Perspektivet - Uke 22 - 2026
"Noen ganger ligner skjebnen på en lokal sandstorm som skiftet retning hele tida. Du begynner å gå en annen vei for å slippe unna. Men da skifter stormen retning og følger etter deg"
Kafka på stranden - Haruki Murakami
Det har gått noen uker siden sist. Dessverre har ting som BSides Bergen (som ble bra), 17. mai, sykdom og utmattelse kommet i veien, og jeg har ikke funnet kreftene til å sette meg ned for å skrive. Jeg er tilbake nå, sandstormen har stilnet og det er nok av saker å se gjennom. Noen av sakene som kom med denne uken er litt eldre, men fortsatt verdt å få med seg.
Og gjett om det har skjedd mye: tempoet av kritiske sårbarheter i internett-eksponerte komponenter har eksplodert, Linux hadde noen absolutt stygge sårbarheter, AI gjennomsyrer alt vi snakker om, nye modeller dropper nå nesten ukentlig, og Schibsted fant nye måter å prøve å skvis penger ut av sine abonnenter på, men endte opp med å miste mange (gjetter jeg) abonnenter, inkludert undertegnede.
Cybersikkerhet
Google API keys keep working after you delete them long enough to be exploited | Aikido
Det kom som en overraskelse for meg at en Google API-nøkkel kan fortsette å fungere i opptil 23 minutter etter at den ble slettet. Aikido kjørte ti forsøk: korteste vindu var rundt 8 minutter, medianen lå på 16, og det lengste nådde nesten 23. Konsekvensen er at en kompromittert nøkkel fortsatt kan utnyttes etter sletting, og om Gemini er aktivert på prosjektet kan en angriper dumpe opplastede filer og eksfiltrere cachede samtaler. Verdt å merke seg: nyere Gemini-nøkler propagerer på rundt ett minutt, og service account-nøkler på rundt fem sekunder, så dette er teknisk løsbart.
Project Glasswing: An initial update | Anthropic
«Mythos-eraen» er et begrep jeg har hørt mye om i det siste. Det forsøker å beskrive tilstanden vi lever i nå innenfor cybersikkerhet, definert av Mythos-modellen, og at organisasjoner må endre tankegangen sin for ikke å gå under. Selv om jeg er uenig i denne fremstillingen, er det klart at Mythos og Project Glasswing har tiltrukket seg en god del oppmerksomhet. Anthropic gir oss en oppsummering så langt.
Google security engineer accused of turning confidential search trends into $1.2M win on Polymarket | CyberScoop
Prediksjonsmarkeder har blitt veldig populære, og det var nok bare et tidsspørsmål før noen med innsidetilgang ville utnytte det. Michele Spagnuolo, sikkerhetsingeniør i Google siden 2014, er arrestert i New York og tiltalt for å ha brukt Googles ikke-offentlige Year in Search-data til å vedde på de mest søkte personene i 2025.
Mer informasjon: Ansatte vedder mot sin egen arbeidsgiver, og ingen ser det - DN.no
Microsoft's stance on zero day exploits is a dumpster fire of their own making | DoublePulsar
Microsoft har begynt å omtale publisering av PoC-exploits for sine egne produkter som «criminal activity». Kevin Beaumont, tar argumentet fra hverandre.
Tennessee man linked to 764 accused of series of crimes against children dating back to 2022 | CyberScoop
Jeg har unngått å lese om denne ekstremistgruppen, det er nok av ting i verden som er deprimerende (spesielt i cybersikkerhet), jeg trenger ikke å lete etter det. Jeg håper han blir dømt, og at alle årene i fengsel blir veldig ubehagelige.
Centrally manage VS Code settings with policies | Visual Studio Code
På tide at sikkerhetskontroller for VS Code kom på plass. Etter at GitHub ble hacket gjennom en VS Code-extension, var det kun et tidsspørsmål. Nå kan dette styres gjennom blant annet Intune.
Mer informasjon: https://www.aikido.dev/blog/vs-code-extension-github-breach
Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms network | The Record
Hele Luxembourgs telenett, mobil, fasttelefon og nødnummer, lå nede i over tre timer i juli 2025 fordi spesiallaget trafikk sendte Huawei-routere inn i en evig omstartsløkke. Ti måneder senere er det fortsatt ingen CVE, ingen offentlig advarsel til andre operatører, og ingen offentlig erkjennelse fra Huawei. Etterforskningen er avsluttet uten siktelse. Det mest urovekkende er at det fortsatt er uklart om sårbarheten noen gang ble fullt patchet, eller om lignende Huawei-systemer fremdeles er eksponert.
Schibsted tar betalt for personvern. – Sa opp abonnementet | Kode24
Som nevnt i innledningen sa jeg opp abonnementet mitt. Jeg liker Aftenposten, men å kreve 39 kroner på toppen av det jeg allerede betaler for abonnementet, for at de ikke skal selge opplysninger om meg, er rett og slett uakseptabelt. Jeg hadde faktisk forstått det om de økte prisen med 10 kroner, men når de truer med å selge opplysningene mine om jeg ikke betaler, vel, da velger jeg å ikke betale i det hele tatt.
AI
MAGNIFICA HUMANITAS | Vatican
Paven har en mening om AI? Paven? Hvilken verden er det jeg lever i?
Pave Leo XIV publiserte i mai en hel encyklika om å beskytte mennesket i AI-ens tidsalder. En encyklika er et av de mest autoritative dokumentene en pave kan utgi, et rundskriv som legger frem kirkens offisielle lære om et tema, så dette er ikke en løs betraktning men et formelt standpunkt. Og det er ikke bare svada: dokumentet argumenterer for at teknologi aldri er nøytral fordi den bærer preg av dem som bygger, finansierer og regulerer den, og at makten over plattformer, data og regnekraft i økende grad ligger hos noen få private aktører fremfor hos statene. Overraskende relevant lesning, selv for meg.
Where the goblins came from | OpenAI
Jeg har ikke brukt ChatGPT på en stund, jeg bruker Claude, men kudos for å skrive om dette. Kort om hvordan læring påvirker modellen: OpenAI ga under trening ubevisst ekstra høy belønning for metaforer med skapninger, knyttet til én av åtte personlighetsinnstillinger. Problemet er at reinforcement learning ikke holder seg pent innenfor den ene innstillingen. Når et stilistisk tic først er belønnet, kan det spre seg til resten av modellen, særlig om outputene gjenbrukes i videre finetuning eller preferansedata. Resultatet var at brukere som aldri hadde valgt denne personligheten plutselig fikk goblin-metaforer i kodegjennomgangene sine, og bruken av ordet «goblin» steg 175 prosent etter GPT-5.1. «Fiksen» var en developer-prompt som rett og slett forbyr modellen å nevne goblins, gremlins og andre skapninger uten at det er klart relevant.
University Professors Disturbed to Find Their Lectures Chopped Up and Turned Into AI Slop - 404 Media
AI-søppel eller AI slop har blitt et stort problem for de fleste sosiale medier plattformer. Jeg har mistet tellinger på hvor mange ganger om dagen YouTube foreslår noe AI søppel med under 10 visninger (for å ikke snakke om falske trailere).
Verktøy
GitHub - perplexityai/bumblebee
Spennende verktøy fra Perplexity.
Bredere perspektiv
Jeg anser meg selv for å være en ganske opplyst person som liker å lese om det meste. Men jeg ble sjokkert over hvor utdatert kunnskapen min om opprinnelsen til arten vår var blitt. Ikke bare hadde jeg aldri hørt om Homo Denisova før nå. Anbefaler denne videoen:
