The rapid rise of generative artificial intelligence (AI) is reshaping the cyber-threat landscape, enabling attackers to automate, personalise, and scale intrusions. Small and medium-sized enterprises (SMEs), which compose over 90% of global businesses, lack the financial and human resources of large organisations and are therefore uniquely exposed to these AI-driven threats. Existing research has focused largely on AI threats to critical infrastructure and larger enterprises, leaving SME-specific vulnerabilities and counter-measures under-explored. We combined a literature review with semi-structured expert interviews. Themes were identified directly from the data and findings were triangulated to ensure alignment between academic literature and expert perspectives. Generative AI-enhanced phishing emerged as the most pervasive threat against SMEs. The most feasible defences for SMEs are continuous employee awareness training, multi-factor authentication (MFA), Security-as-a-Service (SECaaS) for advanced monitoring and simplified adoption of frameworks such as the NIST AI Risk-Management Profile. By aligning technical safeguards with human-centred training, SMEs can achieve a proportionate yet robust security posture against generative-AI attacks.

Den snabba utvecklingen av generativ artificiell intelligens (AI) omformar landskapet för cyberhot genom att möjliggöra automatisering, personalisering och uppskalning av intrång. Små och medelstora företag (SMF), som utgör över 90 % av världens företag, saknar de ekonomiska och personella resurser som större organisationer har, och är därmed särskilt sårbara för dessa AI-drivna hot. Befintlig forskning har huvudsakligen fokuserat på AI-relaterade hot mot kritisk infrastruktur och större företag, vilket innebär att SMF-specifika sårbarheter och motåtgärder hittills har varit bristfälligt utforskade. I denna studie kombinerades en litteraturstudie med semistrukturerade expertintervjuer. Teman identifierades direkt utifrån det empiriska materialet, och resultaten triangulerades för att säkerställa överensstämmelse mellan den akademiska litteraturen och experternas perspektiv. Generativ AI-förstärkt nätfiske framträdde som det mest utbredda hotet mot SMF. De mest genomförbara skyddsåtgärderna för SMF inkluderar kontinuerlig medarbetarutbildning i säkerhetsmedvetenhet, flerfaktorsautentisering (MFA), Security-as-a-Service (SECaaS) för avancerad övervakning samt förenklad implementering av ramverk såsom NIST:s AI Risk Management Profile. Genom att samordna tekniska skyddsåtgärder med människocentrerad utbildning kan SMF uppnå en proportionerlig men robust säkerhetsnivå mot generativ AI-baserade attacker.