När kollegorna inte har personnummer 

För några dagar sedan satt jag och chattade med två kollegor om agenter. En klurig grej är alltid att lösa hur dessa ska logga in bakom olika portaler för att hämta information, fylla i blanketter och så vidare. Det här handlar ju om identitet. Inte mänsklig identitet, utan vad som händer när det är en AI-agent som knackar på dörren. 

Låt mig börja med en bild. 

När du loggar in på en myndighets e-tjänst med BankID eller Freja, kopplar en kryptografisk kedja ihop dig, din kropp, ditt personnummer, din telefon, med den digitala handlingen du är på väg att utföra. Det finns en människa i andra änden och din digitala identifiering bevisar det. Men vad händer när det inte finns det? 

AI-agenter, program som agerar autonomt på uppdrag av en människa, en organisation, eller kanske en annan agent, börjar nu i allt högre grad röra sig på internet. De söker information, fyller i formulär, gör bokningar, hämtar dokument. Och när de gör det identifierar de sig, på ett sätt. De skickar en liten textsträng som säger vem de är. ”Jag är ChatGPT.” ”Jag är Perplexity.” ”Jag kommer från OpenAI.” 

Det låter rimligt. Tills man inser att den textsträngen inte är verifierad av någon. Den är självrapporterad. Vem som helst kan skriva vad som helst där. 

En studie från säkerhetsföretaget DataDome testade nyligen hur 700 000 webbplatser hanterar agentidentitet. De skapade en förfrågan som utgav sig för att vara ChatGPT, en enda rad kod och skickade den. Nästan 80% av webbplatserna släppte igenom den utan att ifrågasätta något. Inte för att de var naiva, utan för att systemet inte är byggt för att kontrollera. Som att acceptera ett visitkort som identitetshandling. 

Och det är just det som utnyttjas. Samma studie dokumenterade fall där angripare klätt sig i ChatGPTs identitet för att ta sig in i system, använde Meta-botar som sårbarhetsskannrar, låtsades vara Perplexity för att utforska tjänster. Inte för att de var sofistikerade, utan för att förtroendet för kända agentnamn är inbyggt i systemen, utan att vara kryptografiskt förankrat i någonting. 

Så å ena sidan har vi alltså legitima agenter som försöker bevisa vem de är, men saknar infrastrukturen för att göra det trovärdigt. Å andra sidan har vi skadliga aktörer som utan problem lånar identiteten från de välkända och glider igenom. Vakuumet uppstår inte för att ingen bryr sig, utan för att vi inte förberett system för det här scenariot. 

Och scenariot är ju inte framtida, det pågår nu. 

Det finns såklart rörelse i frågan, det ska sägas. Det arbetas på protokoll för hur agenter ska kunna delegeras behörighet på riktigt. NIST (National Institute of Standards and Technology) lanserade i februari ett initiativ specifikt för agentidentitet. EU:s eIDAS 2.0 rullar ut en europeisk digital identitetsplånbok, byggd för människor, men kanske ett fundament att bygga vidare på. Google har lanserat ett protokoll för agent-till-agent-kommunikation. Och företaget World, ja, det med irisskanningarna och Sam Altman, försöker lösa medborgarsidan: om du skannar ditt öga i en av deras fysiska maskiner kan din agent bära ett kryptografiskt bevis på att det faktiskt finns en människa bakom. 

Bitar finns och när man börjar researcha ämnet dyker massa spännande upp. Men det väcker, hos mig åtminstone, en hel drös frågor. 

Ta det som verkar mest vardagligt: medborgaren som skickar sin egen agent. Tänk dig att du vill anlita en agent som ansöker om bygglov åt dig. Eller navigerar din sjukskrivningsprocess. Eller samlar underlag inför en överklagan. Du vill inte godkänna varje steg med BankID, det vore att missa hela poängen. Men du vill inte heller att agenten ska ha fri tillgång till allt som rör dig, för alltid, utan uppsikt. Vad är det egentligen vi behöver då? Något slags digital fullmakt, maskinläsbar, avgränsad i tid och syfte, spårbar i varje steg. Något som säger: den här agenten får göra just det här, hos just de här aktörerna, fram till dess. Det liknar Mina ombud hos Skatteverket, fast byggt för autonoma system snarare än för människor som agerar å andras vägnar. 

Men om det är komplext när en enskild medborgare skickar sin agent, vad händer när tusentals gör det samtidigt? Är det ett flöde att hantera, ett säkerhetsproblem, eller något vi inte har ett ord för än? 

Och här är en fråga jag inte sett någon ställa riktigt tydligt ännu: om varje agents handling är kryptografiskt spårbar tillbaka till mig, skapar vi samtidigt ett permanent register över allt jag låter mina agenter göra. Varje bygglovsansökan, varje sjukskrivningsnavigering, varje överklagande. Det är kanske nödvändigt för ansvarsutkrävande. Men det är också något nytt,  en form av spårbarhet vi inte riktigt diskuterat konsekvenserna av. Vad händer med rätten att göra saker utan att lämna ett permanent spår? 

Det handlar inte om teknik i första hand. Det handlar om förtroende och förtroende kräver att vi vet vem det är vi litar på, men kanske också att vi bestämmer oss för hur mycket vi vill att andra ska veta om oss. Så behöver vi ett svenskt svar, eller räcker ett europeiskt? Är eIDAS rätt grund, eller behöver vi något nytt? Vem ska driva det? DIGG, en branschkoalition, EU? Och om BankID tog tjugo år att bygga, hur lång tid har vi den här gången? 

Jag har inte svaren. Men jag är nyfiken på om ni som läser det här har tänkt på det och vad ni i så fall tänker.