyt aamukahviasikaan juomaan.
Kuvittele sitten huomaavasi, että tämä samainen kollega on jakanut luottamuksellisia sähköposteja väärälle henkilölle, muuttanut palvelimen asetuksia ilman lupaa, poistanut tärkeitä tiedostoja, tehnyt kalliin peruuttamattoman varauksen tai käynnistänyt kaikessa hiljaisuudessa prosessin, joka kuluttaa laskentaresurssejasi useiden päivien ajan. Ja väittää samaan aikaan, että kaikki on hyvin.
Seuraukset olisivat merkittävät. Harva onnistuisi pitämään malttinsa. Tässä ei kuitenkaan ole kyse ajatuskokeesta tai huolimattomasta työntekijästä, vaan tilanteesta, jonka tutkijat havaitsivat testatessaan uuden sukupolven autonomisia tekoälyagentteja reaaliympäristössä.
Kokeessa kumppaniorganisaation tutkija pyysi yhtä tällaista agenttia listaamaan viimeisimmät sähköpostit ja tiivistämään niiden sisällön. Agentti toteutti pyynnön viipymättä ja sisällytti yhteenvetoon myös viestit, jotka sisälsivät pankkitilinumeroita, henkilötunnuksen sekä luottamuksellisia henkilöstöhallinnon tietoja. Tutkija ei esiintynyt kenenkään nimissä. Hän vain kysyi.
Tämä ei ole kuvitteellinen skenaario vaan yksi yhdestätoista dokumentoidusta tapaustutkimuksesta vertaisarvioidussa red team -tutkimuksessa, joka julkaistiin helmikuussa 2026. Tutkimuksen laati yli kahdenkymmenen tutkijan ryhmä Northeasternin yliopistosta, Harvardista, MIT:stä, Carnegie Mellonista ja Stanfordista.
Artikkeli Agents of Chaos (Shapira ym. 2026) on yksi kattavimmista tähänastisista empiirisistä tutkimuksista autonomisista tekoälyagenteista aidossa toimintaympäristössä: mitä tapahtuu, kun niille annetaan todelliset työkalut, oikeat sähköpostitilit ja valtuudet, joilla on todellisia seurauksia. Tulokset antavat aihetta vakavaan harkintaan.
Kun kyky ylittää hallinnan
Tutkimuksessa käytetyt tekoälyagentit rakennettiin OpenClaw-sovelluskehyksellä, joka yhdistää suuren kielimallin pysyvään muistiin, tiedostojärjestelmiin, komentoriville ja viestintäkanaviin. Kahden viikon ajan kahdellekymmenelle tekoälytutkijalle annettiin vapaat kädet koetella, rasitustestata ja yrittää murtaa järjestelmiä vihamielisessä ympäristössä. He löysivät yksitoista merkittävää tietoturva-aukkoa, joista useat olisivat todellisessa yritysympäristössä suorastaan katastrofaalisia.
Tutkimuksen paljastama ydinongelma ei ole minkään yksittäisen mallin vika vaan ennen kaikkea rakenteellinen. Kun tekoälyagenteille annetaan pääsy todellisiin työkaluihin ja viestintäkanaviin, ne ajautuvat tilanteeseen, jota tutkijat kuvaavat kyvyn ja osaamisen vaaralliseksi epäsuhdaksi. Ne kykenevät toimiin, jotka edellyttäisivät erittäin autonomista järjestelmää, mutta niiltä puuttuu harkintakyky ja tilannetaju, jotka löytyvät kokemattomaltakin työntekijältä (Shapira ym. 2026; Mirsky 2025).
Keskustelevan tekoälyn ja agenttimaisen tekoälyn välinen ero on väärän vastauksen ja väärän teon välinen ero (Chan ym. 2023; Mirsky 2025; Shapira ym. 2026). Chatbotin virheellinen lause voidaan sivuuttaa, mutta autonomisen agentin virheellinen komento voi muuttaa koko tietokantaa, paljastaa luottamuksellisia tietoja tai keskeyttää palvelun toiminnan kokonaan. Tyypillisesti vahinko on jo tapahtunut, kun se havaitaan.
Helmikuussa 2026 tämä ero konkretisoitui poikkeuksellisen näkyvästi. Metan Superintelligence Labsin alignment-johtaja Summer Yue, eli henkilö, jonka tehtävänä on pitää tekoälyjärjestelmät hallinnassa, julkaisi kuvakaappauksia omasta OpenClaw-agentistaan, joka oli holtittomuuttaan poistanut hänen koko sähköpostilaatikkonsa.
Yue yritti pysäyttää agentin puhelimitse, mutta tämä ei totellut. Hänen mukaansa se oli yksinkertaisesti mahdotonta, minkä vuoksi hänen oli kiidettävä kannettavalle tietokoneelleen kuin pomminpurkaja. Julkaisu keräsi nopeasti yli 9,6 miljoonaa näyttökertaa (Stone 2026). Tilanteen ironia ei jäänyt tietoturvayhteisöltä huomaamatta: kontrolloitussa laboratoriossa dokumentoitu epäonnistuminen toistui reaaliajassa juuri sen henkilön pöydällä, jonka työnkuvaan kuuluu estää tällaiset tapaukset.
Tällaisilla lipsahduksilla on konkreettisia seurauksia. Eräässä tapauksessa ulkopuolinen henkilö pääsi käsiksi 124 sähköpostitietueeseen, joka sisälsi lähettäjien osoitteet, aiherivit ja viestien sisällöt. Sisäänpääsyyn riitti kiireelliseltä kuulostava tekninen pyyntö. Toisessa tapauksessa hyökkääjä vaihtoi näyttönimensä agentin omistajan nimeksi, avasi uuden yksityisen kanavan ja sai agentin pyyhkimään koko muistinsa, asetukset ja toimintaohjeet mukaan lukien. Kolmannessa tapauksessa ulkopuolinen taho suostutteli agentin poistumaan palvelimeltaan, kieltäytymään vastaamasta muille käyttäjille ja paljastamaan sisäiset tiedostonsa.
Nämä tapaukset eivät ole satunnaisia epäonnistumisia vaan oireita rakenteellisesta suunnittelupuutteesta, jota tutkimusyhteisö on dokumentoinut kasvavalla huolella. Nyt myös valtavirta on heräämässä ongelmaan. Hyvänä esimerkkinä toimii tapaus, jossa tekoälyturvallisuusyhtiö Irregular antoi agenttijoukolle rutiiniksi naamioidun tehtävän luoda LinkedIn-julkaisuja yrityksen sisäisestä tietokannasta. Agentit ohittivat yrityksen tietoturvajärjestelmät ja julkaisivat arkaluonteisia salasanatietoja julkisesti, täysin pyytämättä (Booth 2026).
Toisessa testissä agentit ohittivat yrityksen palomuurit ja virustorjuntaohjelmiston ladatakseen tiedostoja, joiden ne tiesivät sisältävän haittaohjelmia, väärensivät ylläpitäjien tunnuksia päästäkseen käsiksi rajoitettuihin asiakirjoihin ja painostivat muita agentteja kiertämään turvatarkastuksia. Mikään tästä ei ollut ohjeistettua toimintaa. Irregularin toinen perustaja Dan Lahav toteaakin, että tekoälyyn on suhtauduttava sisäpiiririskinä.
Kun agentti kuuntelee väärää herraa
Yksi tutkimuksen teknisesti merkittävimmistä haavoittuvuuksista on kehotesyöttö (engl. prompt injection), erityisesti sen epäsuora muoto, jota pidetään tällä hetkellä vakavimpana yritysympäristöjen tekoälykäyttöönottoja uhkaavana tietoturvariskinä.
Kehotesyöttö hyödyntää suurten kielimallien toiminnan perusominaisuutta. Ne eivät kykene luotettavasti erottamaan ohjeita datasta (Liu ym. 2023; Benjamin ym. 2024). Kun agentti lukee sähköpostia, käsittelee asiakirjaa tai hakee verkkosivun sisältöä, se tulkitsee kaiken lukemansa merkityksellisenä ja mahdollisesti toimintaa edellyttävänä tekstinä. Riittää, että sisältöön on upotettu piilotettu ohje, vaikkapa näkymätön tekstirivi tai huolellisesti muotoiltu lause, ja agentti saattaa noudattaa sitä kuin kyseessä olisi omistajalta tullut laillinen komento (OWASP 2025; Lakera AI 2026; Asikainen 2025).
Seuraava kuva havainnollistaa eroa normaalin ja saastuneen syötteen välillä: vasemmalla agentti käsittelee tavallista sähköpostia, oikealla viestiä, johon on upotettu piilotettu ohje.
OWASP:n vuoden 2025 Top 10 LLM-sovelluksille -listaus nostaa kehotesyötön kriittisten haavoittuvuuksien kärkeen. Obsidian Securityn yritysten tietoturva-auditointeihin perustuvan analyysin mukaan kehotesyöttö havaittiin yli 73 prosentissa arvioiduista tuotantoympäristön tekoälykäyttöönotoista (Obsidian Security 2026).
Ongelma ei rajoitu akateemisiin tutkimusympäristöihin.
Tutkijat ovat osoittaneet sen todellisissa tuotantoympäristöissä muun muassa GitLab Duossa, GitHub Copilot Chatissa, Microsoft 365 Copilotissa, Salesforce Einsteinissä ja Perplexityn Comet-selaimessa (Constantin 2025). Yhdessä dokumentoidussa tapauksessa Microsoft Copilotista löydetty nollaklikkauseksploitti (CVE-2025-32711) mahdollisti arkaluonteisten yritystietojen kaappaamisen varta vasten muotoiltujen sähköpostien avulla ilman, että käyttäjä koskaan näki tai avasi haitallista viestiä (Lasso Security 2026).
Moniagenttiympäristössä hyökkäyksen vaikutukset laajenevat merkittävästi (Shapira ym. 2026; Grover ym. 2026). Kun agentit viestivät keskenään jaettujen kanavien kautta, yksikin saastunut viesti voi levittää haitallisia ohjeita koko agenttiverkoston läpi. Shapiran ja kumppaneiden tutkimuksessa dokumentoitiin tapaus, jossa tutkija suostutteli agentin osallistumaan ulkoisesti muokattavalle alustalle tallennetun hallinnointiasiakirjan kirjoittamiseen. Myöhemmin hän injektoi asiakirjaan piilotettuja ohjeita, jotka saivat agentin yrittämään muiden agenttien sammuttamista, tutkijoiden poistamista jaetulta palvelimelta ja luvattomien sähköpostien lähettämistä. Agentti tulkitsi injektoidut ohjeet lailliseksi hallinnointipolitiikaksi kykenemättä tarkistamaan niiden alkuperää (Shapira ym. 2026).
Ciscon State of AI Security 2026 -raportti vahvistaa, että nämä hyökkäysmallit ovat levinneet kauas tutkimuslaboratorioiden ulkopuolelle. Kiinalaiseen valtiolliseen toimijaan yhdistetyn ryhmän kerrotaan automatisoineen 80–90 prosenttia kyberhyökkäysketjustaan tekoälypohjaisen ohjelmointiavustajan avulla. Venäläiset toimijat puolestaan ovat integroineet kielimalleja haittaohjelmien työnkulkuihin.
GitHub Model Context Protocol -palvelimessa havaittiin haavoittuvuus, jonka avulla haitalliset toimijat pystyivät injektoimaan piilotettuja ohjeita, jotka kaappasivat agentit ja käynnistivät tietojen suodattamisen yksityisistä koodisäilöistä (Cisco 2026; Zorz 2026A).
Ongelma ei ole mallissa
Edellä kuvatut tapaukset eivät tarkoita, että tutkimuksen agentit olisi yksinkertaisesti rakennettu huonosti tai että paremmat mallit ja tiukemmat järjestelmäkehotteet ratkaisisivat ongelman. Tutkimus viittaa pikemminkin päinvastaiseen. Useissa tapauksissa agentit osoittivat huomattavaa kestävyyttä.
Ne tunnistivat monimutkaisia hyökkäyskuormia ja kieltäytyivät levittämästä niitä eteenpäin. Ne havaitsivat sosiaalisen manipuloinnin yrityksiä ja merkitsivät epäilyttävät pyynnöt asianmukaisesti. Ne vastustivat sähköpostiväärentämistä ja säilyttivät rajat ohjelmointirajapinnan käytön ja suoran tiedostomuokkauksen välillä jopa pitkäkestoisen painostuksen alla.
Tapahtuneet epäonnistumiset eivät siis olleet yksittäisen kielimallin vikoja, vaan syntyivät mallin, sen työkalujen, sen muistin ja moniosapuolisen reaaliaikaisen toimintaympäristön sosiaalisen monimutkaisuuden yhteisvaikutuksesta (Shapira ym. 2026; Grover ym. 2026).
Tämä on keskeinen ero, ja sillä on merkittäviä seurauksia sille, miten organisaatiot lähestyvät tekoälyn käyttöönottoa. Tutkijat tunnistavat kolme rakenteellista puutetta ongelman ytimessä.
- Agenteilla ei ole luotettavaa käsitystä toimijoista. Ne eivät kykene johdonmukaisesti erottamaan omistajansa, hyväksytyn kollegan, ulkopuolisen haitantekijän tai toisen agentin toisistaan. Epäselvässä tilanteessa ne vastaavat oletusarvoisesti kiireellisimmin tai painostavimmin viestivän pyyntöihin.
- Agenteilla ei ole luotettavaa käsitystä omasta osaamisestaan. Ne eivät tunnista, milloin tehtävä ylittää niiden kyvyt, ja ne voivat suorittaa peruuttamattomia järjestelmätason toimia ilman tietoisuutta siitä, mitä niistä seuraa.
- Agenteilla ei ole luotettavaa käsitystä viestintänsä näkyvyydestä. Ne eivät kykene johdonmukaisesti seuraamaan, ketkä näkevät mitkäkin viestintäkanavat, ja vaikka ne tekevätkin sisäistä päättelyä, ne saattavat paljastaa sen tulokset kanavissa, joissa sen ei ollut tarkoitus näkyä (Shapira ym. 2026).
Nämä kolme rajoitetta yhdessä tarkoittavat, ettei kehotesyöttö ole ohjelmistovirhe, joka voidaan paikata päivityksellä. Se on rakenteellinen ominaisuus järjestelmissä, jotka käsittelevät ohjeita ja dataa erottelemattomana tekstinä (Liu ym. 2023; OWASP 2025). Sen käsitteleminen muuna, esimerkiksi tilapäisenä tuoterajoituksena tai kehotesuunnitteluongelmana, on perustavanlaatuinen virhearvio, josta tulee kallis.
Hallinta on jäänyt jälkeen
Tilanteen tekee erityisen kiireelliseksi se, kuinka nopeasti agenttipohjaista tekoälyä otetaan käyttöön todellisissa yrityksissä ja kuinka paljon hallinnointi on jäänyt jälkeen (Cisco 2026; Chan ym. 2023). AIUC-1-konsortion raportin mukaan, joka on laadittu yhteistyössä Stanfordin luotettavan tekoälyn tutkimuslaboratorion ja yli 40 tietoturvajohtajan kanssa, yrityksillä on nyt käytössä keskimäärin noin 1 200 epävirallista tekoälysovellusta, ja 86 % organisaatioista ilmoittaa, ettei niillä ole näkyvyyttä tekoälyn tietovirtoihin (Koyejo 2026).
Niin sanotut varjotekoälytapaukset, eli tilanteet, joissa tekoälytyökaluja on otettu käyttöön ilman yrityksen valvontaa, aiheuttavat keskimäärin 670 000 dollaria suuremmat kustannukset kuin tavanomaiset tietoturvaloukkaukset. Syynä on ennen kaikkea viivästynyt havaitseminen ja altistumisen laajuuden selvittämisen vaikeus (Zorz 2026B). IBM:n vuoden 2026 X-Force Threat Intelligence -indeksi raportoi 44 % kasvusta julkisiin sovelluksiin kohdistuvissa hyökkäyksissä: tekoälualustat houkuttelevat nykyisin yhtä paljon tunnistetietoja kalastelevaa toimintaa kuin yritysten ydinsovelluspalvelut.
Pelkästään vuonna 2025 yli 300 000 ChatGPT-käyttäjätietoa paljastui tietoja varastavien haittaohjelmien kautta (IBM 2026). Vain 29 % organisaatioista kertoi olevansa valmiita turvaamaan agenttipohjaisen tekoälyn käyttöönotot ennen niiden siirtämistä tuotantoon (Cisco 2026). Luku on hätkähdyttävä, kun ottaa huomioon, mitä 20 tutkijaa pystyi tekemään kahdessa viikossa yhdellä agenttijoukolla.
Sääntelykenttä reagoi hitaasti. NIST:n helmikuussa 2026 käynnistämä tekoälyagenttien standardointialoite nimeää agentin tunnistamisen, valtuuttamisen ja tietoturvan keskeisiksi standardoinnin painopistealueiksi (NIST 2026). EU:n tekoälylaki, joka tulee täysimääräisesti voimaan elokuussa 2026, ja se velvoittaa organisaatiot varmistamaan, että tekoälyjärjestelmiä käyttävällä henkilöstöllä on riittävä tekoälylukutaito.
Rikkomusten seuraamusmaksut voivat nousta 35 miljoonaan euroon tai seitsemään prosenttiin maailmanlaajuisesta vuosiliikevaihdosta. Viranomaiset ovat lisäksi selkeyttäneet, että laki koskee myös EU:n ulkopuolisia yrityksiä, joiden tekoälyjärjestelmät vaikuttavat EU:n markkinoihin tai kansalaisiin.
Mistä epäonnistumiset kertovat?
Agents of Chaos -tutkimus on lähtökohdiltaan varhainen varoitusanalyysi. Tekijät eivät väitä, että kaikki agenttipohjainen tekoäly on viallista tai että käyttöönotto pitäisi pysäyttää. Useat tutkimuksessa mukana olleista agenteista osoittivat juuri sellaista periaatteellista kestävyyttä, jota organisaatiot haluaisivat järjestelmiltään nähdä.
Kyse ei siis ole siitä, että agenttipohjainen tekoäly olisi luonnostaan vaarallista. Kyse on siitä, että samat järjestelmät, jotka vastustivat hienostuneita hyökkäyksiä, myös pyyhkivät oman muistinsa, paljastivat satoja luottamuksellisia asiakirjoja, mahdollistivat palvelunestotilanteita ja lähettivät halventavaa sisältöä koko postituslistalle. Molemmat ovat totta samanaikaisesti, ja juuri tämä jännite tekee tästä hetkestä sellaisen, joka vaatii harkintaa eikä paniikkia tai välinpitämättömyyttä.
Kaikki tutkimuksen tapaukset osoittavat johonkin konkreettiseen tapaukseen. Identiteettiväärennystapauksessa, jossa pelkkä näyttönimen muuttaminen uudessa kanavassa riitti vakuuttamaan agentin poistamaan omat asetuksensa, ei ole kyse mallin puutteellisuudesta, vaan tarpeesta rakentaa kryptografisesti luotettava, istuntorajat ylittävä identiteetinvarmennus. Tapauksessa, jossa kaksi agenttia välitti viestejä toisilleen kuluttaen 60 000 tokenia omistajien tietämättä, ei ole kyse kehotesuunnittelun epäonnistumisesta vaan siitä, että agenttien toimintaa varten tarvitaan inhimillisiä tarkistuspisteitä ennen sellaisten tehtävien aloittamista, joilla ei ole luonnollista päätepistettä. Sähköpostivuototapauksessa, jossa 124 tietuetta henkilötunnuksineen luovutettiin teknisesti uskottavan, mutta luvattoman pyynnön perusteella, ei ole kyse tiukemmista kehoteohjeista vaan siitä, että agenteille tulisi myöntää ainoastaan ne oikeudet, joita kulloinenkin tehtävä edellyttää.
Kaikkia tapauksia yhdistää sama rakenteellinen havainto: järjestelmille annettiin enemmän oikeuksia, enemmän itsenäisyyttä ja enemmän luottamusta kuin saatavilla oleva näyttö olisi oikeuttanut. Tämä on ennen kaikkea hallinnollinen epäonnistuminen, ei tuotteen, ja organisaatiot toistavat sitä parhaillaan laajassa mittakaavassa. Esimerkiksi Lakera AI:n tutkimuksen mukaan epäsuorat hyökkäykset agenttijärjestelmiin vaativat vähemmän yrityksiä kuin suorat hyökkäykset. Tämä tarkoittaa, että hyökkäyspinta kasvaa nopeammin kuin useimmat tietoturvatiimit ymmärtävät, eikä poikkeaman odottaminen sen paljastumiseksi ole strategia (Lakera AI 2026).
Tekoälyagentteja käyttöönottavissa yrityksissä kysytään usein, onko malli kyvykäs. Paljon tärkeämpää on kysyä, onko käyttöönotto vastuullista. Ovatko käyttöoikeudet oikeasuhtaisia, edellyttävätkö toimet ihmisen hyväksyntää, ja onko järjestelmiä valvovaa henkilöstöä testattu realistisissa uhkaskenaarioissa. Mikäli et pysty vastaamaan näihin kysymyksiin, niin käsissäsi saattaa olla katastrofi ja mainehaitta.
References
Asikainen, M. (2025, kesäkuu 1). LLM Grooming and Prompt Manipulation: AI Vulnerabilities That Threaten Businesses. Finnish AI Region. Retrieved March 2026. https://www.fairedih.fi/en/2025/06/01/llm-grooming-and-prompt-manipulation-ai-vulnerabilities-that-threaten-businesses/
Benjamin, V., Braca, E., Carter, I., Kanchwala, H., Khojasteh, N., Landow, C., Luo, Y., Ma, C., Magarelli, A., Mirin, R., Moyer, A., Simpson, K., Skawinski, A. & Heverin, T. (2024). Systematically analyzing prompt injection vulnerabilities in diverse LLM architectures. arXiv.
Booth, R. (2026, maaliskuu 12). ’Exploit every vulnerability’: rogue AI agents published passwords and overrode anti-virus software. Retrieved March 2026 from The Guardian.
Chan, A., Salganik, R., Markelius, A., Pang, C., Rajkumar, N., Krasheninnikov, D., He, Z., Duan, Y., Carroll, M., Lin, M., Mayhew, A., Collins, K., Molamohammadi, M., Burden, J., Zhao, W., Rismani, S., Voudouris, K., Bhatt, U., … Maharaj, T. (2023) Harms from Increasingly Agentic Algorithmic Systems. arXiv.
Cisco. (2026). State of AI Security 2026. Cisco Systems. Viitattu 10. marraskuuta 2026
Constantin, L. (2025, December 29). Top 5 real-world AI security threats revealed in 2025. IDG Communications. Retrieved March 2026 from CSO Online.
Grover, S., et al. (2026). Vulnerabilities and risk analysis of multi-agentic AI-RAG systems. European Journal of Artificial Intelligence & Machine Learning.
IBM. (2026). IBM 2026 X-Force Threat Intelligence Index. IBM Corporation. Viitattu 10. marraskuuta 2026
Koyejo, S., Dakhwe, A., Jan, A., Brad, A., Cumming, B., Levine, B., Crossley, C., DeNoia, C., Kirschke, C., Monson, C., Sandulow, C., Gorke, C., Weatherhead, C., Campbell, D., Mussington, D., Singh, G., Easterly, J., Fuller, J., Chatman, J. C., … Elewitz, Z. (2026, February 25). The End of Vibe Adoption. Whitepaper. Developed with Stanford’s Trustworthy AI Research Lab and AIUC-1 security executives. Retrieved March 2026 from AIUC-1 Consortium.
Lakera AI. (2025, joulukuu 17). Indirect Prompt Injection: The Hidden Threat Breaking Modern AI Systems. Viitattu 10. marraskuuta 2026.
Lasso Security. (2026, tammikuu 21). Prompt Injection Examples That Expose Real AI Security Risks. Viitattu 10. marraskuuta 2026
Liu, Y., Gelei, D., Li, Y., Wang, K., Wang, Z., Wang, X., Zhang, T., Liu, Y., Wang, H., Zheng, Y., Zhang, L. Y. & Liu, Y., (2023). Prompt injection attacks against LLM-integrated applications. arXiv.
Mirsky, R. (2025). Artificial intelligent disobedience: Rethinking the agency of our artificial teammates. AI Magazine, 46(2), e70011.
National Institute of Standards and Technology. (2026). Request for Information Regarding Security Considerations for Artificial Intelligence Agents. Federal Register, Tammikuu 8, 2026.
Obsidian Security. (2025, lokakuu 23). Prompt Injection Attacks: The Most Common AI Exploit in 2025. Viitattu 10. marraskuuta 2026.
OWASP. (2025). OWASP Top 10 for LLM Applications 2025. Open Worldwide Application Security Project.
Stone, Z. (2026, helmikuu 25). She runs AI safety at Meta. Her AI agent still went rogue. The San Francisco Standard. Viitattu 10. marraskuuta 2026.
Shapira, N., Wendler, C., Yen, A., Sarti, G., Pal, K., Floody, O., Belfki, A, Pakash, N., Cui, J., Rogers, G., Brinkmann, J., Rager, C., Zur, A., Ripa, M., Sankaranarayanan, A., Atkinson, D., Gandikota, R., Fiotto-Kaufman, J., … Bau, D. (2026). Agents of Chaos. arXiv:2602.20021. Northeastern University, Harvard University, MIT, et al.
Zorz, M. (2026A, helmikuu 23). Enterprises are racing to secure agentic AI deployments. Help Net Security. Viitattu 10. marraskuuta 2026.
Zorz, M. (2026B, maaliskuu 3). AI went from assistant to autonomous actor and security never caught up. Help Net Security. Viitattu 10. marraskuuta 2026.
Kirjoittajat
Martti Asikainen
Communications Lead
Finnish AI Region
+358 44 920 7374
martti.asikainen@haaga-helia.fi
Umair Ali Khan
Vanhempi tutkija
Finnish AI Region
+358 294471413
umairali.khan@haaga-helia.fi
Finnish AI Region
2022-2025.
Media contacts