Embedded AI integreren in het cybersecurityplatform

Deze case study behandelt de tweede fase van ons werk met een in de VS gevestigd platform voor het beperken van cyberrisico’s (NDA) waarmee we sinds juli 2020 samenwerken. De eerste fase bracht het product van prototype naar een Fortune 500 SaaS (je kunt er hier meer over lezen). Deze fase gaat over wat daarna kwam: het bouwen van een ingebouwde AI in het live product.

De uitdaging

Tegen 2025 was het platform een volwassen analyticsproduct met een sterke waardepropositie en een klantenbestand uit de Fortune 500. Naarmate het product volwassen werd, kwamen drie problemen naar voren:

• Complexiteit aan de oppervlakte. Het platform verwerkte rijke data over cyberrisico’s, maar de interpretatie vereiste expertise op hoog niveau. Dit patroon is gangbaar in gereguleerde, datagedreven categorieën: accountancy, bankwezen, financiën, compliance.
   
• Lage gebruiksfrequentie. De meeste gebruikers openden de tool eens per kwartaal om periodieke rapporten te maken. Het product maakte geen deel uit van hun dagelijkse werkproces.
   
• Zware onboarding. Nieuwe klanten hadden ongeveer 45 minuten begeleide installatie en actieve betrokkenheid van de klantenservice nodig voordat ze het product zelfstandig konden gebruiken.

Toen agentachtige, ChatGPT-achtige interacties een marktexpectatie werden, kwam de klant naar ons met een duidelijke richting: breng dat interactiemodel naar hun platform voor cyberrisico’s. Het lastige was dat het paneel tegelijk moest werken voor drie zeer verschillende gebruikers.
 

Een bestuurslid heeft een screenshot nodig die voor zichzelf spreekt, klaar om in een kwartaalrapport te plaatsen. Een CFO heeft een verhaal achter de cijfers nodig. Een CISO heeft diepgang in de conversatie nodig om de data te onderzoeken en erop te handelen. Dezelfde interface moest alle drie bedienen. Dit bouwen betekende meer dan een ChatGPT-kloon bovenop het platform zetten. Het betekende één interface, drie persona’s en een LLM die verweven is met de manier waarop ze allemaal werkten.

Onze aanpak: productontwerp

De kernvraag van het product was hoe we een LLM in een klassiek dashboard konden introduceren zonder gebruikers te dwingen te kiezen tussen twee werkmodi. We wilden geen nieuwe ChatGPT-kloon bouwen of een co-piloot naast het platform zetten, want beide benaderingen zouden gebruikers met twee parallelle interfaces achterlaten. We kozen voor een hybride. De gebruiker behoudt de vertrouwde klik-en-ga voor wat ze al kunnen, en krijgt vraag-en-ga voor alles daarbuiten. De hybride beschermt de leercurve. Gebruikers maken geleidelijk kennis met samenwerking met een LLM, met vangrails bij elke stap, totdat ze zelfstandig kunnen werken.

In het hart van de oplossing staat een model met vier lagen: een ladder die gebruikers in hun eigen tempo in de data laat duiken, met Aria op elk niveau. Elke laag beantwoordt een andere vraag. Hoe dieper de laag, hoe trager en flexibeler de interactie. Hoe hoger de laag, hoe sneller en deterministischer. We hebben het paneel herbouwd rond één principe: eenvoud eerst, complexiteit op aanvraag.

Laag 0 — Directie: Wat gebeurt er?

De eerste weergave na inloggen, ontworpen voor bestuursleden, leiderschap en iedereen die binnen seconden oriëntatie nodig heeft. Bovenaan het paneel staan de belangrijkste cybersecurity-statusindicatoren. Dit is de klassieke dashboardweergave, direct beschikbaar, zonder AI. Blauwe knoppen onder elke metric leiden naar vooraf gerenderde content: antwoorden die direct uit bestaande data worden getoond, geen modelaanroep, geen wachttijd. Dit is het screenshot-first-niveau, dat zichzelf uitlegt.

Laag 1 — Financieel: Waarom gebeurt dit?

De onderzoekslaag, waar gebruikers zoals CFO’s en financiële leiders de context achter het getal uitdiepen. Elke metric is verder te verkennen via blauwe knoppen (zoals hierboven beschreven) of paarse knoppen die de ingebedde AI-chat met Aria openen. Contextuele prompt-pills staan naast het open vraagveld. De pills lijken korte paarse knoppen, maar elke bevat een complexe prompt eronder, met suggesties om te vragen op basis van wat de gebruiker op dat moment bekijkt. Paarse pills zijn het toegangspunt om dieper te gaan.

Laag 2 — Uitvoering: Doe het voor mij

De actielaag, het vaakst gebruikt door CISO’s en security-operators die het probleem al begrijpen en Aria nodig hebben om erop te handelen. Knoppen stoppen met passief zijn ("View") en worden commando’s ("Create", "Identify", "Prepare"). Het product gaat van risico tonen naar het oplossen ervan.

Laag 3 — Open verkenning: Wat je maar wilt

Een vrij promptveld, altijd beschikbaar, dat parallel loopt aan de viervoudige ladder. Gebruikers die precies weten wat ze willen, hoeven niet elke laag te doorlopen om daar te komen. Ze openen het promptveld en vragen.
De ladder is bewust niet lineair. In de praktijk loopt Laag 1 vaak meerdere keren op zichzelf terug (verkennen → dieper verkennen → opnieuw verkennen → en pas dan handelen), omdat elke gebruiker zijn eigen beslissingsritme en diepte van onderzoek heeft voordat hij het getal vertrouwt.

Wat verschillende gebruikers uit dezelfde interface halen 

Voor een CISO is dit een tool om in een getal te boren met de diepte die zij nodig hebben, in het tempo dat ze kiezen. Voor bestuursleden is het een screenshot dat zichzelf uitlegt. Voor een CFO is het een samenhangend verhaal zonder de naden van de methodologie te tonen. En overal hoefden gebruikers geen nieuw product te leren om AI-capaciteit te krijgen. De AI sluit aan bij waar ze al werken.

Onze aanpak: architectuur

We hebben de runtime herbouwd rond drie architectuurkeuzes die ertoe doen voor enterprise-implementaties: hoe de agent redeneert, hoe hij binnen de grenzen van de klant blijft en hoe hij verbinding maakt met de live security stack van de klant.
 

Orchestratie en redeneren

Aria draait op LangGraph, een stateful agent-orchestration framework dat multi-agent compositie, persistente multi-turn-geheugen en live streaming van tooluitvoering ondersteunt. De redeneerlaag gebruikt de Claude-modellen van Anthropic. Modelkeuze is configureerbaar, niet architectonisch, zodat het platform van provider kan wisselen zonder herbouw.
 

Tenantisolatie

De agents van Aria werken met tientallen gespecialiseerde tools: risicoblootstelling, frameworks, governance, scoring, planning, document I/O en alles wat de klant via eigen connectors blootstelt. Elke tool is gekoppeld aan de geauthenticeerde gebruiker, organisatie en profiel op het moment van aanmaken. Het model kan die identiteit niet doorgeven, wijzigen of zien.
 

Dit is specifiek belangrijk voor agentische systemen. Cross-tenant-toegang in Aria is geen downstream-filter dat kan worden omzeild door prompt injection, jailbreak-pogingen of kwaadaardige instructies die in geüploade documenten zijn ingesloten. De agent kan eenvoudigweg geen tools aanroepen buiten zijn tenantgrens. Bij organisatiebrede chats worden namen van business units ook gepseudonimiseerd voordat een bericht het model bereikt en gedeanonimiseerd in de responsstream, zodat het model nooit echte klantidentificatoren ziet.

Live-integraties via MCP

Aria bevraagt de live security stack van de klant, niet alleen platformdata. Vandaag CrowdStrike Falcon, morgen elke MCP-compliant tool. Registratie is per profiel, met OAuth 2.1 voor de authenticatie. Dit verschuift Aria van een op zichzelf staand analyticsproduct naar een orkestratielaag voor de volledige securityoperatie van de klant.
We breiden Aria ook uit om zijn eigen tools als een MCP-server te ontsluiten, zodat Claude Desktop, Cursor of de interne tools van de klant Aria-data kunnen ophalen vanaf waar de gebruiker al werkt. Aria leest van elke tool die de klant koppelt en stelt zijn eigen data beschikbaar aan MCP-clients aan klantzijde.

Door beheerders gedefinieerde agents

De beheerder van de klant maakt nieuwe specialisten rechtstreeks vanuit de applicatie-UI aan: naam, prompt, tools. Nieuwe agents gaan binnen enkele minuten live voor de hele organisatie. Dit draait naast de prompts die wij beheren als snelle route voor directe behoeften, zodat de klant het platform nieuwe rollen leert in plaats van te wachten op een release.

De oplossing

Aria is een embedded AI die native is aan het platform. Het leeft binnen de interface, het merk en de authenticatiegrens van de klant, met de analytische diepgang van het oorspronkelijke platform erachter en een conversationele front-end erbovenop. Gebruikers schakelen niet over naar een aparte tool om het te gebruiken.

Voor gebruikers is de ervaring veranderd. Het product beantwoordt nu hun vragen en handelt erop binnen hetzelfde paneel. De analysetool die eerder expertinterpretatie vereiste, werd een selfserviceproduct waar gebruikers op één plek vragen, verkennen en handelen. Risico wordt niet langer alleen getoond. Het wordt in dezelfde workflow aangepakt.

Voor de klant wordt productevolutie niet langer beperkt door releasecycli. Het adminteam kan binnen minuten nieuwe agents, nieuwe prompts en nieuwe connectors naar live securitytools uitrollen, direct geconfigureerd vanuit de applicatie-UI. De klant kan het platform zelf uitbreiden zodra er nieuwe behoeften ontstaan, zonder te wachten op een sprint of een deployment.

Wat structureel veranderde, is dat het platform nu fungeert als een orkestratielaag voor de security stack van de klant, niet alleen als een analyticsproduct. Dezelfde interface bedient boardrapportages, CFO-verhalen en CISO-onderzoeken. Dezelfde architectuur stelt het beheerteam van de klant in staat de mogelijkheden van Aria uit te breiden en nieuwe securitytools te koppelen zonder betrokkenheid van engineering.