The PromAIse
Ontdek vanuit het perspectief van ervaringautomatisering hoe AI-governance, schaduw-AI en veilige integraties organisaties voorbereiden op door medewerkers ontwikkelde AI-apps.
.png)
Ik heb gemengde gevoelens over de huidige invoering van AI op de werkvloer. Enerzijds ben ik tot in het diepst van mijn hart een nerd en technologieliefhebber, en vind ik dat we niet snel genoeg vooruitgaan. Ik vind het geweldig om de mogelijkheden van AI te zien en te gebruiken. Tegelijkertijd werk ik als software- en systeemarchitect en zie ik welke risico’s hieraan verbonden zijn.
Niet alleen worden de meeste tools geïnstalleerd door een shellscript rechtstreeks in bash in te voeren, maar ook lekken AI-tools die niet onder bedrijfsovereenkomsten vallen vaak gevoelige gegevens – van klanten of interne financiële gegevens – naar bedrijven die met die gegevens kunnen doen wat ze willen. Ik ben dol op de productiviteits- en efficiency deze tools efficiency , maar tegelijkertijd ben ik bang dat we vanwege datalekken op de voorpagina’s van het internet terechtkomen.
Het rampscenario
Maar waar ik het meest enthousiast over ben – hoewel het me ook de stuipen op het lijf jaagt – is de opkomst van apps die door één enkele medewerker worden ontwikkeld. Apps die met goede bedoelingen zijn geprogrammeerd, maar zonder de bedrijfsmatige controles die je bij huidige software-implementaties ziet. Apps die door en voor één enkele medewerker worden gemaakt met behulp van AI-codeeragenten of zelfs de gratis versie van ChatGPT. Of misschien zullen deze apps de vorm aannemen van functies die worden toegevoegd aan lokale AI-agenten zoals Hermes of OpenClaw.
Deze apps zullen de mogelijkheid bieden om verbinding te maken met bedrijfsapplicaties, databases, bestandsopslagplaatsen, e-mails en agenda’s. Ze zullen informatie downloaden, analyseren en terugschrijven naar en vanuit deze applicaties. Ze worden ontwikkeld en gebruikt omdat ze de wrijving wegnemen die in de werkprocessen van de medewerkers bestaat. Elke medewerker kan zijn eigen apps of functies geïnstalleerd en gebruiksklaar hebben, stuk voor stuk op maat gemaakt op basis van een door de gebruiker ingevoerde opdracht. Ik zal ze vanaf nu Sevcas (Single Employee’s Vibe Coded App) noemen.
Ik vind het geweldig dat een hele zwerm agents kan worden ingezet om onvermoeibaar te werken aan het creëren van dingen met de complexiteit van softwarecompilers of browsers. Ik vind het geweldig dat medewerkers al snel toegang zullen hebben tot deze tools om de alledaagse taken van hun jobs te automatiseren. Wat me echter zorgen baart, is dat deze Sevca’s integraties met andere systemen nodig zullen hebben, zowel nieuwe als oude (ik zeg vaak dat elke applicatie slechts zo veel waard is als zijn integraties). En elke Sevca zal net iets anders zijn dan de andere. En zal het downloaden, uploaden en terugschrijven op een iets andere manier uitvoeren.
Als ervaren IT-consultant weet ik dat verouderde applicaties moeite hebben met het verwerken van grote API-volumes en heb ik gezien hoe ze onder de belasting bezweken. Ik heb meegemaakt dat SaaS-applicaties de API-toegang voor het hele bedrijf blokkeerden zodra de limieten werden bereikt, en dat allemaal vanwege één verkeerd geconfigureerde dashboardtool. Ik heb de frustratie ervaren bij het uitleggen dat migratiescripts of integraties niet vanaf lokale computers (laptops!) mogen worden uitgevoerd, en bij het uitleggen dat 70 procent van het werk bij softwareontwikkeling erin bestaat ervoor te zorgen dat wanneer er iets kapotgaat, dit op een gecontroleerde manier gebeurt en niet alles met zich meesleurt.
Ik vrees dus de dag dat de eerste klant belt om uit te leggen dat een zwerm door AI gegenereerde Sevca’s – elk gecreëerd door een behulpzame AI voor zijn dankbare gebruiker – het netwerk overspoelt en grote schade aanricht aan het CRM. Of aan het ticketsysteem. Of zelfs aan het logboekanalysesysteem. Net zoals afval stroomafwaarts drijft, zullen deze kleine verschillen in terugschrijvingen zich opstapelen en zich verspreiden naar andere systemen. Het feit dat de kosten van automatisering aanzienlijk zullen dalen, betekent dat de belasting van de applicaties zal toenemen en dit scenario zal zich eerder vroeg dan laat voordoen.
De SolutAIon
De oplossing ligt hier in het werk dat wordt verricht voordat dit rampscenario zich voltrekt. De eerste stap is het in kaart brengen van de omvang van schaduw-IT. Zo worden bestaande knelpunten in processen en ontbrekende mogelijkheden aan het licht gebracht. Door medewerkers te vragen waarom ze een gratis versie gebruiken in plaats van de gelicentieerde versie van een chatbot, kom je te weten of er sprake is van een communicatieprobleem of een probleem met de softwarekeuze. Beide problemen kunnen vrij eenvoudig worden opgelost nadat je hun toegang op firewallniveau hebt geblokkeerd.
Ten tweede moeten deze behoeften en tekortkomingen van medewerkers worden aangepakt met door het bedrijf goedgekeurde oplossingen. Oplossingen die schaalbare, flexibele en veilige bouwstenen bieden die kunnen worden geïmplementeerd in toekomstige medewerkersapps. Dit kunnen bijvoorbeeld API’s, MCP-servers en Agent Skills zijn, die zijn samengesteld door vakspecialisten.
Ten slotte moeten bedrijven gaan nadenken over – en vastleggen – hoe deze applicaties verbinding mogen maken, en hoe deze bouwstenen kunnen worden gebruikt, gecontroleerd en beheerd. Een voorbeeld van een beleid zou zijn dat elke agent of Sevca verplicht wordt een logboek van zijn acties aan een monitoring-app te verstrekken. Door authenticatie specifiek voor agenten in te voeren en op agenten of apps gebaseerde toegang te verlenen, kan een malafide proces of een ongewenste downloadlus worden gestopt, terwijl de eigenaar ervan, de medewerker, verbonden kan blijven. Het zal een harde les zijn voor Frank van de boekhouding om zijn agenda weer handmatig bij te werken. Dit maakt ook agentspecifieke tariefbeperking mogelijk, waardoor Frank en de bedrijfsapplicaties nog beter worden beschermd.
Om nog een stap verder te gaan, kunt u een semantische beveiligingslaag implementeren bovenop uw API’s en MCP-servers. Door de bedoeling van een verzoek te interpreteren, kunt u kwaadwillige of foutieve acties (zoals „Verwijder alle records waarbij ID > 0“) blokkeren voordat deze uw legacy-systemen bereiken. Dit beschermt de gegevens terwijl de „hallucinatie” van de agent „beleefd” wordt afgewezen, en kan tegelijkertijd de kosten als gevolg van onnodig cloudgebruik verminderen.
De conclusie
Al met al komt het erop neer dat er nu aan de slag moet worden gegaan. Het opstellen van dit beleid kost tijd en er zullen hoogstwaarschijnlijk meerdere herhalingscycli nodig zijn om het af te stemmen op de specifieke situatie van uw bedrijf. Door te beginnen met een inventarisatie van de ‘Shadow AI’ die momenteel in gebruik is, krijgt u een goed beeld van de hiaten. Door deze hiaten op te vullen, wordt duidelijk welk beleid er nodig is. Herhaal dit proces.
Door er nu tijd in te steken, voorkom je niet alleen dat gegevens uitlekken, maar voorkom je ook het enorme productiviteitsverlies dat ontstaat wanneer verouderde systemen het begeven en het hele personeelsbestand offline raakt. Door nu te beginnen, zullen de efficiency zich vanaf nu opstapelen. En de kosten van goed beheer bedragen slechts een fractie van de kosten van een incident dat de ‘voorpagina’ haalt. Het gaat erom een chaotische, dure wirwar om te vormen tot een gestroomlijnd personeelsbestand met een hoog rendement op investering.
Te veel taken op je lijstje? We begrijpen dat dit overweldigend kan aanvoelen. Als je lijst te lang wordt, kom dan eens een kopje koffie bij ons drinken en ontdek hoe we je kunnen helpen om de 'Swarm' om te zetten in een concurrentievoordeel.
