Selv om det er agurketid, er dette ikke noget, der interesserer nyhedsmedierne – selv om det har store konsekvenser globalt. Gennem de seneste få måneder er biblioteker og andre kulturinstitutioner blevet ramt af et voksende antal angreb fra AI-robotter, der lægger bibliotekssystemerne ned, nogle gange i dagevis. Billedet viser 4 markante angreb på bibliotekssystemet hos Danskernes Historie Online gennem de seneste 2 uger! Det er ofte informationssystemer, der anvender Open Source, der bliver ramt, og dermed ofte kulturinstitutioner som DHO.
Der er tale om anonyme firmaer, der arbejder med AI-modeller og som skal have fundet store mængder relevant indhold i en fart. De genererer automatiske forespørgsler til bl.a. bibliotekssystemer med åben adgang. Disse firmaer kan være ChatGPT, Google eller Claude. Men man kan også have mistanke om, at det er andre og mere østlige virksomheder, der er på spil.
Angrebene består i, at AI-firmaerne sender store sværme af tusindvis af forespørgsler på data mod et enkelt system over en bestemt tidsperiode. Belastningen af systemerne bliver dermed så stor, at de reelt ”går ned” – det vil sige, at man som almindelige brugere ikke får kontakt med dem. I stedet får man ”timeout” eller fx fejlmeddelelse 503 = Servicen er ikke tilgængelig. Det har brugere af DHO således også periodevis oplevet over den seneste måned.
Der er tale om en global udfordring. Det engelske firma OpenFifth, der blandt andet tilbyder bibliotekssystemet Koha (som også DHO anvender) beretter, at man siden marts i år har oplevet en markant stigning i sådanne angreb fra AI-robotter. I et tilfælde blev man på 15 minutter ramt af mere end 3.000 forespørgsler fra 2.700 forskellige afsenderadresser. Også Project Gutenberg, der er en international parallel til DHO, har været hårdt angrebet med nedetid i flere perioder.
Det er meget vanskeligt at dæmme op for disse angreb. Afsenderne sørger hele tiden for at variere afsenderadresserne og afsenderland i det uendelige, og de respekterer på ingen måde de almindelige spilleregler på nettet. De respekterer heller ikke ophavsret eller juridiske forhold i øvrigt. Skruer et bibliotek op for kapaciteten finder AI-robotterne bare ud af at angribe med endnu flere forespørgsler.
Samtidig er de i den grad uintelligente – ironisk nok, når de kommer fra AI-firmaer. Vi har hos DHO 100.000 bibliografiske poster i vores bibliotekssystem, og det tager vel et par timer at downloade dem alle, hvis man ville dette, og så er det ligesom gjort. Det er altså ikke nødvendigt gentagne gange at sende mange tusinde forespørgsler om det samme indhold over lange perioder.
Lige nu bliver mange kulturinstitutioner verden over ramt af disse ulovlige robotter, og hvis de ikke er klar over det, bliver de det, når deres systemer pludselig bliver utilgængelige for deres normale brugere. Tendensen accelererer i øjeblikket, og vi kan frygte for, hvordan det udvikler sig over de kommende måneder.
Der er selvfølgelig muligheder for at beskytte systemerne mod disse angreb, der snylter på åbne systemer, der giver fri adgang til alle. En radikal mulighed er at kræve login for at få adgang til ens samlinger af data. Dette går dog stik imod den tankegang, man har hos sådanne åbne hjemmesider. Vi er også meget betænkelige hos os omkring restriktioner for adgangen som cookies eller login, da det helt givet vil reducere brugen af vore frie ressourcer. Ideen med at åbne for kulturarven er netop ikke at beskytte den bag mure af login og måske oven i købet mod betaling.
I virkeligheden er denne ulovlige AI-aktivitet en trussel mod den fri deling af vores fælles kulturarv. AI-robotter kommer givetvis også til at angribe slægtsforskningsdatabaser, private hjemmesider med slægtstræer og alt, hvad vi ellers er vant til at dele frit med hinanden. Dermed bliver det også noget, som vi i stigende grad kommer til at forholde os til fremover.
Hos DHO er vi lige nu i tænkeboks for at finde ud af, hvordan vi kan sikre, at vores bibliotekssystem fortsat vil være frit tilgængeligt for alle – og uden nedetid. I mellemtiden håber vi på forståelse for de gener, som robotterne medfører.
Og som afslutning kunne man måske stille spørgsmålet: Synes du stadig, at AI er et helt fantastisk værktøj at anvende, når det er baseret på ulovlig indsamling af data og virksomheden lægger åbne hjemmesider ned?
Kilde:
Matt Enis: AI Bots Swarm Library, Cultural Heritage Sites, Causing Slowdowns and Crashes. Library Journal, 21. juli 2025.
Per Hundevad Andersen
Leder, Danskernes Historie Online
Det er frygtelig med disse angreb. Jeg har aldrig brugte og aldrig vil bruge AI. Selvom det er imod jeres principper, jeg tror man skal kræve en log-in. Det skal jeg bruge for at komme på Norddjurs bibliotekers hjemmeside og også djursdatabasen på min slægtsforeningens hjemmeside. Den sidste er blevet opbygget af frivillige over mange år og jeg er bange for at folk vil ikke være så tilbøjeligt at lægge deres data op på siden hvis der er risiko at det bliver brugt til ulovlige formål.
Kære Per
Jeg bliver helt ked af at læse dette blogindlæg, for jeg er begejstret (og betalende) bruger af ChatGPT, som jeg bl.a. anvender til avancerede funktioner i Excel og SQL-forespørgsler, da jeg ikke selv er SQL-haj.
ChatGPT har en enorm styrke i forhold til søgning med Google: Man behøver ikke kende de rette termer. Man kan beskrive sit problem med menneskeord. Søger man med Google skal man kende de rigtige ord – og kan man dem, så behøver man nok ikke lede efter en løsning …
MEN: Jeg synes login, cookies, og i sidste instans betaling på et fantastisk open source-projekt, som frivillige i årevis har lagt hundredvis af arbejdstimer i, strider mod hele idéen og alt det, I arbejder på. Jeg vil næsten kalde det katastrofalt.
Jeg vil så sandelig også være ked af at se min egen slægtsdatabase “høstet”, så dit blogindlæg får mig til at overveje krav om brugeroprettelse og kodeord, hvilket også strider mod mine principper.
Jeg har kun et ord for dette: ØV!
Kære Hanne,
Tak for kommentarerne – er så meget enig. Du kan i øvrigt godt rette hundredvis af timer til tusindvis af timer (og det er om året!!).
Med venlig hilsen, Per
Kære Per
Tak for dit svar.
Jeg retter straks: Tusindvis af årlige timer!
Disse “angreb” har nogenlunde samme karakter, som DDoS, og det kan man om ikke gardere sig imod så i hvert fald nedbringe risikoen betragteligt.
Det lyder uhyggeligt.
Hej
Jeg har en hjemmeside med slægtsdata og været generet af disse forspørgsler i en sådan grad at jeg desværre kræver et login nu.. Det har løst problemet men så er det sikkert til gene for nogle som ikke gider besværet med registrering selvom jeg stiller alt gratis til rådighed.
Jeg kan så glæde mig over at systemet virker for dem der gider.
En gordisk knude – det måtte jo ende sådan. På den ene side ser vi i dag studerende og forskere med ChatGPT få adgang kilder, som vi andre kun kunne drømme om. På den anden side byder cyberspace på udfordringer – som vi heller ikke havde forestillet os.
Nej – Jeg synes ikke AI er et fedt værktøj. Jeg har noteret mig, at mine google søgninger nu bliver svaret i AI-oversigt! – jeg har prøvet at bruge co-pilot i mine mails, får så at vide, at jeg er for konsekvent i mine formuleringer, at jeg bør være mere “åben” i mine formuleringer!! – men jeg er jo både imødekommende og venlig ! mine formuleringer er præcise og ikke til at tage fejl af !! Så jeg ændrer ikke mit sprog, det er personligt og præcist ,som jeg ønsker, det skal være. – Jeg er også overrasket over at NETS ejes af et italiensk selskab ? 😲Føler når jeg læser Pers blogindlæg en afmagt og mistro. Jeg kan ikke overskue konsekvenserne af disse AI-angreb andet end, at frygten for, at det hele kollapser på et tidspunkt – det værste senarie man kan tænke sig. Så jeg håber, I finder en afklaring på problemet. Stadigvæk synes jeg, det er super, at vi “bare” kan logge ind uden diverse adgangskoder. Håber det kan vare ved – held og lykke i kampen mod AI-robotterne.
Teknolgien vindere mere og mere indpas i vores Hverdag.
Det er bare ærgerligt at nogle få ønsker at ødelægge vores brug medstore angreb
Ud fra beskrivelsen synes jeg snarere, at det lyder som traditionelle DDOS (Distributed Denial of Service) angreb. Hvis man ønsker at høste data, giver det ikke rigtigt mening at lægge hjemmesiderne ned …
Kære Jørgen Møller Larsen,
Det er ikke DDOS angreb. Læs fx den artikel jeg refererer til. Det er en usædvanlig ondsindet høstning af data – sådan er virkeligheden desværre i dag.
Med venlig hilsen,
Per
Jeg er helt enig i, at det ikke er et DDoS-angreb, men effekten er den samme. I et tidligere job fik jeg opsat et værn mod sådanne angreb. Værnet lukker automatisk ned for noder, der overbelaster serverne.
De bedste hilsner
Ole
Hej Ole,
Jeg synes du skulle læse artiklen. Hver forespørgsel kommer fra en ny IP-adresse og domæne-områderne varierer. “De gode gamle” metoder fungerer altså ikke på disse. Men der findes nogle værktøjer, som nu bliver udviklet globalt, der kan dæmme op for det, fx Cloudflare og en metode, hvor man sjovt nok anvender AI til at finde mønstre og dermed udelukke de fleste bots. Det ender med at blive en krig AI mod AI ….
Med venlig hilsen,
Per
Hej Per
Artiklen er skam læst – og forstået. Det var netop Cloudflare, jeg brugte som værn mod DDoS. Hvor andre i min gamle branche var lejlighedsvis plaget, slap vi.
De bedste hilsner
Ole
Hej Ole,
Tak for det – det giver mening. Vi kører ikke selv løsningen, så vi er afhængige af, hvilken løsning vores leverandør i Sverige vælger at implementere. De tilbyder pt. en cookie- og java-baseret løsning, som vi ikke er helt vilde med. Men vi prøver den nok af. Desværre har de vist ikke planer om Cloudflare.
Med venlig hilsen, Per