Integrere innebygd AI i cybersikkerhetsplattformen

Denne casestudien dekker den andre fasen av vårt arbeid med en USA-basert plattform for reduksjon av cyberrisiko (NDA) som vi har samarbeidet med siden juli 2020. Den første fasen tok produktet fra prototype til en Fortune 500 SaaS (du kan lese om det her). Denne fasen handler om hva som kom deretter: å bygge en innebygd AI i produktet i drift.

Utfordringen

Innen 2025 var plattformen et modent analyseprodukt med et sterkt verdiforslag og en kundebase i Fortune 500. Tre problemer dukket opp etter hvert som produktet modnet:

• Kompleksitet i overflaten. Plattformen håndterte omfattende cyberrisikodata, men tolkning krevde ekspertkunnskap. Dette mønsteret er vanlig i regulerte, datatunge kategorier: regnskap, bank, finans, compliance.
   
• Lav brukshyppighet. De fleste brukere åpnet verktøyet én gang i kvartalet for å lage periodiske rapporter. Produktet var ikke en del av deres daglige arbeidsflyt.
   
• Tung onboarding. Nye kunder trengte omtrent 45 minutter med veiledet oppsett og aktiv involvering fra kundestøtte før de kunne bruke produktet på egen hånd.

Når agentic, ChatGPT-lignende interaksjoner ble en markedsforventning, kom kunden til oss med en tydelig retning: ta den interaksjonsmodellen inn i deres cyberrisikoplattform. Den vanskelige biten var at panelet måtte fungere for tre svært ulike brukere samtidig.
 

Et styremedlem trenger et skjermbilde som forklarer seg selv, klart til å legges inn i en kvartalsrapport. En CFO trenger en fortelling bak tallene. En CISO trenger samtaledybde for å undersøke dataene og handle på dem. Det samme grensesnittet måtte betjene alle tre. Å bygge dette innebar mer enn å slippe en ChatGPT-klone oppå plattformen. Det betydde ett grensesnitt, tre personas og en LLM vevd inn i måten de alle jobbet på.

Vår tilnærming: Produktdesign

Kjernespørsmålet for produktet var hvordan man kunne introdusere en LLM i et klassisk dashbordgrensesnitt uten å tvinge brukere til å velge mellom to arbeidsmåter. Vi ønsket ikke å bygge enda en ChatGPT-klon eller en co-pilot ved siden av plattformen, fordi begge tilnærmingene ville etterlate brukerne med to parallelle grensesnitt. Vi valgte en hybrid. Brukeren beholder det kjente klikk-og-gå for det de allerede kan, og får spør-og-gå for alt annet. Hybriden beskytter læringskurven. Brukere introduseres gradvis for LLM-samarbeid, med sikkerhetsrekkverk i hvert trinn, til de kan løpe på egen hånd.

I kjernen av løsningen ligger en modell med fire lag: en stige som lar brukere dykke ned i dataene i eget tempo, med Aria på hvert nivå. Hvert lag besvarer et annet spørsmål. Jo dypere laget er, desto tregere og mer fleksibel blir interaksjonen. Jo høyere laget er, desto raskere og mer deterministisk. Vi bygde panelet på nytt rundt ett prinsipp: enkelhet først, kompleksitet ved behov.

Lag 0 — Leder: Hva skjer?

Første visning etter innlogging, designet for styremedlemmer, ledelse og alle som trenger oversikt på sekunder. Øverst i panelet vises de viktigste indikatorene for cybersikkerhetsstatus. Dette er den klassiske dashbordvisningen, tilgjengelig umiddelbart, uten AI involvert. Blå knapper under hver metrikk leder til forhåndsrendret innhold: svar som vises umiddelbart fra eksisterende data, ingen kall til modellen, ingen venting. Dette er skjermbilde-først-nivået, det som forklarer seg selv.

Lag 1 — Finans: Hvorfor skjer dette?

Undersøkelseslaget, der brukere som CFO-er og finansledere går inn i narrativet bak tallet. Hver metrikk kan utforskes videre via blå knapper (beskrevet ovenfor) eller lilla knapper som åpner den innebygde AI-chaten med Aria. Kontekstuelle prompt-piller ligger ved siden av det åpne spørrefeltet. Pillene ser ut som korte lilla knapper, men hver bærer en kompleks prompt under panseret og foreslår hva man kan spørre om basert på det brukeren ser på. Lilla piller er inngangspunktet for å gå dypere.

Lag 2 — Utførelse: Gjør det for meg

Handlingslaget, oftest brukt av CISO-er og sikkerhetsoperatører som allerede forstår problemet og trenger at Aria handler på det. Knapper slutter å være passive ("View") og blir kommandoer ("Create", "Identify", "Prepare"). Produktet går fra å vise risiko til å løse den.

Lag 3 — Åpen forespørsel: Hva enn du har på hjertet

Et fritt prompt-felt, alltid tilgjengelig, som kjører parallelt med den firelags stigen. Brukere som vet nøyaktig hva de vil, trenger ikke gå gjennom hvert lag for å komme dit. De åpner prompt-feltet og spør.
Stigen er bevisst ikke lineær. I praksis går lag 1 i sløyfer mange ganger (utforsk → utforsk dypere → utforsk igjen → og først deretter handle), fordi hver bruker har sitt eget beslutningstempo og sin egen undersøkelsesdybde før de stoler på tallet.

Hva ulike brukere får ut av samme grensesnitt 

For en CISO er dette et verktøy for å bore i et tall med den dybden de trenger, i det tempoet de selv velger. For styremedlemmer er det et skjermbilde som forklarer seg selv. For en CFO er det et narrativ som henger sammen uten å avsløre alle metodiske detaljer. Og gjennom det hele slapp brukerne å lære et nytt produkt for å få AI-kapasitet. AI-en møtte dem der de allerede jobbet.

Vår tilnærming: Arkitektur

Vi bygde kjøretidsmiljøet på nytt rundt tre arkitektoniske beslutninger som betyr noe for virksomhetsutrullinger: hvordan agenten resonnerer, hvordan den holder seg innenfor kundens grenser, og hvordan den kobler seg til kundens live sikkerhetsstakk.
 

Orkestrering og resonnering

Aria kjører på LangGraph, et tilstandsbevarende rammeverk for agentorkestrering som støtter multi-agent-komposisjon, vedvarende fleromgangsminne og direktestrømming av verktøyutførelse. Resonneringslaget bruker Anthropics Claude-modeller. Modellvalget er konfigurerbart, ikke arkitektonisk, slik at plattformen kan bytte leverandør uten omskrivinger.
 

Leietakerisolasjon

Arias agenter arbeider på tvers av dusinvis av spesialiserte verktøy: risikoeksponering, rammeverk, styring, scoring, planlegging, dokument I/O og alt kunden eksponerer gjennom egne koblinger. Hvert verktøy knyttes til den autentiserte brukeren, organisasjonen og profilen i det øyeblikket det opprettes. Modellen kan ikke videreformidle, endre eller se den identiteten.
 

Dette er spesielt viktig for agentiske systemer. Kryss-leietaker-tilgang i Aria er ikke et nedstrømsfilter som kan omgås av prompt-injeksjon, jailbreak-forsøk eller ondsinnede instruksjoner innebygd i opplastede dokumenter. Agenten kan rett og slett ikke kalle opp verktøy utenfor sin leietakergrense. I organisasjonsomspennende chatter blir også navn på forretningsenheter pseudonymisert før noen melding når modellen og de-anonymisert i svarstrømmen, slik at modellen aldri ser reelle kundeidentifikatorer.

Live-integrasjoner via MCP

Aria henter data fra kundens live sikkerhetsstakk, ikke bare plattformsdata. CrowdStrike Falcon i dag, ethvert MCP-kompatibelt verktøy i morgen. Registrering er per profil, med OAuth 2.1 som håndterer autentisering. Dette flytter Aria fra et frittstående analyseprodukt til et orkestreringslag for kundens hele sikkerhetsoperasjon.
Vi utvider også Aria til å eksponere sine egne verktøy som en MCP-server, slik at Claude Desktop, Cursor eller kundens interne verktøy kan hente Aria-data der brukeren allerede jobber. Aria leser fra ethvert verktøy kunden kobler til, og eksponerer sine egne data til MCP-klienter på kundens side.

Admin-definerte agenter

Kundens administrator oppretter nye spesialister direkte fra applikasjonens UI: navn, prompt, verktøy. Nye agenter går live for hele organisasjonen i løpet av minutter. Dette kjører side om side med promptene vi forvalter som en snarvei for her-og-nå-behov, slik at kunden lærer plattformen nye roller i stedet for å vente på en utgivelse.

Løsningen

Aria er en innebygd AI, native til plattformen. Den lever inne i kundens grensesnitt, merkevare og autentiseringsgrense, med den analytiske dybden til den opprinnelige plattformen bak og en samtalebasert front-end på toppen. Brukere bytter ikke til et separat verktøy for å bruke den.

For brukere endret opplevelsen seg. Produktet svarer nå på spørsmålene deres og handler på dem i samme panel. Analyseverktøyet som tidligere krevde ekspertfortolkning, ble et selvbetjent produkt der brukere spør, utforsker og handler på ett sted. Risiko vises ikke lenger bare. Den håndteres i samme arbeidsflyt.

For kunden sluttet produktevolusjonen å være styrt av lanseringssykluser. Admin-teamet kan levere nye agenter, nye prompter og nye koblinger til live sikkerhetsverktøy på minutter, konfigurert direkte fra applikasjonens UI. Kunden kan utvide plattformen på egen hånd etter hvert som nye behov oppstår, uten å vente på en sprint eller en utrulling.

Det som endret seg strukturelt, er at plattformen nå fungerer som et orkestreringslag for kundens sikkerhetsstakk, ikke bare et analyseprodukt. Det samme grensesnittet betjener styrerapporter, CFO-narrativer og CISO-undersøkelser. Den samme arkitekturen lar kundens admin-team utvide Arias kapabiliteter og koble til nye sikkerhetsverktøy uten involvering fra utviklingsteamet.