Mens virksomheder kæmper mod stadig mere sofistikerede cyberkriminelle, sætter Google sit nyeste AI-våben i spil på internettets mest skjulte hjørne.
Selskabet har koblet sin kraftfulde Gemini-model til en ny tjeneste inden for Google Threat Intelligence, der gennemsøger millioner af beskeder på dark web. Målet er at opfange signaler om angreb, datalæk og adgang til virksomhedsnetværk, der sælges, inden kriminelle overhovedet når at slå til.
Google anvender Gemini som digital detektiv på dark web
Google præsenterede den nye tjeneste under sikkerhedskonferencen RSA Conference 2026 i San Francisco. Kernen i det hele er, at Gemini – Googles mest avancerede AI-model – kører under motorhjelmen på Google Threat Intelligence og løbende scanner fora, markedspladser og chatkanaler på dark web.
Ifølge Google behandler Gemini dagligt op til 10 millioner beskeder og annoncer fra disse obskure platforme. Her handles der med hackede konti, stjålne databaser, malware og adgang til komplette virksomhedsnetværk.
AI-systemet skal ikke rapportere alt – men præcis de signaler, der er relevante for én bestemt organisation.
For at opnå det opbygger tjenesten en dynamisk profil for hver kundeorganisation. Her kigger Gemini blandt andet på:
- virksomhedens branche og aktivitetstype
- de regioner og markeder, den opererer i
- kendte teknologier og systemer, der er i brug
- typer af data, der er interessante for kriminelle – eksempelvis kundefiler eller intellektuel ejendom
Den profil hjælper AI'en med at filtrere netop de elementer ud fra den enorme strøm af samtaler og tilbud, der vedrører én bestemt virksomhed eller lignende organisationer i samme branche.
Fra vagt signal til konkret advarsel
Styrken ligger især i kombinationen af tilsyneladende løse ledetråde. I praksis skjuler kriminelle ofte, hvilken organisation de præcis har i sigte. De tilbyder eksempelvis "adgang til en nordamerikansk virksomhed med aktiver på 50 milliarder dollar" – uden at nævne et navn.
Hvor klassiske overvågningsværktøjer overser den slags beskeder, forsøger Gemini netop her at genkende mønstre. AI'en forbinder beskrivelser fra dark web-opslag med offentligt tilgængelige oplysninger – som årsrapporter, markedsrapporter og demografiske data – for at finde ud af, hvilken virksomhed der sandsynligvis menes.
Hvor menneskelige analytikere kan bruge timer på at gennemgå dette, klarer Gemini det på sekunder og sætter straks en højtprioriteret alarm klar.
For sikkerhedsteams betyder det, at de langt tidligere får en fornemmelse af, at deres organisation er havnet i kriminelles søgelys. Det giver mulighed for at trække adgangskoder tilbage, ophæve adgangsrettigheder eller aktivere ekstra overvågning – inden et angreb er fuldt udrullet.
98 procents nøjagtighed skal bekæmpe advarselstræthed
Mange sikkerhedsteams drukner ikke i mangel på data, men i en bølge af advarsler, der viser sig at være ufarlige. Traditionelle systemer producerer til tider tusindvis af alarmer om dagen, hvoraf kun en lille del er reelt presserende.
Interne tests, der er beskrevet af fagmedier, peger på, at Gemini formår at udvælge de relevante trusler med en nøjagtighed på cirka 98 procent. Det betyder færre falske positiver og mindre tidsspilde.
AI'en ser ikke kun på indholdet af en enkelt besked, men også på mønstre over tid: hvem der poster den, i hvilken sammenhæng, hvordan den forholder sig til samme brugers eller gruppes tidligere aktivitet, og om den passer ind i kendte kampagner fra cyberkriminelle bander.
Det fokus skal drastisk reducere arbejdsbyrden for sikkerhedsafdelinger. Analytikere kan dermed bruge deres tid på de meldinger, der virkelig betyder noget – frem for at sortere i endeløse logfiler og halvvejs relevante alarmer.
Selvlærende system tilpasser sig den enkelte organisation
Tjenesten stopper ikke med at udvikle sig efter den første konfiguration. Gemini justerer løbende organisationsprofilen ud fra, hvordan sikkerhedsteams reagerer på advarsler. Hvis bestemte typer advarsler konsekvent afskrives som lav risiko, forskydes AI-analysernes tyngdepunkt tilsvarende.
Reagerer teams derimod konsekvent hurtigt på meldinger om en bestemt trussel, begynder Gemini at prioritere den slags signaler højere. På den måde vokser tjenesten med den risikoopfattelse og praktiske erfaring, der opbygges i den enkelte virksomhed.
I stedet for statiske lister med søgeord opstår der en fleksibel digital kollega, der lærer af analytikernes hver eneste handling.
Det adskiller løsningen fra ældre systemer, der er afhængige af manuelt opdaterede søgetermer og regler – og som ofte halter bagud i forhold til nye angrebsteknikker og jargon på dark web.
På vej mod mere autonom cybersikkerhed
Dark web-scanningerne er en del af Googles bredere strategi om at automatisere sikkerhedsopgaver i langt højere grad. Inden for platformen Google Security Operations ønsker selskabet at udrulle autonome agenter til sikkerhedsteams.
Disse agenter udfører selvstændigt undersøgelser af indkomne alarmer. De trækker logdata fra forskellige systemer, identificerer sammenhænge, skriver en begrundet analyse og foreslår konkrete handlinger – eksempelvis at isolere en server, blokere en brugerkonto eller automatisk generere firewallregler.
På sigt skal stadig flere trin i hændelseshåndteringen kunne forløbe uden direkte menneskelig indgriben. Mennesket rykker da over i rollen som tilsynsførende og strategisk beslutningstager – frem for at fungere som den første "brandslukker" ved enhver alarm.
Derfor er dark web så svært at overvåge
Dark web består af afskærmede dele af internettet, der kun er tilgængelige via særlig software som Tor-browsere. Kriminelle bruger dette miljø til anonymt at handle med data, planlægge angreb og udveksle viden.
For en gennemsnitlig organisation er det praktisk talt umuligt at kortlægge dette landskab manuelt. Fora forsvinder, nye markedspladser opstår, adgange skifter konstant, og diskussioner foregår på flere sprog og i kodeform.
AI-modeller som Gemini kan håndtere det volumen og den kompleksitet. De genkender mønstre i sprog, i relationer mellem brugere og i opbygningen af tilbud – og får dermed øje på mistænkelig aktivitet, der ved første øjekast virker ubetydelig for et menneske.
Fordele, risici og hvad virksomheder kan gøre nu
For organisationer med begrænsede sikkerhedsteams kan en sådan AI-drevet tjeneste udgøre en markant styrkelse. De modtager tidlige signaler om mulige datalæk eller planer om at trænge ind i deres netværk – uden at skulle ansætte et helt hold af analytikere.
Samtidig rejser det spørgsmål om afhængighed af én stor teknologipartner, privatlivsbeskyttelse og fejlmarginer. En fejlagtig fortolkning af data kan føre til unødig stress eller forkerte foranstaltninger. Gennemsigtighed om, hvordan AI'en når sine konklusioner, er derfor afgørende for tilliden.
Virksomheder, der ønsker at benytte den slags tjenester, gør klogt i først at have styr på deres eget fundament. Uden et klart overblik over kritiske systemer, følsomme data og eksisterende adgangsrettigheder kan selv den bedste trusselsinformation udrette lidt.
Konkrete skridt kan eksempelvis være: at vedligeholde et opdateret register over aktiver, skærpe adgangsstyringen med multifaktorgodkendelse og aftale klare procedurer for, hvad der sker, så snart en melding om, at virksomhedens navn dukker op i en dark web-annonce, tikker ind.
For mange organisationer vil AI-drevet trusselsinformation altså ikke erstatte den eksisterende sikkerhed, men udgøre et ekstra lag ovenpå. En digital vagthund, der bevæger sig i mørket, mens det interne team tjekker låsene og tester brandmelderene.
