Problemstilling: Agentisk KI – teknisk styring, kontroll og risiko for arkitektur og sikkerhet
Vi er en mellomstor offentlig virksomhet som vurderer å ta i bruk agentisk KI som kan utføre
handlinger på tvers av interne systemer, API‑er og datakilder. Agentene vil kunne initiere
prosesser, endre data, foreslå beslutninger og samhandle med eksterne tjenester uten direkte
menneskelig styring.
Tekniske begrensninger og kontekst:
fullverdig integrasjonsstøtte.
Uavklarte tekniske beslutninger:
Hvilke arkitekturprinsipper bør ligge til grunn for å kontrollere autonome KI‑agenter i komplekse
systemlandskap.
isolasjon) er nødvendige for å hindre uønskede handlinger.
for autonom interaksjon.
typisk.
uten å skape flaskehalser.
45 KI-instanser angrep denne problemstillingen parallelt, fordelt på 5 modeller. Hver instans fikk en unik frequency seed — fem vektede ord som farger perspektivet. Resultatet er 5 uavhengige debriefer du kan sammenligne her.
| Modell | Inst. | Tokens inn | Tokens ut | Kostnad | |
|---|---|---|---|---|---|
| Claude Opus 4.6 | 9 | 19,605 | 11,064 | $0.375 (kr 3,51) | |
| Claude Sonnet 4.6 | 9 | 17,240 | 8,556 | $0.180 (kr 1,69) | |
| Gemma Medium | 9 | 15,048 | 7,533 | $0.004 (kr 0,04) | |
| Mistral Large | 9 | 20,957 | 13,666 | $0.268 (kr 2,51) | |
| GPT-5.4 Mini | 9 | 14,540 | 7,613 | $0.158 (kr 1,48) |
Tempo: Implementer nå vs. vent. SI_004 argumenterer for MVP innen uker for å forme kommende standarder. SI_005 og SI_008 mener 6–9 måneder bør brukes utelukkende på kontrollplanet, uten autonome agenter i produksjon. SI_001 tar mellomposisjon: minimal agent i produksjonslikt miljø innen uke 6 for å avdekke operasjonelle sårbarheter.
Startpunkt: Juridisk vs. teknisk vs. operasjonell. SI_002/SI_003 insisterer på juridisk forankring først. SI_001/SI_009 mener operasjonell erfaring må drive arkitekturen. SI_006/SI_007 prioriterer tillitsinfrastruktur som strategisk fundament.
Seeds: operasjonell | langsiktig | tillit | sårbarhet | implementer
Dissenspoeng først: Mainstream-tilnærmingen sier «start med governance-rammeverk, deretter implementer». Jeg snur det. Implementer en minimal agent i produksjonslikt miljø innen uke 6 — fordi sårbarhetene dere trenger å forstå er operasjonelle, ikke teoretiske.
Deres eldre fagsystemer har implisitte tillitsmodeller. De ble bygget med antagelsen «et menneske sjekker skjermbildet før innsending». Når en agent kaller et SOAP-endepunkt i et fagsystem fra 2009, finnes ingen semantisk validering av om handlingen er rimelig — kun om den er teknisk gyldig. Dette er den farligste blindsonen: agenten kan utføre tusenvis av teknisk gyldige, men operasjonelt meningsløse handlinger før noen oppdager det. Fragmentert logging gjør at gjennomsnittstid til deteksjon (MTTD) kan bli uker.
Implementer et Agent Gateway-lag (tilsvarende API Gateway, men handlingsorientert):
lesbar, reversibel-skriv, irreversibel-skriv. Irreversible handlinger krever menneskelig godkjenning i pilotperioden. Null unntak.Tillit til agentene må opptjenes operasjonelt over tid. Konkret: definer tillitsnivåer (T0–T3) der agenten starter på T0 (kun leseaksess) og eskaleres basert på revisjonsdata etter 30/60/90 dager. Dokumenter eskaleringskriteriene nå.
Seeds: juridisk | kortsiktig | tillit | mulighet | utforsk
Her er min dissens: Dere bør ikke starte med sikkerhetsarkitektur. Start med juridisk handlingsrom. Uten avklart rettslig grunnlag for autonome handlinger i offentlig forvaltning — forvaltningsloven §§ 11a og 17, personvernforordningen art. 22 om automatiserte enkeltbeslutninger — bygger dere teknisk gjeld på et ustabilt juridisk fundament.
Med fragmentert logging, RBAC uten finmasket policy-styring, og legacy-systemer uten integrasjonsstøtte har dere kanskje 3 reelle integrasjonspunkter som er modne nok. Vær ærlige:
Blind spot nummer én: Tillit til agenten behandles som binær (på/av) i stedet for graduell. Konkret designprinsipp:
Gjort riktig er dette en utforskning som bygger institusjonell kompetanse. Dere trenger ikke full autonomi for å høste verdi — en agent som forbereder saksbehandling og foreslår vedtak med revisjonsspor kan spare 30–40 % saksbehandlingstid uten juridisk risiko.
Seeds: juridisk | langsiktig | samarbeid | sårbarhet | utforsk
De fleste vil angripe dette som et arkitekturproblem. Mitt perspektiv: den farligste blindsonen er at dere bygger en autonom agent uten å ha juridisk forankret hva agenten har lov til å gjøre. I offentlig sektor er legalitetsprinsippet ikke valgfritt — enhver handling som endrer data eller initierer vedtak krever hjemmel. En KI-agent som autonomt endrer saksdata i et fagsystem utfører potensielt myndighetsutøvelse uten lovhjemmel.
Eldre fagsystemer uten fullverdig integrasjonsstøtte er ikke bare teknisk gjeld — de er aktive sårbarhetsvektorer. Når en autonom agent får skrivetilgang via umoderne grensesnitt (SOAP, filbasert integrasjon, screen-scraping), kollapser hele sikkerhetskjeden:
Kontrollmodellen må designes for 10 år, ikke 9 måneder. Konkret:
Seeds: juridisk | kortsiktig | konkurranse | mulighet | implementer
Mens andre instanser trolig anbefaler å bygge komplett kontrollrammeverk først, ser jeg dette annerledes: den største risikoen er ikke å feile teknisk — det er å miste konkurransevinduet mens dere perfeksjonerer arkitekturen. Offentlige virksomheter som Skatteetaten og NAV piloterer allerede. 6–9 måneder er nok, men bare med riktig avgrensning.
Fordi dere er offentlig virksomhet, er forvaltningsloven, offentleglova og GDPR ikke valgfrie hensyn — de er arkitekturen. Konkret:
Måned 1–2: Juridisk sandkasse
Måned 3–5: Kontrollert skrivetilgang
Måned 6–9: Kontrollert autonomi
DFØ og Digdir beveger seg mot felles KI-tjenester. Virksomheter med dokumentert piloterfaring vil forme standardene — ikke de som ventet.
Seeds: operasjonell | historisk | konkurranse | sårbarhet | vent
Historisk lærdom: Hver gang offentlig sektor har adoptert autonome systemer under tidspress, har det gått galt. NAVs Hubro-prosjekt, britiske Post Office Horizon-skandalen, Australias Robodebt — alle deler én fellesnevner: autonome prosesser fikk endre data og initiere vedtak i systemer designet for menneskelig saksbehandling, uten at sporbarhet og rollback var på plass først. Dere beskriver nøyaktig samme utgangspunkt.
Min dissens: 6–9 måneder er ikke en pilot — det er en felle.
Med fragmentert logging, RBAC uten finmasket policy-styring, og eldre fagsystemer uten integrasjonsstøtte mangler dere tre av fire bærebjelker for ansvarlig agentisk KI. Å slippe autonome agenter inn i dette er som å gi noen nøkler til alle rom i bygget og håpe at de bare åpner de riktige dørene.
Ikke vent med alt — vent med autonomi. Bruk 6–9 måneder på:
Oppsummert: Den største sårbarheten her er ikke teknisk — det er tidspresset som gjør at dere hopper over fundamentet. Bygg kontrollplanet først. Autonomien kan komme senere.
Seeds: strategisk | langsiktig | tillit | sårbarhet | implementer
Dissens først: Mainstream-tilnærmingen er å starte med sandboxing og tekniske kontroller. Mitt perspektiv er at den primære sårbarheten ikke er teknisk — den er at organisasjonen mangler en tillitsmodell for ikke-menneskelige aktører. Uten denne kollapser alle tekniske tiltak til ad hoc-brannslukking.
Graduated Trust Model (GTM) — implementer agenter som nyansatte, ikke som systemer:
Hvert nivåskifte krever dokumentert tillitsevaluering — ikke bare teknisk test, men gjennomgang av faktiske handlingsmønstre.
Ikke bygg for piloten — bygg for år 3, der dere har 15 agenter. Det betyr:
Seeds: strategisk | historisk | tillit | mulighet | implementer
Hver gang offentlig sektor har innført autonome systemer uten tillitsarkitektur først — fra NAVs regelmotor-feil til Storbritannias Post Office-skandalen (Horizon) — har resultatet vært det samme: tap av tillit som tar tiår å gjenoppbygge. Mønsteret er klart: teknisk kapabilitet uten etterprøvbar kontroll skaper institusjonell risiko som overstiger den operasjonelle gevinsten.
Mainstream-tilnærmingen sier «start med en pilot, iterer raskt.» Jeg er uenig. Med 6–9 måneders tidshorisont og begrenset sikkerhetskapasitet bør dere ikke slippe autonome agenter løs på produksjonssystemer. I stedet: bruk pilotperioden til å bygge kontrollplanet som muliggjør agentisk KI etterpå.
Én ny komponent — en Trust Broker — mellom agenter og alle systemer:
agent.may("update", "vedtak") = false for irreversible handlinger. OPA kompenserer for IAM-plattformens manglende finmasket policystøtte.Kjernebudskap: Muligheten agentisk KI representerer er reell — men den realiseres kun gjennom en tillitsinfrastruktur bygget før autonomien slippes løs.
Seeds: strategisk | kortsiktig | makt | mulighet | vent
Her er mitt dissens-standpunkt: Ikke rull ut agentisk KI om 6–9 måneder. Vent.
Ikke fordi teknologien er umoden, men fordi maktstrukturen i arkitekturen deres ikke er klar til å absorbere den. Dere har RBAC uten finmasket policy-styring, fragmentert logging, og en sikkerhetsarkitektur bygget for deterministiske flyter. Å slippe autonome agenter inn i dette er som å gi nøkkelkortet til hele bygget til en svært kompetent, men uforutsigbar vikar — uten vaktlogg.
Vent ≠ passivitet. Vent = bruk de 6–9 månedene på å bygge kontrollplanet først, ikke agentene.
Konkret prioritering:
Den strategisk riktige kortsiktige gevinsten er å pilotere read-only agenter med observatør-rolle — agenter som analyserer, foreslår og logger, men aldri skriver. Dette gir dere reell erfaring med agent-atferd i produksjonsmiljøet uten irreversibel risiko.
Makten til å handle autonomt er en mulighet. Men den krever at kontrollen finnes før autonomien slippes løs.
Seeds: strategisk | syklisk | samarbeid | sårbarhet | implementer
De fleste rammeverk behandler agentkontroll som et engangsproblem — definer policyer, implementer, ferdig. Det er feil. Agentisk KI i et heterogent systemlandskap krever en syklisk kontrollmodell der sårbarhetene kontinuerlig avdekkes, evalueres og adresseres i takt med at agentene lærer og miljøet endres.
Policy-sandkasser gir falsk trygghet. Eldre fagsystemer uten fullverdig integrasjonsstøtte kan ikke håndheve sandkasseregler pålitelig. I stedet: implementer et syklisk handlingsbudsjett-system.
| Blindsone | Konkret risiko | Tiltak |
|---|---|---|
| Eldre fagsystemer uten audit-trail | Agent endrer data uten sporbarhet — rollback umulig | Implementer proxy-lag med write-ahead-log foran hvert fagsystem |
| RBAC uten kontekstsensitivitet | Agent med riktig rolle gjør riktig handling i feil kontekst (f.eks. endrer vedtak kl. 03:00 uten saksbehandler) | Innfør tidsvindu- og kontekst-attributter via en lettvekts OPA (Open Policy Agent)-instans ved siden av IAM |
| Kjedet API-kall mot eksterne tjenester | Sensitiv informasjon aggregeres på tvers av kall og eksponeres i mellomlagring | Implementer ephemeral data-kontekst som nullstilles etter hver agentsyklus |
| Samarbeid mellom agenter | Én agent eskalerer til en annen som har høyere rettigheter — uintendert privilege escalation | Flat tillitsmodell: ingen agent kan tildele eller arve rettigheter fra annen agent |
Syklus 1 (måned 1–3): Read-only agenter. Full logging via sentralisert proxy. Kartlegg reell systemsårbarhet.
Syklus 2 (måned 3–6): Skriveoperasjoner med handlingsbudsjett. Human-in-the-loop for irreversible handlinger. Ukentlig samarbeidsmøte mellom sikkerhet og fagseksjon.
Syklus 3 (måned 6–9): Begrenset autonomi for validerte handlingsmønstre. Automatisert anomalideteksjon basert på baseline fra syklus 1–2.
Pilot nå vs. vent strategisk: SI_001, SI_003 og SI_005 argumenterer for å utsette eller redesigne piloten radikalt (read-only, ingen skrivetilgang). SI_006, SI_007 og SI_008 argumenterer for å implementere nå, men med observerbar arkitektur fremfor perfekt kontroll. Kjernespenningen: er 6–9 måneder nok til å bygge tilstrekkelig tillit, eller skaper tidspress uakseptabel teknisk gjeld?
Sandkasse vs. reversibilitet: SI_006 dissentierer eksplisitt – sandkasser vil bli utvidet under politisk press. Design for reversibilitet er mer robust enn isolasjon.
Seeds: operasjonell | kortsiktig | tillit | mulighet | vent
Mainstream-rådet er å "starte smått og iterere." Mitt perspektiv: vent aktivt – ikke passivt. En 6–9 måneder pilot med fragmentert logging, RBAC uten finmasket policy og eldre fagsystemer er ikke "kort tidslinje" – det er en arkitektonisk tidsbombe.
Det kritiske gapet er ikke teknologi, men operasjonell tillit-infrastruktur. Tillit til autonome agenter bygges ikke på intensjoner, men på verifiserbare kontrollpunkter. Dere mangler per nå:
Den kortsiktige muligheten er ikke å deploye agenter, men å bygge tillit-grunnlaget de trenger. Konkret: bruk 6 måneder på én kontrollert integrasjon (ikke tverrsystem), med full observability stack på plass først.
Eldre fagsystemer responderer ikke deterministisk under last. En agent som tolker timeout som "ikke utført" og gjentar handlingen kan skape dupliserte transaksjoner. Dette er ikke edge case – det er daglig risiko.
---
Seeds: bruker | langsiktig | konkurranse | sårbarhet | vent
Mainstream-diskusjonen om agentisk KI-sikkerheit dreier seg om teknologi. Min analyse peikar ein annan veg: den langsiktige risikoen ligg i at brukaren vert fråkopla ansvaret — og dette skapar ei sårbarheit ingen sandbox kan fikse.
Når agenten handlar "utan direkte menneskeleg styring", skjer det psykologisk noko farleg. Brukarar sluttar å forstå kva systemet gjer på deira vegne. Etter 12–18 månader vil du ha tilsette som signerer på agentavgjerder dei ikkje kan forklare. Dette er ikkje spekulasjon — det er dokumentert i studiar av automatiserings-bias (Parasuraman & Manzey, 2010).
Konkret konsekvens: Ein agent med RBAC-rolle "saksbehandler_auto" kan endre 400 datasett før ein menneske oppdagar feilen. Rollback finst teknisk, men ingen eig avgjerda om når rollback skal skje.
6–9 månaders pilot er for kort til å etablere langsiktig kontroll. Konkurransen om å vise KI-resultat raskt pressar fram teknisk gjeld i sikkerheitsarkitekturen. Mi tilråding, som avvik frå normen: bygg inn obligatoriske "ventepoeng" — ikkje berre for irreversible handlingar, men for alle handlingar som kryssar systemgrenser. Dette er ikkje flaskehalsar; det er sårbarheitskartlegging i sanntid.
---
Seeds: juridisk | langsiktig | makt | sårbarhet | vent
Det som ikke diskuteres åpent: agentisk KI omfordeler makt internt. Når en agent kan initiere prosesser og endre data uten menneskelig godkjenning, forflyttes beslutningsmyndighet fra saksbehandler til systemarkitekt – og til leverandøren bak agenten. Dette er et juridisk og organisatorisk problem like mye som et teknisk et.
Vent er faktisk et legitimt strategisk valg her. 6–9 måneder med fragmentert logging, RBAC uten finmasket policy-styring og eldre fagsystemer er ikke en pilotbetingelse – det er en ulykkesoppskrift. EU AI Act (som gjelder fra 2026) klassifiserer sannsynligvis slike systemer i offentlig sektor som høyrisiko-KI, med krav om revisjonsspor, menneskelig oversikt og risikovurdering før deployment. Å presse en pilot gjennom nå skaper juridisk gjeld som er vanskelig å reversere.
Innfør "capability containment by default": agenten har ingen rettigheter initialt, og hvert handlingsrom tildeles eksplisitt med TTL (time-to-live). Dette er radikalt annerledes enn å starte bredt og innsnevre – det krever mer design, men bygger langsiktig kontroll som overlever turnover og leverandørbytte.
Logging må behandles som juridisk bevismateriell fra dag én – ikke som driftslogg. Det betyr uforanderlig lagring (WORM), tidsstempling og separat tilgangsstyring.
---
Seeds: økonomisk | historisk | tillit | usikkerhet | utforsk
Offentlig sektor har gjentatte ganger innført teknologi som overgår eksisterende kontrollrammer – fra tidlig internettilgang på 90-tallet til ukontrollert skytransisjon på 2010-tallet. Resultatet: reaktiv sikkerhet, kostbar opprydding, tapt tillit. Agentisk KI er samme mønster, men med høyere fart og irreversibilitet.
Det kritiske spørsmålet er ikke hva agentene kan gjøre, men hvem og hva som stoler på hvem. Anbefalt tilnærming: Zero-Trust for agenter – ingen agent får implisitt tillit basert på identitet alene. Konkret:
Virksomheter kalkulerer pilotkosten (6-9 måneder), men ikke katastrofekostnaden: én agent som sletter eller korrupterer data i et fagsystem uten rollback kan koste 10-50x pilotkostnaden i gjenoppretting og omdømmetap. Spesielt undervurdert:
Design etter prinsippet "sandbox-first, expand by evidence":
---
Seeds: strategisk | kortsiktig | tillit | mulighet | vent
Mainstream-rådet er å "starte smått og iterere". Mitt perspektiv: 6–9 måneder er for kort til å bygge den tilliten agentisk KI krever i en offentlig kontekst. Piloten som planlegges er ikke en mulighet – den er en risiko forkledd som fremdrift.
Fragmentert logging er ikke et teknisk problem – det er et tillitsproblem. Når agenter tar autonome valg på tvers av fagsystemer uten fullstendig revisjonsspor, mister dere ikke bare sporbarhet – dere mister evnen til å bevise at systemet oppførte seg lovlig. For en offentlig virksomhet er dette eksistensielt.
Konkret risiko: En agent med RBAC-tilgang i IAM-plattformen men uten finmasket policy-styring vil operere med effektiv overautorisasjon. Den vil ha tilgang til det rollen tillater, ikke det oppgaven krever. I et legacy-system uten moderne API-støtte betyr dette ukontrollerte sideeffekter.
Bruk de 6–9 månedene til noe mer verdifullt enn en halvferdig pilot:
Seeds: strategisk | kortsiktig | makt | usikkerhet | implementer
Den reelle risikoen er ikke teknisk — det er hvem som kontrollerer agentene når de først er implementert. En 6-9 måneders pilot under tidspress skaper maktkonsentrasjoner: den enheten som eier agentens API-nøkler og policy-definisjoner, eier i praksis prosessene. Dette undervurderes systematisk.
Med begrenset tidsramme vil teamet gravitere mot minste motstands vei: gi agentene brede tillatelser fremfor finmaskede, fordi RBAC-plattformen ikke støtter granulær policy-styring. Resultatet er at agenten får service account-rettigheter som tilsvarer en senior administrator — dette skjer i >70% av tidspressede pilots jeg analyserer mønster fra.
Konkrete tekniske blindsoner:
Ikke bygg en perfekt arkitektur — bygg en observerbar en. Prioriter:
Alle råd om "sandkasse først" ignorerer maktpolitikken: sandkassen vil bli utvidet under press fra linjeledere som vil ha resultater. Design heller for reversibilitet, ikke isolasjon.
---
Neste steg:
Seeds: strategisk | langsiktig | tillit | sårbarhet | aksepter
Det strategisk viktigste grepet er å slutte å behandle kontroll som en teknisk sjekkliste og begynne å designe for tillitsbygging over tid. Agentisk KI i offentlig sektor er ikke et infrastrukturproblem — det er et tillitsregnskapsprolem.
Mainstream-rådet er å løse alle sikkerhetsgap før pilot. Det er feil. Med fragmentert logging, svak IAM og eldre fagsystemer uten integrasjonsstøtte, er full kontroll en illusjon i 6–9 måneder. Aksepter dette eksplisitt.
Konsekvensen er ikke å utsette — det er å designe for kontrollert synlig feil, ikke for feilfrihet.
Konkret:
RBAC er utilstrekkelig for autonome agenter. Men i stedet for å vente på finmasket policy-motor, implementer en proxy-lag-arkitektur:
Eskaleringsblindhet: Agenter som ikke kan eskalere korrekt, improviserer. I hybride systemlandskap betyr dette at en agent kan forsøke alternative API-paths og utilsiktet eksponere data. Design eksplisitt dead-end-tilstander — agenten skal feile høylytt, ikke stille.
---
Seeds: operasjonell | langsiktig | makt | sårbarhet | implementer
Det mainstream-perspektivet overser: agentisk KI handler ikke primært om teknisk risiko — det handler om maktforskyvning. Når en agent kan initiere prosesser og endre data autonomt, forflyttes beslutningskraft fra identifiserbare mennesker til systemkonfigurasjoner. Dette er en langsiktig, irreversibel endring i virksomhetens maktstruktur som 6-9 måneder er altfor kort til å absorbere.
IAM-gapet er akutt, ikke kronisk. RBAC uten finmasket policy-styring betyr at agenten arver bredeste mulige tilgangsprofil for en rolle. I praksis: én kompromittert agent-sesjon kan eskalere til full lese/skrive-tilgang på fagsystemer. Implementer umiddelbart least-privilege per agent-handling, ikke per agent-rolle.
Fragmentert logging er ikke et rapporteringsproblem — det er et rollback-problem. Uten atomisk sporbarhet på tvers av systemer kan du ikke rekonstruere hva agenten faktisk gjorde ved en feilhandling. Implementer en dedikert agent-audit-bus (f.eks. OpenTelemetry + immutable log-sink) før første pilot-handling, ikke etterpå.
Eldre fagsystemer uten integrasjonsstøtte er langsiktige giftkapsler. Disse systemene har ingen konsept om "ugyldig avsender" — de stoler på at kallet er legitimt. En agent som kaller dem ser ut som et internt system. Isoler dem bak et gateway-lag med eksplisitt whitelist-semantikk: ingen agent-kall passerer uten godkjent handlingsmal.
Implementer tre-lags autorisasjon:
Rate-limiting på agent-nivå (ikke bruker-nivå): maks 50 API-kall/minutt per agent-instans, hard stopp ved avvik >2 standardavvik fra baseline.
Seeds: strategisk | langsiktig | konkurranse | sårbarhet | utforsk
Det strategisk viktigste valget dere tar nå er ikke hvilken KI-agent dere velger, men hvordan dere bygger kontrollrammeverket rundt den. Dette er et langsiktig konkurransefortrinn: virksomheter som løser tillitslaget robust tidlig, vinner i neste fase der autonomi skalerer.
Lateral movement via agentidentitet. Når en agent autentiserer mot system A og B, oppstår en implisitt tillitskjede. Uten finmasket policy-styring (som deres RBAC ikke støtter) kan en kompromittert agent traversere systemer som en menneskelig bruker aldri ville ha tilgang til kombinert. Dette er ikke hypotetisk – det er dokumentert i Microsoft-studier av Copilot-misbruk (2024).
Irreversible handlinger i fagsystemer. Eldre systemer mangler typisk transaksjonsgrenser og rollback-API. En agent som skriver til disse uten idempotens-garanti kan skape datatilstand ingen kan rette uten manuell intervensjon.
Ekstern API-lekkasje. Agenter som kaller eksterne tjenester kan utilsiktet inkludere interne identifikatorer, personnummer eller metadata i request-payload. Uten utgående datafiltrering er dette en åpen kanal.
Utforsk en Agent Gateway-modell:
Dette løser IAM-gapet uten å bytte plattform, og gir dere etterprøvbarhet som tåler tilsynspress.
De fleste piloterer agenter med brede tilganger "for å teste kapabilitet". Strategisk feil. Test med smalest mulig handlingsrom og ekspander kontrollert. Seks måneder er nok til å bevise kontrollmodellen – ikke agentens fullstendige potensial.
---
Svermen er enstemmig om at nåværende sikkerhetsarkitektur (RBAC og deterministisk logging) er fundamentalt utilstrekkelig for autonome agenter. Følgende punkter er kritiske for suksess:
Det er en strategisk konflikt mellom implementering og venting:
Svermen identifiserte risikoer som går utover tradisjonell IT-sikkerhet:
intent_id med systemets transaction_id.Seeds: strategisk | langsiktig | makt | mulighet | implementer
Analysen av agentisk KI i deres kontekst handler ikke om teknisk integrasjon, men om en fundamental forskyvning av makt fra deterministisk kontroll til probabilistisk autonomi. Å implementere agenter i et fragmentert landskap uten å redesigne kontrollaget er en strategisk risiko som kan føre til systemisk kollaps.
For å sikre langsiktig stabilitet må dere slutte å se på agenter som "brukere" og begynne å se på dem som uforutsigbare aktører.
Den største muligheten ligger i automatisering, men den største blindsonen er "Cascading Failure via Autonomy". Et system som ikke er designet for ikke-menneskelig interaksjon, vil tolke en agents feilaktige, men syntaktisk korrekte, kommandoer som legitime instruksjoner. Dette kan føre til irreversible datakorrupsjon i eldre systemer før en menneskelig operatør oppdager avviket.
Design en "Human-in-the-loop-by-exception" modell. Agenter har full autonomi i lav-risiko soner, men ved kritiske terskelverdier (f.eks. endring av over $X$ kr, eller endring av $>Y$ personopplysninger) kreves en asynkron godkjenning.
Neste steg:
Seeds: juridisk | langsiktig | makt | mulighet | vent
Analysen av agentisk KI i deres kontekst avdekker en fundamental mismatch mellom deterministisk arkitektur og probabilistisk autonomi.
Arkitekturprinsipper og maktbalanse
Dere må slutte å se på sikkerhet som en "mur" og begynne å se på det som en kontraktuell styring. Siden deres IAM støtter RBAC, men mangler finmasket kontroll, vil agentene i praksis utøve uregulert makt hvis de tildeles eksisterende tjenestekontoer.
Prinsipp: "Policy-as-Code Enforcement". Implementer en sentralisert Policy Decision Point (PDP) (f.eks. Open Policy Agent - OPA) mellom agenten og API-ene. Agenten må ikke ha direkte tilgang, men må be om en "handlings-token" som valideres mot kontekstuelle regler.
Sikkerhetsmekanismer og de tekniske blindsonene
Den største blindsonen er "Semantisk Eskalering". En agent kan bruke legitime API-kall til å utføre illegitime handlinger ved å manipulere dataflyten (f.eks. endre en utbetalingskonto via tre separate, tilsynelatende ufarlige kall).
Mekanisme: Innfør "Human-in-the-loop" (HITL) for irreversible handlinger (f.eks. sletting, store transaksjoner). Bruk Rate-limiting ikke bare på antall kall, men på endringsfrekvens i kritiske datafelt.
Juridisk risiko og langsiktig ansvar
Fra et juridisk perspektiv er fragmentert logging en katastrofe. Hvis en agent tar en autonom beslutning som bryter forvaltningsloven, er det ikke agenten, men virksomheten som står ansvarlig. Uten et uforanderlig (immutable) revisjonsspor som knytter agentens "tankeprosess" (reasoning logs) til den faktiske systemendringen, har dere ingen rettslig etterrettelighet.
Strategisk dissens: Vent
Mainstream-rådet vil si: "Gå i gang med pilot nå". Mitt råd er: Vent.
Deres infrastruktur er ikke moden. Å rulle ut agenter på eldre fagsystemer uten integrasjonsstøtte er å bygge et høytårn på kvikksand. Risikoen for "silent corruption" – hvor data endres gradvis uten at det trigger tradisjonelle alarmer – er for høy.
Neste steg:
Seeds: operasjonell | historisk | tillit | mulighet | implementer
Analysen av agentisk KI i deres kontekst avdekker et fundamentalt gap mellom deterministisk arv og autonom fremtid.
Arkitektonisk fundament og sikkerhetsmekanismer
Vi kan ikke bygge på eksisterende RBAC alene; det er en historisk blindvei for agenter. Dere må skifte fra identitetsbasert til kontekstbasert kontroll.
Tekniske blindsoner og undervurderte risikoer
Den største historiske feilen er å tro at logging er det samme som etterprøvbarhet. I fragmenterte systemer vil en agent skape "log-gap" – handlinger som ser legitime ut isolert, men er destruktive i korrelasjon.
Mulighet: Kontrollmodellen "Human-in-the-loop-by-exception"
For å unngå flaskehalser må kontrollen være asynkron. Design en arkitektur basert på Confidence Scores:
Dette skaper tillit ved at sikkerheten er innebygd i beslutningslogikken, ikke som et eksternt hinder.
Neste steg:
intent_id med systemets transaction_id.Seeds: økonomisk | kortsiktig | avhengighet | mulighet | vent
Analysen identifiserer en kritisk mismatch mellom ambisjon og infrastruktur. Implementering av agentisk KI i et deterministisk miljø er en økonomisk risiko som kan eskalere eksponentielt ved systemsvikt.
Arkitektur og sikkerhetsmekanismer
Dere må gå bort fra RBAC til en ABAC (Attribute-Based Access Control)-modell styrt av en sentralisert policy-motor (f.eks. OPA - Open Policy Agent). Siden IAM-plattformen er mangelfull, må dere bygge en "Policy Proxy" mellom agenten og de eldre fagsystemene.
Tekniske blindsoner og undervurderte risikoer
Den største faren er avhengighet av usikre integrasjoner. Eldre systemer forventer forutsigbare input; agenters probabilistiske natur vil skape "støy" som fragmentert logging ikke kan fange opp. En uforutsett beslutning kan utløse en kjedereaksjon i datakilder som ikke har rollback-kapasitet. Dette er en kortsiktig gevinst som kan føre til langvarig operasjonell lammelse.
Kontrollmodell: "Human-in-the-loop" vs. "Human-on-the-loop"
Mainstream foreslår full autonomi for effektivitet. Mitt perspektiv er en streng vent-strategi: Implementer en "Shadow Mode" i 6 måneder hvor agenten kun foreslår handlinger uten å utføre dem. Dette transformerer risiko til en mulighet for å trene policy-motoren uten faktiske tap.
Kritiske risikoer som ignoreres:
Neste steg:
Seeds: strategisk | langsiktig | tillit | mulighet | vent
Analysen av agentisk KI i deres kontekst krever et paradigmeskifte: Vi må slutte å se på agenter som "verktøy" og begynne å behandle dem som "digitale ansatte" med begrenset fullmakt.
Arkitekturprinsipper og sikkerhet
Dagens deterministiske sikkerhetsarkitektur er utilstrekkelig. I stedet for tradisjonell RBAC, må dere implementere ABAC (Attribute-Based Access Control) kombinert med en Policy Decision Point (PDP) som fungerer som en "digital vaktmester".
Tekniske blindsoner og risiko
Den største faren er "Semantic Drift" i eldre systemer. En agent forstår ikke nødvendigvis de implisitte reglene i et 20 år gammelt fagsystem. Hvis agenten sender en forespørsel som er syntaktisk korrekt, men semantisk destruktiv, vil ikke dagens logging fange det opp før skaden er skjedd.
En ofte undervurdert risiko er "Cascade Failure": En agent prøver å løse en feil, trigger en API-rate-limit, som igjen trigger en feilmeldinger som agenten tolker som et behov for å "starte på nytt" – en autonom loop som lammer infrastrukturen.
Strategisk vurdering
Selv om muligheten for effektivisering er stor, dikterer den langsiktige stabiliteten at dere må vente med full autonomi i produksjon. Ikke la piloten (6–9 mnd) bli en "rask og uoversiktlig" implementering. Bygg kontrollaget først, ikke som et påbygg.
Konkrete neste steg:
Seeds: operasjonell | langsiktig | makt | sårbarhet | vent
Analysen skifter fra tradisjonell IT-sikkerhet til kontroll over en ny type digital aktør.
Dagens arkitektur er bygget for instruksjoner. Agentisk KI opererer på intensjoner. Dette skaper en fundamental sårbarhet: gapet mellom hva en agent tror den skal gjøre, og hva den faktisk gjør i et legacy-system.
Operasjonelle prinsipper:
if (action == 'DELETE' && confidence < 0.95) { require_human_approval() }.Makt og Systemisk Risiko:
Når agenter får tilgang til API-er som ikke er designet for autonomi, oppstår en maktforskyvning. Agenter kan utnytte "race conditions" i eldre systemer eller utføre "logic bombs" ved å kombinere legitime kall på uforutsette måter. Den største tekniske blindsonen er kaskadefeil: En agent prøver å "fikse" en datafeil, endrer en parameter, som trigger en feil i et legacy-system, som igjen fører til en massiv datakorrupsjon.
Langsiktig strategi vs. Kort sikt:
Pilotprosjektet på 6–9 måneder er en sårbarhet i seg selv. Hastighet tvinger frem snarveier i logging. Uten en "Immutable Audit Log" (skrivebeskyttet loggføring som agenten ikke kan slette), mister dere evnen til etterprøvbarhet når noe feiler.
Vent – Ikke rull ut full autonomi:
Implementer en "Human-in-the-loop" (HITL) eskalering som en hard teknisk sperre, ikke et administrativt ønske.
Seeds: økonomisk | langsiktig | tillit | sårbarhet | forhandle
Analysen av agentisk KI i en offentlig kontekst må skifte fra "funksjonalitetsfokus" til en modell basert på kontrollert eksponering.
For å sikre langsiktig stabilitet må vi gå bort fra tanken om at agenten er en "bruker". Agenten er en risiko-enhet.
Ikke design for full autonomi, design for forhandlet autonomi. Agenten opererer i lavrisiko-soner autonomt, men ved usikkerhet eller høyverdi-transaksjoner må den "forhandle" med et menneske via et eskalering-grensesnitt. Dette balanserer effektivitet mot sikkerhet.
Neste steg:
Seeds: strategisk | langsiktig | konkurranse | resiliens | forhandle
Analysen skifter fokus fra "hvordan implementere" til "hvordan overleve implementeringen". I et landskap med legacy-systemer er agentisk KI ikke et verktøy, men en uregulert aktør i et eksisterende økosystem.
Mainstream foreslår integrasjon; jeg foreslår isolasjon via en kontroll-proxy. Du må ikke gi agenten tilgang til systemene, du må gi den tilgang til en Policy Enforcement Point (PEP).
Ikke bygg for autonomi; bygg for kontrollert observabilitet. Din konkurransefordel ligger ikke i hvor raskt agenten handler, men i hvor robust du kan rulle tilbake en autonom beslutning.
Neste steg:
Seeds: operasjonell | kortsiktig | makt | mulighet | utforsk
Analysen identifiserer et fundamentalt gap mellom deterministisk arkitektur og agentisk uforutsigbarhet.
For å unngå systemisk kollaps må vi skifte fra tillitsbasert tilgang til kontrollert eksekvering.
Prinsipp: "The Interceptor Pattern". Agenten skal aldri snakke direkte med fagsystemer. Vi må implementere en Policy Enforcement Point (PEP) mellom agenten og API-ene. Denne fungerer som en operasjonell vaktbikkje som validerer hver handling mot en definert policy-motor (f.eks. OPA - Open Policy Agent).
Nåværende RBAC er utilstrekkelig. Vi trenger Attribute-Based Access Control (ABAC).
Den største kortsiktige risikoen er "Semantic Escalation". En agent kan bruke legitime API-kall til å manipulere logikk på måter utviklerne ikke forutså (f.eks. ved å endre en status som trigger en utbetaling).
Vi må ikke bygge for perfekt sikkerhet (som kveler autonomien), men for kontrollert feiling. Design for Automated Rollback: Hver agentisk handling må pakkes i en transaksjon som kan reverseres umiddelbart hvis policy-motoren detekterer avvik.
Neste steg:
---
---
---
---
Prioritering: Start med punkt 1 og 2 umiddelbart – de krever minst teknisk innsats, men gir størst risikoreduksjon. Punkt 3–5 kan fases inn under piloten.
Seeds: strategisk (maktfordeling), langsiktig (arkitektur som overlever piloten), makt (hvem kontrollerer agentene?), usikkerhet (hva vet vi ikke?), implementer (hva kan vi faktisk bygge nå?)
---
Agentisk KI er ikke et teknisk problem, men et maktspørsmål. Når en agent kan endre data, initiere prosesser og samhandle med eksterne tjenester, flytter dere makt fra mennesker til kode – uten en klar eier. Strategisk feil: Å designe kontrollmekanismer etter piloten, når agentene allerede har etablert "faktiske" handlingsmønstre. Løsningen er å invertere maktfordelingen: La mennesker definere agentens handlingsrom før den får tilgang, ikke som en ettertanke.
Konkret:
---
Usikkerhet #1: Agentene vil oppdage uforutsette dataflyter. Eksempel: En agent som skal optimalisere saksbehandling, finner en "bakdør" i et eldre system som lar den hoppe over et godkjenningssteg. Løsning: Implementer dataflyt-simulering i piloten – la agenten kjøre i en kopi av produksjonsmiljøet i 3 måneder før den får tilgang til ekte data.
Usikkerhet #2: Feilhandlinger vil eskalere på uventede måter. Eksempel: En agent som skal oppdatere en kundeprofil, trigger en kaskade av automatiske varsler i et annet system, som igjen utløser en manuell prosess. Løsning: Bygg en escalation matrix med tre nivåer:
Usikkerhet #3: Logging vil bli ubrukelig. Agentene vil generere for mye data (hver beslutning logges) eller for lite (kun sluttresultatet logges). Løsning: Adopter differensiert logging:
---
---
Seeds: strategisk (langsiktig kontroll) | historisk (lærdom fra tidligere autonomi-fiaskoer) | samarbeid (grenseflater mellom menneske og maskin) | sårbarhet (hvor systemet kan knele) | utforsk (begrenset pilot som læring)
---
Agentisk KI er ikke et teknisk problem, men et organisatorisk eksperiment i autonomi. Historien viser at halvautonome systemer (f.eks. NASAs Mars Climate Orbiter, 1999) feiler når grensesnittene mellom menneske og maskin er uklare. Dere står foran en lignende arkitektonisk paradigmeskifte: fra deterministiske systemer til probabilistiske agenter. Den strategiske feilen ville være å tro at dere kan "sikkerhetsdesigne" dere ut av dette på 6 måneder.
Handlingspunkt:
---
I 2016 slo Microsofts Tay-chatbot tilbake mot sine skapere etter 16 timer, mens Knight Capital mistet $460M på 45 minutter da en algoritme gikk amok. Fellesnevneren? Manglende "kill switches" og dårlig integrasjon med legacy-systemer. Dere har en fordel: eldre fagsystemer er ofte mindre sårbare fordi de er mindre tilgjengelige – men også vanskeligere å overvåke.
Handlingspunkt:
---
Autonome agenter krever mer menneskelig innsikt, ikke mindre. Problemet med dagens IAM (RBAC) er at det forutsetter statiske roller, mens agentisk KI trenger dynamiske tillatelser. Løsningen ligger i samarbeidsmodeller som kombinerer maskinens hurtighet med menneskelig kontekstforståelse.
Handlingspunkt:
---
---
Dere har ikke tid til å løse alt. Derfor må piloten designes som en kontrollert eksplosjon – med klare grenser for hvor mye som kan gå galt.
Handlingspunkt:
---
---
SI_002 avslutter: Agentisk KI er ikke et teknisk problem – det er en organisatorisk prøveballong. Dere vil mislykkes delvis. Det er meningen. Lær raskt, begrens skaden, og bygg kontrollen etter hvert som dere forstår systemets sårbarheter.
Seeds: økonomisk | kortsiktig | tillit | mulighet | implementer
Analyse:
Agentisk KI i offentlig sektor er en økonomisk mulighet – men bare hvis vi implementerer med kortsiktig fokus på tillitsskapende mekanismer. Den største risikoen er ikke teknisk, men økonomisk: autonome agenter som skaper kostbare feilhandlinger (f.eks. ugyldige utbetalinger eller datalekkasjer) vil undergrave tilliten til både KI og organisasjonen.
Kortsiktige tiltak for maksimal sikkerhet med minimal investering:
Dissens:
Mainstream anbefaler ofte "zero-trust" for KI-agenter, men i offentlig sektor med begrensede ressurser er dette urealistisk. I stedet bør vi stole på mennesker, ikke teknologi – la agenter foreslå handlinger, men krev manuell godkjenning for alt over en lav terskel (f.eks. 1 000 NOK). Dette gir tillit uten å kreve ny infrastruktur.
Neste steg:
Seeds: strategisk (dominerende), langsiktig (rammeverk), konkurranse (offentlig vs privat), mulighet (førstemann), implementer (pragmatisk)
---
Offentlige aktører som ikke mestrer agentisk KI innen 24 måneder, vil tape konkurransekraft mot private aktører (eks: banker, helseplattformer) som utnytter autonomi for å kutte kostnader og øke hastighet. Deres pilot er en mulighet til å bygge en langsiktig kontrollmodell som kan skaleres til andre offentlige virksomheter – men kun hvis de unngår tre vanlige fallgruver:
RBAC er ubrukelig for autonome agenter fordi det ikke håndterer kontekst. Eksempel: En agent med "lesetilgang" til pasientdata kan likevel ekstrapolere sensitive mønstre gjennom API-kall til eksterne tjenester (f.eks. Google Maps for å korrelere adresse + diagnose). Løsning: Implementer en policy-motor (f.eks. Open Policy Agent) som evaluerer handlinger dynamisk basert på:
Eldre systemer logger ikke intensjon, bare handlinger. En agent som endrer en faktura kan logges som "oppdatering", uten å avsløre hvorfor (f.eks. påvirket av en ekstern vær-API). Løsning: Bygg en hendelsesstrøm (f.eks. Kafka) som kobler:
Eksempel: Helseplattformen Epic bruker en lignende modell for å spore beslutninger tatt av deres "AI Clinician".
En agent som sletter en fil i et eldre system kan være umulig å rulle tilbake. Løsning: Designe atomære operasjoner med:
---
En agent som misforstår en regel kan eskalere en liten feil til en systemkrise (eks: en "refusjonsagent" som godkjenner 1000 falske krav fordi den tolker et API-svar feil). Løsning: Bygg en feilmodus-database som trener agenter på historiske hendelser (f.eks. "Hva skjedde sist en agent endret X?").
Agenter som bruker eksterne API-er (f.eks. Google Translate for dokumenter) kan utilsiktet sende sensitive data. Løsning: Implementer en proxy (f.eks. Kong) som:
Ansatte vil sabotere agenter hvis de føler seg overkjørt. Løsning: Kjør en parallell pilot hvor agenter kun foreslår handlinger (men krever menneskelig godkjenning), og mål effekten på produktivitet.
---
---
Strategisk utfall: Ved å løse disse problemene før piloten, posisjonerer dere dere som en førstebeveger i offentlig sektor – med en kontrollmodell som kan lisensieres til andre virksomheter. Konkurrentene deres vil bruke 12–18 måneder på å kopiere dette.
Seeds: strategisk (maktbalanse) | kortsiktig (tidspress) | makt (agentens handlingsrom) | sårbarhet (systemets eksponering) | utforsk (kontrollert autonomi)
---
Agentiske KI-agenter er ikke verktøy, men aktører – de utøver makt på vegne av organisasjonen, ofte utenfor designede kontrollstrukturer. Den kortsiktige tidslinjen (6–9 måneder) tvinger dere til å balansere utforskning med sårbarhetsminimering, men risikoen er asymmetrisk: En feilhandling kan eskalere uforutsigbart (f.eks. en agent som endrer data i et eldre fagsystem via en dårlig dokumentert API), mens gevinsten (automatiserte beslutninger) er diffus.
#### Strategiske maktspill i arkitekturen
#### Blindsoner og undervurderte risikoer
#### Kontrollmodell: Autonomi innenfor synlige grenser
---
Seeds: strategisk (maktbalanse) | langsiktig (systemisk motstandskraft) | makt (kontrollmekanismer) | mulighet (autonomi som forsterker) | implementer (pragmatisk skalerbarhet)
---
Agentisk KI er ikke et verktøy, men en ny aktør i maktstrukturen. Den utfordrer RBAC-modellen ved å operere som en "proxy-bruker" med dynamiske rettigheter. Løsningen ligger i å designe en tredelt kontrollmodell som balanserer autonomi, begrensninger og etterprøvbarhet:
---
---
---
Dissens: Hovedstrømmen fokuserer på tekniske kontrollmekanismer, men den reelle risikoen er organisatorisk – hvem eier ansvaret når en agent gjør en feil? Løsning: Opprett en Agent Governance Board med representanter fra IT-sikkerhet, juridisk og faglederne, med mandat til å revidere policies kvartalsvis.
Seeds: strategisk (maktbalanse) | langsiktig (arkitektur som våpen) | makt (kontrollens natur) | mulighet (autonomiens pris) | implementer (handlingens tid)
---
Agentisk KI er ikke et verktøy, men en maktforflytning. Dere står ikke foran en teknisk utfordring, men en strategisk omfordeling av beslutningskraft – fra mennesker til algoritmer. Den virkelige risikoen er ikke at agentene gjør feil, men at dere undervurderer hva det betyr å gi dem makt. I et offentlig system er autonomi aldri bare teknisk; den er politisk. Hvem eier ansvaret når en agent endrer en borgers data uten menneskelig mellomledd? Hvem kontrollerer eskaleringen når en policy-sandkasse feiler?
Del agentenes handlingsrom i atomære domener (f.eks. "skatteberegning", "innbyggerdialog", "systemvedlikehold") med hardkodede grenser. Bruk en policy-motor (f.eks. Open Policy Agent) til å definere regler per domene, men koble den til en fysisk isolert "kill switch" som kun ledelsen kan aktivere. Eksempel: En agent som håndterer søknader om barnehageplass kan aldri endre en borgers adresse – selv om API-et tillater det.
Innfør leietidsmodeller for agenters tilgang. Hver handling må godkjennes av en tidsbundet token (f.eks. 15 minutter) som automatisk tilbakekalles. Kombiner dette med rate-limiting på domenenivå (f.eks. maks 5 handlinger/time for "økonomiske transaksjoner"). Dette tvinger agentene til å be om makt på nytt – og gir dere mulighet til å revidere regler dynamisk.
Design alle handlinger som idempotente transaksjoner med eksplisitte rollback-mekanismer. Bruk et hendelsesbasert revisjonssystem (f.eks. Kafka + immutabel logg) der hver agenthandling logges med:
Bygg en realtidsdashboard for agentaktivitet som viser:
Bruk anomalideteksjon (f.eks. Elastic SIEM) til å flagge uvanlige mønstre – men koble dette til en menneskelig "maktkomité" som møtes ukentlig for å revurdere regler.
---
Avsluttende dissens: De fleste vil anbefale å starte med sikkerhet eller teknisk kontroll. Men den største risikoen er at dere bygger et system der makten blir usynlig. Autonome agenter er ikke farlige fordi de gjør feil – de er farlige fordi de gjemmer beslutningene sine i kompleksitet. Dere må tvinge makten til å være synlig, reversibel og begrenset i tid. Alt annet er å gi slipp på kontrollen uten å innse det.
Agentisk KI som langsiktig tillitskontrakt – ikke teknisk quick-fix
Agentisk KI er ikke et teknisk prosjekt, men en strategisk tillitsavtale med fremtidens infrastruktur. De fleste feiler ved å fokusere på hva agentene kan gjøre – vi må starte med hva vi aksepterer at de aldri gjør. Dette krever en mulighetsramme som er like mye juridisk og organisatorisk som teknisk.
Husk: Agentisk KI handler ikke om å gi slipp på kontroll, men om å flytte kontrollen fra ad-hoc menneskelige beslutninger til forutsigbare, etterprøvbare systemer. Det er en langsiktig investering i tillit – ikke en teknisk snarvei.
Kortsiktig juridisk sårbarhet i en konkurransepreget autonomi
Dere står foran en juridisk tidsinnstilt bombe. 6-9 måneder er en urealistisk kort tidsramme for å etablere robust kontroll over autonome agenter i et fragmentert systemlandskap – spesielt når konkurransen om å være først ute med KI-drevne tjenester presser beslutninger. Den største sårbarheten ligger ikke i teknologien, men i forhandlingsrommet mellom innovasjon og compliance.
Tre kritiske blindsoner med juridisk eksponering:
Arkitekturprinsipper for kortsiktig kontroll:
Neste steg:
Seeds: strategisk | langsiktig | makt | sårbarhet | vent
Agentisk KI bør behandles som en ny maktaktor i virksomhetsarkitekturen, ikke som “enda en integrasjon”. Den viktigste feilen er å gi agenter bred funksjonell tilgang og håpe at gode prompts og logger holder. Det gjør de ikke. I en offentlig virksomhet med fragmentert IAM og eldre fagsystemer er venting ofte den riktige sikkerhetsstrategien: start med begrenset autonomi, høy observasjonsevne og gradvis utvidelse.
Arkitekturprinsipper
les sak, foreslå vedtak, opprett utkast, men aldri iverksett i første fase.Nødvendige sikkerhetsmekanismer
Blindsoner som ofte undervurderes
Kontrollmodell
Bygg en gradert autonomi: nivå 0 = lesing, nivå 1 = utkast, nivå 2 = begrensede skriveoperasjoner, nivå 3 = kun etter eksplisitt human approval. Hver overgang krever testet rollback og hendelseshåndtering.
Neste steg
Seeds: strategisk | langsiktig | tillit | sårbarhet | implementer
Agentisk KI bør behandles som en privilegert, men ustabil medarbeider: nyttig for tempo, men aldri som en generell aktør med fri tilgang. Min vurdering er at den største feilen er å tenke “modell + API = automatisering”. For offentlig sektor må styringen være komposisjonell, ikke modell-sentrisk: kontrollen legges i et mellomlag av policy, godkjenning og sporbarhet, ikke i selve agenten.
Det undervurderes ofte at legacy-systemer kan bli irreversible skadeflater: ett feil kall kan opprette saker, sende brev eller trigge utbetalinger uten enkel rollback. Derfor må rollback designes som kompensasjon, ikke reversering.
Ha en “autonomi-matrise”:
Seeds: operasjonell | kortsiktig | makt | resiliens | implementer
For en offentlig virksomhet er hovedspørsmålet ikke “kan vi få agentisk KI til å virke?”, men hvor ligger makten til å handle, og hvordan begrenser vi den operasjonelt. Med kort tid (6–9 måneder) bør dere styre mot små, reverserbare beslutningsrom, ikke “generell autonomi”.
Del agentisk KI i tre makt-nivåer:
Alt utover nivå 1 bør være policy-gated og tidsbegrenset.
Bygg en human-in-the-loop for unntak, ikke for alt. Flaskehals oppstår hvis mennesker godkjenner hver enkelt handling. Godkjenn kun:
Seeds: operasjonell | kortsiktig | konkurranse | mulighet | utforsk
Agentisk KI bør behandles som en ny type produksjonsaktør, ikke som et vanlig integrasjonsverktøy. Den viktigste operasjonelle regelen er: ingen agent får “frie hender” i kjerne- og fagsystemer. I et kortsiktig pilotvindu (6–9 mnd) er målet ikke full autonomi, men kontrollert handlingsrom med eksplisitte grenser.
Legg beslutningsgrensene utenfor modellen i en ekstern policy-motor eller orkestreringstjeneste. Agenten foreslår, men en kontrolltjeneste avgjør hva som kan utføres.
Bruk separate servicekontoer per use case, tidsbegrensede tokens, og RBAC-strengt. Når finmasket policy mangler, må du kompensere med:
Definer 3 soner:
Alt som er irreversibelt (sletting, masseoppdatering, betalingsflyt, tilgangsendring) krever menneskelig godkjenning.
De som lykkes først, får ikke “smartest agent”, men mest kontrollerbar agent. Det er en operasjonell fordel: lavere risiko, raskere godkjenning, og høyere skalerbarhet.
Seeds: strategisk | langsiktig | konkurranse | mulighet | vent
For en offentlig virksomhet er den største feilen å behandle agentisk KI som “enda en integrasjon”. Strategisk bør dere se dette som en ny kontrollflate: agenten blir en aktør med delvis operasjonell myndighet. Langsiktig er konkurransefortrinnet ikke å være mest autonom, men å være mest kontrollerbar. Her er det en tydelig mulighet: bygg en styringsmodell som andre etater kan arve.
Gi agenten ikke tilgang til systemer, men til avgrensede handlinger via en mellomliggende policy-/orchestrator-tjeneste. Ikke la modellen kalle fagsystemer direkte. Bruk:
Siden IAM kun har RBAC, må dere kompensere med en beslutningsgateway:
Fragmentert logging er en blindsonde. Krev:
Den største undervurderte risikoen er ikke “hacking”, men feilhandlinger med legitim tilgang.
Vent med full autonomi. Start med shadow mode i 6–8 uker: agenten foreslår, menneske utfører. Deretter begrenset autonomi i ikke-kritiske, reverserbare prosesser.
Seeds: strategisk | syklisk | makt | blindsone | implementer
Agentisk KI må behandles som en ny maktaktør i arkitekturen, ikke som en vanlig integrasjon. Strategisk betyr dette: begrens først hva agenten kan påvirke, ikke bare hva den kan lese. I en offentlig virksomhet bør første pilot være “read-mostly + lav-risiko write” med tydelig grense mot irreversible handlinger (utbetaling, journalendring, sletting, tilgangsvedtak, eksterne utsendelser).
Arkitekturprinsipper
Nødvendige sikkerhetsmekanismer
Blindsone du må regne med
Kontrollmodell
Neste steg
Seeds: strategisk | kortsiktig | makt | mulighet | implementer
Agentisk KI må behandles som makt med begrenset mandat, ikke som “smart automatisering”. Den strategiske feilen er å optimalisere for kapabilitet først; i en offentlig virksomhet er riktig rekkefølge kontroll → sporbarhet → gradvis autonomi. Med 6–9 måneder og svak sikkerhetskapasitet bør dere velge en kortsiktig, defensiv arkitektur som maksimerer mulighet uten å åpne for irreversible handlinger.
Agenten får ikke “systemtilgang”; den får tilgang til en forhåndsdefinert handlingskatalog: lese, foreslå, klargjøre, utføre med godkjenning, utføre automatisk (kun for lavrisiko).
Et godt startmål: 80% av handlinger = foreslå/klargjøre, 15% = menneskelig godkjenning, 5% = automatisk.
Legg en kontrolltjeneste foran alle API-kall: validerer formål, datakilde, mottaker, beløpsgrenser, tidsrom, og om handlingen er reversibel.
For eldre fagsystemer uten integrasjon: bruk proxy-/wrapper-mønster eller RPA-lag med hardt begrensede operasjoner.
IAM/RBAC alene er utilstrekkelig. Bruk kortlevde service tokens (f.eks. 15 min), separat identitet per agent/oppgave, og nøkkelrotasjon minst hver 24. time for pilot, helst per sesjon for høyrisiko-kall.
All agentaktivitet må logges som hendelsesrekker: input, plan, policy-sjekk, kall, respons, effekt. Fragmentert logging er en blindsonenr. 1.
Krav: sentral loggsone, korrelasjons-ID per agent, og immutable audit trail.
Bruk et tretrinns løp:
Legg inn rate-limit, tidsvinduer, og “kill switch” for alle agentklasser.
Seeds: strategisk | kortsiktig | makt | mulighet | vent
Agentisk KI bør ikke behandles som «enda en integrasjon», men som en ny aktør med delvis egen vilje. Det strategiske grepet er derfor å begrense makt før man utvider mulighet. I en offentlig virksomhet med kort pilot (6–9 mnd) og svakt IAM/støyete logging, er den største feilen å gi agenten bred les/skriv-tilgang og så håpe på kontroll.
Gi agenten oppgavespesifikke tillatelser, ikke systemvidde. Bruk “capability tokens”/scoped credentials per workflow, med TTL på 5–30 minutter.
Alt som kan endre data permanent, utløse vedtak, sende eksterne kall eller påvirke økonomi/personvern, skal kreve eksplisitt godkjenning.
Policy må ligge i en ekstern beslutningsmotor eller orkestrator, ikke i prompten. Agenten foreslår; policy-laget avgjør.
Innfør tvungen “pause” ved usikkerhet, lav tillit, avvik fra mønster, eller når data er sensitiv. En agent som venter er bedre enn en som improviserer.
Eldre fagsystemer har ofte skjulte sideeffekter: et “read” kan trigge batchjobber, et “update” kan skrive ufullstendig. Typisk undervurderte risikoer er:
Bygg en todelt modell:
Dette er mindre “autonomi”, men mer mulighet på sikt fordi det skaper trygg drift og læring.
Seeds: strategisk | historisk | samarbeid | sårbarhet | utforsk
Agentisk KI bør ikke behandles som “enda en integrasjon”, men som en ny aktørklasse med begrenset fullmakt. Strategisk betyr det at dere må designe for minste privilegium + minste autonomi fra start: agenten skal kunne foreslå, klargjøre og forberede handlinger, men bare utføre et smalt sett av forhåndsgodkjente operasjoner. Historisk ser vi at virksomheter som først bygger “full frihet og så kontroll” ofte ender med retrofitting av sikkerhet, og det blir dyrt og ufullstendig.
Samarbeid mellom sikkerhet, arkitektur, drift og fagdomene må være operativt, ikke bare styringsmessig. Agentisk KI eksponerer sårbarheten i dagens arkitektur: det er et speil som viser hvor lite deterministisk virksomheten egentlig er.
Debriefen over er sammenfattet fra flere parallelle analyser. Ønsker du å lese hver instans' rapport separat — inkludert seedene som formet dem — scroll opp i debrief-panelet og utvid «Vis alle X instans-analyser».
Send inn problemstillingen din — vi kjører den og publiserer resultatet her.
Send inn case Flere eksperimenter