68% av bedrifter klarer ikke skille AI-agent fra menneskelig bruker

En ny studie fra Cloud Security Alliance (CSA) avdekker et alvorlig sikkerhetsgap: 68 prosent av organisasjoner sliter med å skille mellom handlinger utført av AI-agenter og ekte mennesker i systemene sine. Studien ble publisert 26. mars 2026.

Funnene kommer i en periode der AI-agenter distribueres raskere enn sikkerhetsteamene rekker å tilpasse seg. 73 prosent av de spurte organisasjonene forventer at AI-agenter blir kritiske innen ett år, men praksisen henger etter teorien.

Hullene er konkrete

CSA peker på tre primære problemer: svak tilgangskontroll for AI-agenter, dårlig credential-hygiene, og mangel på identity attribution. Mange systemer ble designet med mennesker i tankene. Når en AI-agent nå utfører handlinger, finnes det ikke alltid revisjonsspor, rolleseparasjon eller kontekst som forteller systemet at det er en maskin som handler.

For virksomheter med strenge compliance-krav, som ISO 27001 eller GDPR, er dette problematisk. Hvem er ansvarlig for en handling som en AI-agent utfører? Og kan du bevise i ettertid hva som skjedde?

Hva bør CIOer gjøre nå?

Ekspertene anbefaler å behandle AI-agenter som en ny klasse av identiteter i IAM-systemene. Det betyr separate credentials, minimal tilgang etter least-privilege-prinsippet, og detaljert logging av alle agenthandlinger.

For virksomheter som allerede ruller ut Copilot, Claude, eller egne agentplattformer bør dette være en prioritet i Q2 2026 før skalaen gjør problemet uhåndterbart.

Kilde: Cloud Security Alliance, 26. mars 2026.