AI-agenter byter behörigheter hundratals gånger om dygnet – nu vill säkerhetsbolag ta kontroll över åtkomsten

Identiteten är det nya slagfältet

Det finns en grundläggande sanning inom säkerhetsbranschen som länge gällt för mänskliga användare: den som kontrollerar åtkomsten kontrollerar allt. Nu håller den sanningen på att få en helt ny dimension, driven av den explosiva spridningen av AI-agenter i företagsvärlden.

Enligt SecurityWeek har säkerhetsbolaget Opal Security rest 23 miljoner dollar – drygt 230 miljoner kronor – i en ny finansieringsrunda ledd av riskkapitalisterna Greylock och Battery Ventures, med stöd från Cambium Capital. Det innebär att bolaget totalt tagit in 59 miljoner dollar sedan det grundades 2020. Det är inte en liten summa för ett bolag som löser vad som vid första anblick kan verka som ett smalt tekniskt problem. Men identitetsstyrning är långt ifrån smalt längre.

Problemet som mänskliga processer inte hinner med

Opal bygger sin affärsidé på en enkel men kraftfull insikt: AI-agenter rör sig i en annan tidsskala än människor. En mänsklig IT-administratör kan hantera ett visst antal behörighetsförändringar per dag. En AI-agent kan behöva tilldelas, använda och fråntas åtkomsträttigheter på sekunder – och det kan ske hundratals gånger om dygnet, tvärs över molntjänster, programvara-som-tjänst och lokal infrastruktur.

Detta skapar en farlig lucka. Traditionella säkerhetssystem är byggda med människan som utgångspunkt. De förutsätter en rimlig takt, mänsklig granskning och processer som tar minuter eller timmar. När AI-agenter kliver in i bilden försvinner de förutsättningarna – och med dem en stor del av säkerhetsnätets effektivitet.

Opals plattform är konstruerad för att täppa till just den luckan. Systemet kartlägger samtliga digitala identiteter i en organisation – anställda, tjänstekonton och AI-agenter – och samlar hela åtkomstbilden i ett enda gränssnitt. Kärnan i filosofin är tidsbegränsad åtkomst som grundprincip: behörigheter delas ut vid behov och återkallas automatiskt baserat på riskbedömning eller inaktivitet. Mänskliga godkännanden kopplas in enbart när situationen verkligen kräver det.

Varför är det så svårt att lösa?

Det som gör det här problemet genuint komplext är inte tekniken i sig – det är skalan och hastigheten kombinerat med osynligheten. En AI-agent lämnar inte alltid tydliga spår på samma sätt som en människa gör. Den loggar in, utför uppgifter, hämtar data och lämnar – och om behörighetssystemet inte är byggt för att förstå och övervaka icke-mänskliga aktörer kan hela händelsekedjan vara osynlig tills det är för sent.

Därtill kommer komplexiteten i moderna IT-miljöer. De flesta stora organisationer har identiteter utspridda över dussintals system: molnplattformar, affärssystem, databaser, kommunikationsverktyg. Att hålla en samlad, realtidsuppdaterad bild av vem – eller vad – som har åtkomst till vad är i sig en ingenjörsmässig utmaning av första klass.

Att riskkapitalet nu flödar in i just det här segmentet är ett tydligt marknadssignal. Greylock och Battery Ventures är inte kända för att satsa på marginella nischer. De ser en strukturell förändring i hur företag bygger och driver sina system – och de bedömer att identitetsstyrning för AI-agenter är en av de mest kritiska infrastrukturfrågorna de kommande åren.

En möjlighet, inte bara ett hot

Jag vill vara tydlig med min egen läsning av det här: detta är inte en nyhet om att AI är farligt. Det är en nyhet om att marknaden mognar. När säkerhetsinvesteringar följer i kölvattnet av teknikspridning är det ett tecken på att ekosystemet fungerar som det ska. Utmaningarna identifieras, lösningarna kapitaliseras och infrastrukturen byggs ut för att möta verkligheten.

AI-agenter kommer att bli en naturlig del av företagens operativa ryggrad. Det vi ser nu är den nödvändiga anpassningen av säkerhetslagret runt den infrastrukturen – precis som brandväggar och kryptering blev självklara när internet skalades upp.