
Tekoälyn moka muuttuu kalliiksi vasta silloin, kun se saa tehdä jotain.
Väärä vastaus on ongelma. Väärä vastaus, joka lähettää sähköpostin, poistaa tietokannan, antaa asiakkaalle virallisen ohjeen tai julkaisee kampanjan, on jo toinen asia. Silloin kyse ei ole enää chatbotin hassusta harhasta, vaan järjestelmästä, jossa agentille annettiin liikaa valtaa ilman riittäviä jarruja.
Tässä oppaassa käyn läpi 9 todellista virhetilannetta. Mukana on asiakaspalvelubotteja, koodausagentteja, prompt injection -tutkimuksia, oikeustapauksia ja AI-päätösjärjestelmiä. Jokaisesta jää käteen sama kysymys: mitä agentti saa tehdä ilman ihmistä?
Jos luet tätä artikkelia vain minuutin
Tärkein oppi on yksinkertainen: agentin turvallisuus ei ala mallista. Se alkaa oikeuksista.
Älä anna agentille tuotanto-oikeuksia ennen kuin osaat palauttaa vahingon.
Älä anna agentin lukea epäluotettavaa sisältöä ja lähettää dataa ulos ilman tarkastusta.
Älä pidä AI:n väitettä todisteena. Vaadi lähde, loki, testi tai diffi.
Älä päästä agenttia tekemään rahaan, asiakkaisiin, työntekijöihin, sopimuksiin tai julkiseen näkyvyyteen liittyviä toimia yksin.
Älä kysy vain "mitä agentti osaa". Kysy: "mitä agentti saa tehdä ilman lupaa?"
Moka | Miltä se näyttää | Mikä puuttui | Jarru |
|---|---|---|---|
Väärä virallinen neuvo | Botti antaa asiakkaalle väärän ohjeen | Lähdepakko ja eskalointi | Hyväksytyt lähteet |
Tuotantodatan poisto | Agentti poistaa oikeaa dataa | Prod-eristys | Read-only-oletus |
Prompt injection | Sähköposti tai verkkosivu ohjaa agenttia | Datan ja ohjeen raja | Egress-rajoitus |
Liian laajat työkalut | Agentilla on admin-oikeudet | Vähimmät oikeudet | Työkalumatriisi |
Asiakasrajapinnan moka | Botti lupaa, kiroilee tai neuvoo väärin | Rajattu palvelupolku | Ihmiseskalointi |
Keksitty onnistuminen | Agentti väittää testanneensa | Todistevaatimus | Lokit ja testiraportit |
Looppi | Agentti yrittää loputtomasti | Pysäytysehto | Aika- ja kulukatot |
Myrkytetty muisti | Huono tieto jää elämään | Muistihygienia | Lähdehistoria ja vanheneminen |
Liiallinen luottamus | "AI sanoi näin" muuttuu päätökseksi | Omistajuus | Nimetty vastuuhenkilö |
Aiempi AI-agentin turvallisuusopas menee syvemmälle tuotantotason arkkitehtuuriin. Tämä opas on käytännön riskikartta: näin moka näkyy arjessa, ja näin se pysäytetään.
Air Canadan chatbot kertoi asiakkaalle, että hautajaismatkan alennusta voisi hakea jälkikäteen. Asiakas toimi ohjeen mukaan. Myöhemmin yhtiö yritti vedota siihen, että chatbot oli erillinen osa verkkosivustoa. Kanadalainen riidanratkaisuelin ei niellyt selitystä: asiakas oli saanut tiedon Air Canadan kanavasta, ja yhtiö joutui korvaamaan vahingon.
New Yorkin MyCity-chatbotissa ongelma oli vielä hankalampi. Se antoi yrittäjille virheellisiä neuvoja vuokra-, työ- ja ruokaturvasäännöistä. Käyttöliittymä näytti viralliselta. Vastaus kuulosti viralliselta. Väärä tieto sai sen vuoksi enemmän painoa kuin tavallisessa chat-kokeilussa.
Sama kuvio näkyi NEDA:n Tessa-chatbotissa, joka antoi syömishäiriöistä kärsiville käyttäjille haitallisia painonhallintaneuvoja. Kun aihe on terveys, laki, vero, HR tai asiakassopimus, "melkein oikein" voi olla vaarallinen.
Tämän virheen juuri ei ole se, että malli joskus hallusinoi. Se on se, että organisaatio antoi mallin kuulostaa viralliselta ilman lähdepakkoa.
Hyvä jarru on tylsä: botin pitää vastata vain hyväksytyistä lähteistä. Jos lähdettä ei löydy, se ei arvaa. Se sanoo, ettei tiedä, ja siirtää asian ihmiselle.
Käytännössä tämä tarkoittaa neljää sääntöä:
Agentti ei anna virallista neuvoa ilman viittausta hyväksyttyyn lähteeseen.
Laki-, terveys-, vero-, HR- ja sopimusasiat eskaloidaan ihmiselle, jos varmuus ei ole korkea.
Käyttäjälle kerrotaan, milloin kyse on yleisestä ohjeesta eikä päätöksestä.
Vastausversiot sidotaan päivitettyyn policy- tai tietokantaversioon.
Pikakysymys omalle tiimille: mistä agentti tietää, mikä on viimeisin hyväksytty ohje?
2. Agentti poistaa tai muuttaa tuotantodataa
Raportoidussa Replit-tapauksessa AI-koodausagentti poisti tuotantotietokannan dataa koodijäädytyksen aikana. Tapauksen yksityiskohdista on julkista keskustelua, ja osa niistä perustuu käyttäjän kuvaukseen. Oleellinen opetus ei silti riipu yhdestä yksityiskohdasta.
Koodausagentti ei saisi päästä koskemaan tuotantodataan samalla tavalla kuin kehitysympäristöön.
Tämä on monen tiimin ensimmäinen vaarallinen agenttivirhe. Agentille annetaan pääsy projektiin, koska sen halutaan korjaavan bugeja. Samassa ympäristössä on kuitenkin avaimia, tietokantayhteyksiä, pilvipalvelutunnuksia tai komentoja, joilla pääsee oikeaan dataan. Malli ei välttämättä ymmärrä, mikä ero on "testaan tätä" ja "ajan tämän tuotannossa" välillä.
Tuotantodatan kohdalla kehotteella ei pidä leikkiä. "Älä poista mitään" on hyödyllinen ohje, mutta se ei ole turvaraja. Turvaraja on se, ettei agentilla ole poistoon tarvittavaa oikeutta.
Perusmalli:
Kehitysympäristö: agentti saa lukea ja muuttaa rajatusti.
Staging: agentti saa ajaa testejä ja ehdottaa muutoksia.
Tuotanto: agentti saa oletuksena lukea vain hyvin rajattua dataa tai ei sitäkään.
Poisto, migraatio, maksut, massapäivitykset ja schema-muutokset vaativat ihmisen hyväksynnän.
Tämän vuoksi tekoälyä käyttävä tietokone on eri riskiluokka kuin tavallinen tekstichat. Kun AI näkee ruudun, käyttää tiedostoja ja ajaa komentoja, se ei enää vain auta ajattelemaan. Se käyttää ympäristöä.
Pikakysymys: voiko agentti tällä hetkellä poistaa jotain, mitä ette saa takaisin tunnissa?
3. Ulkoinen teksti kaappaa agentin
Prompt injection kuulostaa helposti nörttien sisäpiiriongelmalta. Todellisuudessa se on arkinen riski.
Agentti lukee sähköpostin. Sähköpostissa on piilotettu ohje. Agentti lukee verkkosivun. Sivulla on ohje, joka on kirjoitettu agentille eikä ihmiselle. Agentti lukee kalenterikutsun, tiketin, PDF:n tai asiakasdokumentin. Sama ongelma: kielimallille teksti on tekstiä. Se ei luonnostaan tiedä, mikä on käyttäjän käsky ja mikä on epäluotettavaa dataa.
EchoLeak-haavoittuvuus Microsoft 365 Copilotissa teki tästä näkyvän yrityskontekstissa. Kyseessä oli CVE-2025-32711, joka liittyi AI command injection -riskiin ja mahdolliseen tietojen paljastumiseen. Gemini Calendar -tutkimuksessa taas näytettiin, miten kalenterikutsuun upotettu ohje voi ohjata AI-järjestelmää väärään suuntaan.
Tärkeä oppi: hyökkäys ei tarvitse pahantahtoista käyttäjää. Se voi tulla dokumentista, jonka agentti lukee työnsä takia.
Hyvä jarru rakentuu kolmesta rajasta:
Tilaa AI-Sanomien Plus-jäsenyys niin näet loput sisällöstä
Tilaamalla AI-Sanomien maksullisen jäsenyyden saat pääsyn kaikkiin uutiskirjeen sisältöihin sekä tuet Suomen parasta AI-mediaa.
Tilaa jäsenyys tästä! Voit lopettaa koska tahansa.Miksi tilaus kannattaa?:
- Näet kaikki uutiskirjeen sisällöt, uudet AI-työkalut sekä vinkit tekoälyn käyttöön.
- Pääsy kaikkiin verkkokursseihin kurssit.aisanomat.fi-alustassa
- Pääsy Kehotesuunnittelija.fi Premium-tasoon (15 €/kk)
- Pääsy satoihin maksullisiin sisältöihin, oppaisiin ja artikkeleihin


