AI utan ägare: Så kartlägger du molnmiljön

STYRNING AI-funktioner följer allt oftare med via tredjepartsprogram, kodverktyg och agenter. Här är kontrollfrågorna som ger it-chefen bättre överblick.

AI utan ägare: Så kartlägger du molnmiljön
Asger Lund Pedersen, ansvarig för lösningsutveckling i EMEA och Latinamerika på Wiz. Foto: Pressbild & Adobe stock (montage).

AI kan redan ha flyttat in i verksamhetens system innan någon formellt har öppnat dörren. Den följer med molntjänster, utvecklingsverktyg, automatiseringsplattformar och program från tredje part.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.

Då riskerar AI-komponenterna att hamna mellan stolarna och falla utanför den samlade inventeringen.

I rapporten State of AI in the Cloud 2026 beskriver molnsäkerhetsbolaget Wiz hur AI har blivit en del av den ordinarie molninfrastrukturen. Minst 81 procent av de observerade organisationerna använder hanterade AI-tjänster och 90 procent kör självhostad AI-programvara.

Mycket av användningen sker indirekt. Bland organisationerna med självhostade AI-modeller får 68 procent åtminstone en del av modellerna via tredjepartsprogram. I 18 procent av fallen kommer samtliga självhostade modeller den vägen.

Fakta

AI i molnet

  • 81 procent använder hanterade AI-tjänster.
  • 90 procent kör självhostad AI-programvara.
  • 68 procent av organisationerna med självhostade modeller får in dem åtminstone delvis via tredjepartsprogram.
  • 80 procent har AI-tillägg i utvecklingsmiljön och 71 procent använder AI-kodassistenter.
  • 57 procent har infört självhostad agentteknik.
  • MCP-servrar finns i 80 procent av de observerade molnmiljöerna. I 5 procent finns minst en internetexponerad server.

Metod: Wiz har analyserat hundratusentals molnmiljöer under 2025. Underlaget består av anonymiserade konfigurationsdata, kartläggning av AI-tillgångar och säkerhetsundersökningar. Resultaten beskriver Wiz observerade miljöer och är inte representativa för alla organisationer.

Det kan handla om en applikation med en inbyggd modell, ett verktyg som en utvecklare har installerat eller en tjänst där leverantören har lagt till nya AI-funktioner genom en uppdatering.

– Styrningen behöver flytta fokus från frågan ”Vilken AI-leverantör använder vi?” till ”Vilka AI-komponenter körs redan i vår miljö?”, säger Asger Lund Pedersen, ansvarig för lösningsutveckling i EMEA och Latinamerika på Wiz.

Hantera AI som molninfrastruktur

När AI byggs in i applikationer och arbetsflöden räcker det inte att hantera tekniken vid sidan av den övriga it-miljön. Modeller, agenter och datapipelines behöver omfattas av samma kontroller som andra resurser i molnet.

Det gäller bland annat inventering, konfigurationsgranskning, behörighetsstyrning och kontroll av vad som är åtkomligt från internet.

– AI-komponenter måste hanteras som central infrastruktur och omfattas av samma krav som andra arbetslaster i molnet, säger Asger Lund Pedersen.

Ansvaret är ofta utspritt. Kodassistenter kan införas av utvecklare, agenter av plattformsteam och inbyggda modeller av externa leverantörer.

Resultatet blir ett lapptäcke av mindre AI-införanden i stället för en centralt styrd miljö.

Kodassistenter kan sprida fel

AI-baserade utvecklingsverktyg har snabbt blivit en del av vardagen. Enligt rapporten har minst 80 procent av organisationerna AI-tillägg i sina utvecklingsmiljöer. Minst 71 procent använder en eller flera AI-kodassistenter.

Verktygen kan öka utvecklingstakten, men också kopiera samma osäkra lösning från projekt till projekt. Rapporten nämner bland annat exponerade autentiseringsuppgifter, alltför omfattande behörigheter och bristande autentisering.

– Enskilda kodfel kan snabbt bli systematiska säkerhetsbrister när samma osäkra mönster återanvänds i flera projekt, säger Asger Lund Pedersen.

Kontrollerna behöver därför följa med hela vägen in i utvecklarnas vardag. Det räcker inte att granska resultatet i slutet av utvecklingsprocessen.

Regler, loggning och säkerhetsgranskning bör också omfatta verktyg som installerats utanför den centrala verktygskatalogen, det som ofta kallas skugg-AI.

Agenter kan utföra åtgärder

AI-agenter och servrar för Model Context Protocol, MCP, gör att AI inte längre bara ger råd utan också kan agera.

En kodassistent kan föreslå en ändring. En agent kan få behörighet att genomföra flera steg, anropa externa tjänster och arbeta med data i olika system.

Enligt Wiz har 57 procent av organisationerna infört minst en självhostad agentteknik. MCP-servrar förekommer i 80 procent av de observerade molnmiljöerna. Av dessa har 5 procent minst en server som är åtkomlig via internet.

Internetexponering innebär inte automatiskt att systemen är osäkra. Men följderna kan bli större om en agent har långtgående behörigheter, bearbetar data från opålitliga källor och samtidigt kan utföra åtgärder i känsliga system.

Organisationen behöver veta vilka nycklar agenten har fått, vilka dörrar den kan öppna och vilka åtgärder den får utföra.

Fem frågor varje it-chef bör ställa

  • 1. Vilka applikationer innehåller AI-komponenter?

Inventeringen bör omfatta både centralt upphandlade tjänster och AI-funktioner som följer med annan programvara.

  • 2. Vem ansvarar för varje AI-komponent?

Det ska vara tydligt vem som ansvarar för konfiguration, uppdateringar, riskbedömning och avveckling.

  • 3. Vilka behörigheter har modellerna och agenterna?

Kontrollera vilka identiteter de använder och vilka data, lagringsytor och externa tjänster de kan nå.

  • 4. Vad är exponerat mot internet?

Kartlägg modellservrar, API:er, agenter och MCP-servrar som går att nå utifrån.

  • 5. Hur upptäcks och åtgärdas brister?

Se till att både leverantörer och interna team har rutiner för uppdateringar, övervakning och incidenthantering.

Senaste artiklarna

Hämtar fler artiklar
Till startsidan
Techtidningen

Techtidningen Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Få nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.