Kunstig intelligens (KI) er i ferd med å gå fra analyse til handling. KI-agentene reduserer manuelt arbeid, kobler sammen systemer som tidligere var siloer, og automatiserer oppgaver som før krevde koordinering mellom mennesker. Derfor rulles de nå ut direkte i virksomhetenes operative maskinrom. Samtidig sprer den nye standarden MCP (Model Context Protocol) seg raskt som et slags «USB-C for KI», der agenter kan koble seg til databaser, arbeidsflyter, økonomisystemer og kodebaser.
Og akkurat der begynner kontrollproblemet.
En vanlig språkmodell svarer på spørsmål. En agent kan gjøre jobben. Den kan hente informasjon fra CRM-systemet, sende e-poster til kunder, oppdatere databaser, starte arbeidsflyter, bestille varer, skrive kode eller instruere andre agenter videre i organisasjonen. Den kan gjøre alt dette uten at et menneske er involvert i hvert steg.
Det gjør agentisk KI fundamentalt forskjellig fra Chat GPT.
Mister oversikt
For de fleste virksomheter er styringsmodellene fortsatt bygget for en verden der mennesker tok beslutningene og systemene bare lagret dem. Tilgangskontroll, revisjonsspor, compliance og ansvarslinjer er designet rundt ansatte, roller og godkjenningsprosesser. Agentisk KI bryter opp denne logikken fordi handlingene ikke lenger trenger å gå gjennom mennesker.
Det betyr at virksomheten gradvis mister oversikt over hvem som faktisk gjør hva.
Hvis en ansatt sender ut feil informasjon, finnes det normalt en avsender, en beslutning og et ansvarspunkt. Hvis en agent gjør det samme etter å ha lest en manipulert e-post, hentet data fra flere systemer og sendt instruksen videre til andre agenter, blir årsakskjeden langt vanskeligere å forstå. Hvem tok beslutningen? Hvem hadde tilgangene? Hvor startet feilen?
Innrømmer manglende oversikt
Dette foregår nå, i 2026. Ifølge Gravitees «State of AI Agent Security 2026»-rapport har over 80 prosent av tekniske miljøer allerede gått fra planlegging til aktiv testing eller produksjonssetting av KI-agenter. Samtidig oppgir bare et mindretall at de har full oversikt over hvilke agenter som kommuniserer med hverandre, og under en fjerdedel behandler agentene som egne identitetsbærende enheter med separate tilgangsrettigheter og revisjonsspor.
Det er egentlig ganske oppsiktsvekkende.
Vi har brukt flere tiår på å bygge sikkerhetsmodeller rundt digitale identiteter, tilgangsnivåer og menneskelig ansvarlighet. Nå kobler vi autonome systemer direkte til virksomhetenes operative prosesser før styringsmodellene er på plass.
Sikkerhetsproblemet endrer derfor karakter. Tidligere handlet cyberangrep om å bryte seg inn i systemene. Nå handler det i økende grad om å påvirke agentene som allerede er inne. Instruksjoner kan skjules i dokumenter, e-poster eller API-svar. Agenten leser teksten, tolker den som legitim, og utfører handlingen med virksomhetens egne tilgangsrettigheter.
Ingen skadevare. Ingen dramatisk hacking. Bare en agent som gjør det den tror den skal gjøre. Dermed blir det langt vanskeligere å oppdage hvor kompromitteringen startet, hvilke beslutninger som ble påvirket, og hvor langt konsekvensene har spredd seg gjennom organisasjonen. Vi forsøker nå å bygge om sikkerhetsmodellen etter at agentene allerede er sluppet løs.
Nye utfordringer
Det er også derfor store sikkerhetsaktører nå flytter fokus fra modellene til handlingslaget rundt dem. Cisco bygger runtime-beskyttelse mot misbruk av agentverktøy og MCP-koblinger. Microsoft peker på «observability» som neste store sikkerhetsutfordring for agentiske systemer. CrowdStrike beskriver nå selve resonnementskjeden i agentiske systemer som en ny angrepsflate. Dette er viktig og spennende forskningstema – men vi ruller ut KI-agentene før forskere rekker å bygge de nye forsvarsmekanismene for oss.
De siste tjue årene har vi digitalisert informasjon. Nå digitaliserer vi handlinger, koordinering og beslutninger. Det endrer hele logikken for kontroll i moderne virksomheter.
Meta: : Kjøper sosialt nettverk for KI-agenter med «selvbevisste» egenskaper
