Google använder AI-Gemini för att skanna dark web efter hot

Av /

I takt med att företag kämpar mot alltmer sofistikerade cyberkriminella sätter Google sin senaste AI-arsenal i spel på internets mest dolda vrå.

Företaget har kopplat sin kraftfulla Gemini-modell till en ny tjänst inom Google Threat Intelligence som genomsöker miljontals meddelanden på dark web. Målet är att fånga signaler om attacker, dataläckor och tillgång till företagsnätverk som säljs innan de kriminella ens hinner slå till.

Google använder Gemini som digital detektiv på dark web

Google presenterade den nya tjänsten under säkerhetskonferensen RSA Conference 2026 i San Francisco. Kärnan i alltihop är att Gemini – Googles mest avancerade AI-modell – arbetar under huven på Google Threat Intelligence och kontinuerligt skannar forum, marknadsplatser och chattkanaler på dark web.

Enligt Google behandlar Gemini dagligen upp till 10 miljoner meddelanden och annonser från dessa obscura plattformar. Här handlas det med hackade konton, stulna databaser, skadlig kod och åtkomst till kompletta företagsnätverk.

AI-systemet ska inte rapportera allt – utan exakt de signaler som är relevanta för en specifik organisation.

För att uppnå det bygger tjänsten en dynamisk profil för varje kundorganisation. Här tittar Gemini bland annat på:

  • företagets bransch och verksamhetstyp
  • de regioner och marknader den verkar inom
  • kända teknologier och system som används
  • typer av data som är intressanta för kriminella – exempelvis kundfiler eller immateriell egendom

Den profilen hjälper AI:n att filtrera ut just de element från den enorma strömmen av samtal och erbjudanden som berör ett visst företag eller liknande organisationer i samma bransch.

Från vaga signaler till konkret varning

Styrkan ligger särskilt i kombinationen av till synes lösa ledtrådar. I praktiken döljer kriminella ofta vilken organisation de exakt har i sikte. De erbjuder exempelvis ”åtkomst till ett nordamerikanskt företag med tillgångar på 50 miljarder dollar” – utan att nämna något namn.

Där klassiska övervakningsverktyg förbiser den sortens meddelanden försöker Gemini just här känna igen mönster. AI:n kopplar samman beskrivningar från dark web-inlägg med offentligt tillgänglig information – som årsredovisningar, marknadsrapporter och demografisk data – för att ta reda på vilket företag som sannolikt avses.

Där mänskliga analytiker kan lägga timmar på att granska detta klarar Gemini det på sekunder och ställer omedelbart ett högprioriterat larm.

För säkerhetsteam innebär det att de betydligt tidigare får en känsla av att deras organisation hamnat i kriminellas sökarljus. Det ger möjlighet att dra tillbaka lösenord, upphäva åtkomsträttigheter eller aktivera extra övervakning – innan en attack är fullt utrullad.

98 procents precision ska bekämpa varningströtthet

Många säkerhetsteam drunknar inte i brist på data, utan i en våg av varningar som visar sig vara ofarliga. Traditionella system producerar ibland tusentals larm om dagen, varav bara en liten del är verkligt brådskande.

Interna tester som beskrivits av fackmedia pekar på att Gemini lyckas välja ut relevanta hot med en precision på cirka 98 procent. Det betyder färre falska positiva och mindre tidsspill.

AI:n ser inte bara på innehållet i ett enskilt meddelande, utan också på mönster över tid: vem som postar det, i vilket sammanhang, hur det förhåller sig till samma användares eller gruppens tidigare aktivitet, och om det passar in i kända kampanjer från cyberkriminella gäng.

Det fokuset ska drastiskt reducera arbetsbördan för säkerhetsavdelningar. Analytiker kan därmed lägga sin tid på de meddelanden som verkligen betyder något – istället för att sortera i ändlösa loggfiler och halvvägs relevanta larm.

Självlärande system anpassar sig till den enskilda organisationen

Tjänsten slutar inte utvecklas efter den första konfigurationen. Gemini justerar kontinuerligt organisationsprofilen utifrån hur säkerhetsteam reagerar på varningar. Om vissa typer av varningar konsekvent avskrivs som låg risk förskjuts AI-analysernas tyngdpunkt i motsvarande grad.

Reagerar team däremot konsekvent snabbt på meddelanden om ett visst hot börjar Gemini prioritera den sortens signaler högre. På det sättet växer tjänsten med den riskuppfattning och praktiska erfarenhet som byggs upp i det enskilda företaget.

Istället för statiska listor med sökord uppstår en flexibel digital kollega som lär sig av analytikernas varje handling.

Det skiljer lösningen från äldre system som är beroende av manuellt uppdaterade söktermer och regler – och som ofta haltar efter i förhållande till nya attacktekniker och jargong på dark web.

På väg mot mer autonom cybersäkerhet

Dark web-skanningarna är en del av Googles bredare strategi om att automatisera säkerhetsuppgifter i betydligt högre grad. Inom plattformen Google Security Operations vill företaget rulla ut autonoma agenter till säkerhetsteam.

Dessa agenter utför självständigt undersökningar av inkommande larm. De hämtar loggdata från olika system, identifierar samband, skriver en motiverad analys och föreslår konkreta åtgärder – exempelvis att isolera en server, blockera ett användarkonto eller automatiskt generera brandväggsregler.

På sikt ska allt fler steg i incidenthanteringen kunna förlöpa utan direkt mänsklig inblandning. Människan flyttar då över i rollen som övervakare och strategisk beslutsfattare – istället för att fungera som den första ”brandkåren” vid varje larm.

Därför är dark web så svårt att övervaka

Dark web består av avskärmade delar av internet som endast är tillgängliga via särskild programvara som Tor-webbläsare. Kriminella använder denna miljö för att anonymt handla med data, planera attacker och utbyta kunskap.

För en genomsnittlig organisation är det praktiskt taget omöjligt att kartlägga detta landskap manuellt. Forum försvinner, nya marknadsplatser uppstår, åtkomster skiftar konstant, och diskussioner sker på flera språk och i kodform.

AI-modeller som Gemini kan hantera den volymen och komplexiteten. De känner igen mönster i språk, i relationer mellan användare och i uppbyggnaden av erbjudanden – och får därmed syn på misstänkt aktivitet som vid första ögonkastet verkar obetydlig för en människa.

Fördelar, risker och vad företag kan göra nu

För organisationer med begränsade säkerhetsteam kan en sådan AI-driven tjänst utgöra en markant förstärkning. De tar emot tidiga signaler om möjliga dataläckor eller planer på att tränga in i deras nätverk – utan att behöva anställa ett helt team av analytiker.

Samtidigt väcker det frågor om beroende av en stor teknikpartner, integritetsskydd och felmarginaler. En felaktig tolkning av data kan leda till onödig stress eller felaktiga åtgärder. Transparens om hur AI:n når sina slutsatser är därför avgörande för förtroendet.

Företag som vill använda den sortens tjänster gör klokt i att först ha ordning på sin egen grund. Utan en tydlig översikt över kritiska system, känslig data och befintliga åtkomsträttigheter kan även den bästa hotinformationen uträtta lite.

Konkreta steg kan exempelvis vara: att underhålla ett uppdaterat register över tillgångar, skärpa åtkomstkontrollen med multifaktorautentisering och komma överens om tydliga procedurer för vad som händer så snart ett meddelande om att företagets namn dyker upp i en dark web-annons tickar in.

För många organisationer kommer AI-driven hotinformation alltså inte ersätta den befintliga säkerheten, utan utgöra ett extra lager ovanpå. En digital vakthund som rör sig i mörkret medan det interna teamet kollar låsen och testar brandlarmena.

Relaterade inlägg

Rulla till toppen