Prompt injection i dokumenter: Den oversete AI-risiko i jeres dokumentflows

Flere IT-chefer er i fuld gang med at rulle AI ud i dokumentprocesser: chatbots, dokumentanalyse, søgning i arkiver og RAG-workflows. Det giver tempo. Og bedre service. Men det åbner også en angrebsflade, mange undervurderer: prompt injection via dokumenter.

Når AI får lov at “læse” eksternt indhold – PDF, Word, HTML, billeder med alt-text, metadata og skjult tekst – kan dokumentet i praksis indeholde instruktioner, der forsøger at få modellen til at bryde sine regler. Det er ikke science fiction. OWASP peger på prompt injection som en af de centrale trusler mod LLM-systemer, netop fordi modellen ikke af sig selv kan skelne mellem systeminstruktioner og ondsindet indhold.

• Indirekte prompt injection går uden om jeres normale kontrolpunkter, fordi “angrebet” ligger i selve dokumentindholdet.

• Konsekvensen er ofte datalæk eller uautoriserede handlinger – især hvis AI’en har adgang til interne værktøjer og data.

• Løsningen er et sikkerhedslag omkring dokumentflows: validering, adgangsstyring, logging og governance. Ikke kun “bedre prompts”.

Et vellykket angreb kan presse jeres AI til at udlevere følsomme oplysninger – kundedata, interne dokumenter eller credentials, der ligger i tekst. Det kan også manipulere output, så advarsler forsvinder, eller svar bliver skæve. Og hvis jeres setup er koblet til systemer, kan det trigge tool-kald og API-kald, som ikke burde ske. Research peger netop på datatyveri, systemkompromittering, output-manipulation og operationelle forstyrrelser som typiske udfald ifølge OWASP og Unit 42.

Det rammer et klassisk IT-problem: I har styr på “alt det andet” i sikkerhed og compliance, men dokument- og endpoint-overblikket halter ofte i udkanten af infrastrukturen. Og når hverdagen allerede er fyldt med NIS2, ISO 27001 og GDPR bliver nye AI-risici let noget, man får skrevet ind i en risikovurdering – i stedet for noget, man får lukket.

AI-sikkerhed skal tænkes som et ekstra kontrollag omkring dokumentflowet. Ikke som en ny “smart” model. Med andre ord: Gør input og handlinger sikre, før I gør dem intelligente.

Her er en konkret tilgang i tre trin:
1. Behandl dokumenter som untrusted input
Rens og normalisér dokumenttekst. Fjern eller ignorér skjult indhold og metadata. Dokumenter må bruges som kontekst og indhold – ikke som instruktioner til AI’en. Lav en klar policy for, hvilke kilder AI må trække fra – og hvilke den ikke må.
2. Begræns AI’ens rækkevidde
Minimér dataeksponering med least privilege. Sæt hårde grænser for tool-kald. Og husk: Logging og revisionsspor er ikke valgfrit, hvis I skal dokumentere, hvordan AI’en er nået frem til et output ved en revision.
3. Saml governance og dokumentation på en platform
Her giver det mening at tænke i informationsstyring og automatisering: versionsstyring, adgangsstyring, revisionslog og kontrollerede workflows. Med de rette Canon-løsninger kan dokumentation, godkendelsesflows og audit log samles ét sted, så compliance ikke bliver en mappe i SharePoint – men en proces, der kan følges og dokumenteres.

Mange dokumentflows ender stadig fysisk: HR-sager, kontrakter, fakturaer. Her bliver printere et data-knudepunkt, som let bliver glemt. Med løsninger som Device Hardening, sikre print- og scanflows og løbende styring af printermiljøet kan I løfte printersikkerheden op på niveau med jeres øvrige IT-sikkerhed – uden at lægge mere drift på teamet.

Det kan også være en hurtig gevinst. Dantherm valgte en Zero Trust-tilgang til print og scan med uniFLOW Online for at få bedre kontrol og en skalerbar løsning på tværs af lande. Pointen er ikke print i sig selv, men at lukke et hul i dokumentflowet og kunne dokumentere kontrollen.

Prompt injection via dokumenter er en reel, teknisk trussel, fordi den udnytter, at AI “stoler” på tekst. For jer som IT-ledelse handler løsningen om at sætte klare kontrolpunkter i dokumentflowet, begrænse AI’ens handlinger og få governance, revisionsspor og endpoint-sikkerhed på plads.

Vil I gøre det pragmatisk, så start med at kortlægge, hvor AI i dag læser eksterne dokumenter. Luk de mest oplagte huller med input-validering, adgangsstyring og logning.

Prompt injection via dokumenter er ikke kun et AI-problem. Det er et informationssikkerheds-problem.

Derfor bør første skridt være at kortlægge, hvor AI i dag læser, behandler eller beriger dokumenter – og hvilke systemer, brugere og datakilder den har adgang til. Herfra kan I vurdere, hvor der mangler kontrol: input-validering, adgangsstyring, logning, revisionsspor og sikker håndtering af print og scan.

Canon kan hjælpe med de dele af dokumentflowet, hvor information opstår, flyttes, scannes, printes, arkiveres og dokumenteres. Det handler ikke om at gøre AI-projektet større. Det handler om at lukke de huller i dokument- og printmiljøet, som AI ellers kan forstærke.