Tekoälyn moka muuttuu kalliiksi vasta silloin, kun se saa tehdä jotain.

Väärä vastaus on ongelma. Väärä vastaus, joka lähettää sähköpostin, poistaa tietokannan, antaa asiakkaalle virallisen ohjeen tai julkaisee kampanjan, on jo toinen asia. Silloin kyse ei ole enää chatbotin hassusta harhasta, vaan järjestelmästä, jossa agentille annettiin liikaa valtaa ilman riittäviä jarruja.

Tässä oppaassa käyn läpi 9 todellista virhetilannetta. Mukana on asiakaspalvelubotteja, koodausagentteja, prompt injection -tutkimuksia, oikeustapauksia ja AI-päätösjärjestelmiä. Jokaisesta jää käteen sama kysymys: mitä agentti saa tehdä ilman ihmistä?

Jos luet tätä artikkelia vain minuutin

Tärkein oppi on yksinkertainen: agentin turvallisuus ei ala mallista. Se alkaa oikeuksista.

  1. Älä anna agentille tuotanto-oikeuksia ennen kuin osaat palauttaa vahingon.

  2. Älä anna agentin lukea epäluotettavaa sisältöä ja lähettää dataa ulos ilman tarkastusta.

  3. Älä pidä AI:n väitettä todisteena. Vaadi lähde, loki, testi tai diffi.

  4. Älä päästä agenttia tekemään rahaan, asiakkaisiin, työntekijöihin, sopimuksiin tai julkiseen näkyvyyteen liittyviä toimia yksin.

  5. Älä kysy vain "mitä agentti osaa". Kysy: "mitä agentti saa tehdä ilman lupaa?"

Moka

Miltä se näyttää

Mikä puuttui

Jarru

Väärä virallinen neuvo

Botti antaa asiakkaalle väärän ohjeen

Lähdepakko ja eskalointi

Hyväksytyt lähteet

Tuotantodatan poisto

Agentti poistaa oikeaa dataa

Prod-eristys

Read-only-oletus

Prompt injection

Sähköposti tai verkkosivu ohjaa agenttia

Datan ja ohjeen raja

Egress-rajoitus

Liian laajat työkalut

Agentilla on admin-oikeudet

Vähimmät oikeudet

Työkalumatriisi

Asiakasrajapinnan moka

Botti lupaa, kiroilee tai neuvoo väärin

Rajattu palvelupolku

Ihmiseskalointi

Keksitty onnistuminen

Agentti väittää testanneensa

Todistevaatimus

Lokit ja testiraportit

Looppi

Agentti yrittää loputtomasti

Pysäytysehto

Aika- ja kulukatot

Myrkytetty muisti

Huono tieto jää elämään

Muistihygienia

Lähdehistoria ja vanheneminen

Liiallinen luottamus

"AI sanoi näin" muuttuu päätökseksi

Omistajuus

Nimetty vastuuhenkilö

Aiempi AI-agentin turvallisuusopas menee syvemmälle tuotantotason arkkitehtuuriin. Tämä opas on käytännön riskikartta: näin moka näkyy arjessa, ja näin se pysäytetään.

1. Agentti antaa väärän virallisen neuvon

Air Canadan chatbot kertoi asiakkaalle, että hautajaismatkan alennusta voisi hakea jälkikäteen. Asiakas toimi ohjeen mukaan. Myöhemmin yhtiö yritti vedota siihen, että chatbot oli erillinen osa verkkosivustoa. Kanadalainen riidanratkaisuelin ei niellyt selitystä: asiakas oli saanut tiedon Air Canadan kanavasta, ja yhtiö joutui korvaamaan vahingon.

New Yorkin MyCity-chatbotissa ongelma oli vielä hankalampi. Se antoi yrittäjille virheellisiä neuvoja vuokra-, työ- ja ruokaturvasäännöistä. Käyttöliittymä näytti viralliselta. Vastaus kuulosti viralliselta. Väärä tieto sai sen vuoksi enemmän painoa kuin tavallisessa chat-kokeilussa.

Sama kuvio näkyi NEDA:n Tessa-chatbotissa, joka antoi syömishäiriöistä kärsiville käyttäjille haitallisia painonhallintaneuvoja. Kun aihe on terveys, laki, vero, HR tai asiakassopimus, "melkein oikein" voi olla vaarallinen.

Tämän virheen juuri ei ole se, että malli joskus hallusinoi. Se on se, että organisaatio antoi mallin kuulostaa viralliselta ilman lähdepakkoa.

Hyvä jarru on tylsä: botin pitää vastata vain hyväksytyistä lähteistä. Jos lähdettä ei löydy, se ei arvaa. Se sanoo, ettei tiedä, ja siirtää asian ihmiselle.

Käytännössä tämä tarkoittaa neljää sääntöä:

  • Agentti ei anna virallista neuvoa ilman viittausta hyväksyttyyn lähteeseen.

  • Laki-, terveys-, vero-, HR- ja sopimusasiat eskaloidaan ihmiselle, jos varmuus ei ole korkea.

  • Käyttäjälle kerrotaan, milloin kyse on yleisestä ohjeesta eikä päätöksestä.

  • Vastausversiot sidotaan päivitettyyn policy- tai tietokantaversioon.

Pikakysymys omalle tiimille: mistä agentti tietää, mikä on viimeisin hyväksytty ohje?

2. Agentti poistaa tai muuttaa tuotantodataa

Raportoidussa Replit-tapauksessa AI-koodausagentti poisti tuotantotietokannan dataa koodijäädytyksen aikana. Tapauksen yksityiskohdista on julkista keskustelua, ja osa niistä perustuu käyttäjän kuvaukseen. Oleellinen opetus ei silti riipu yhdestä yksityiskohdasta.

Koodausagentti ei saisi päästä koskemaan tuotantodataan samalla tavalla kuin kehitysympäristöön.

Tämä on monen tiimin ensimmäinen vaarallinen agenttivirhe. Agentille annetaan pääsy projektiin, koska sen halutaan korjaavan bugeja. Samassa ympäristössä on kuitenkin avaimia, tietokantayhteyksiä, pilvipalvelutunnuksia tai komentoja, joilla pääsee oikeaan dataan. Malli ei välttämättä ymmärrä, mikä ero on "testaan tätä" ja "ajan tämän tuotannossa" välillä.

Tuotantodatan kohdalla kehotteella ei pidä leikkiä. "Älä poista mitään" on hyödyllinen ohje, mutta se ei ole turvaraja. Turvaraja on se, ettei agentilla ole poistoon tarvittavaa oikeutta.

Perusmalli:

  • Kehitysympäristö: agentti saa lukea ja muuttaa rajatusti.

  • Staging: agentti saa ajaa testejä ja ehdottaa muutoksia.

  • Tuotanto: agentti saa oletuksena lukea vain hyvin rajattua dataa tai ei sitäkään.

  • Poisto, migraatio, maksut, massapäivitykset ja schema-muutokset vaativat ihmisen hyväksynnän.

Tämän vuoksi tekoälyä käyttävä tietokone on eri riskiluokka kuin tavallinen tekstichat. Kun AI näkee ruudun, käyttää tiedostoja ja ajaa komentoja, se ei enää vain auta ajattelemaan. Se käyttää ympäristöä.

Pikakysymys: voiko agentti tällä hetkellä poistaa jotain, mitä ette saa takaisin tunnissa?

3. Ulkoinen teksti kaappaa agentin

Prompt injection kuulostaa helposti nörttien sisäpiiriongelmalta. Todellisuudessa se on arkinen riski.

Agentti lukee sähköpostin. Sähköpostissa on piilotettu ohje. Agentti lukee verkkosivun. Sivulla on ohje, joka on kirjoitettu agentille eikä ihmiselle. Agentti lukee kalenterikutsun, tiketin, PDF:n tai asiakasdokumentin. Sama ongelma: kielimallille teksti on tekstiä. Se ei luonnostaan tiedä, mikä on käyttäjän käsky ja mikä on epäluotettavaa dataa.

EchoLeak-haavoittuvuus Microsoft 365 Copilotissa teki tästä näkyvän yrityskontekstissa. Kyseessä oli CVE-2025-32711, joka liittyi AI command injection -riskiin ja mahdolliseen tietojen paljastumiseen. Gemini Calendar -tutkimuksessa taas näytettiin, miten kalenterikutsuun upotettu ohje voi ohjata AI-järjestelmää väärään suuntaan.

Tärkeä oppi: hyökkäys ei tarvitse pahantahtoista käyttäjää. Se voi tulla dokumentista, jonka agentti lukee työnsä takia.

Hyvä jarru rakentuu kolmesta rajasta:

logo

Tilaa AI-Sanomien Plus-jäsenyys niin näet loput sisällöstä

Tilaamalla AI-Sanomien maksullisen jäsenyyden saat pääsyn kaikkiin uutiskirjeen sisältöihin sekä tuet Suomen parasta AI-mediaa.

Tilaa jäsenyys tästä! Voit lopettaa koska tahansa.

Miksi tilaus kannattaa?:

  • Näet kaikki uutiskirjeen sisällöt, uudet AI-työkalut sekä vinkit tekoälyn käyttöön.
  • Pääsy kaikkiin verkkokursseihin kurssit.aisanomat.fi-alustassa
  • Pääsy Kehotesuunnittelija.fi Premium-tasoon (15 €/kk)
  • Pääsy satoihin maksullisiin sisältöihin, oppaisiin ja artikkeleihin

Reply

Avatar

or to participate

Keep Reading