Innan AI får koppla appar: gör en behörighetskarta

Adam Olofsson Hammare
Innan AI får koppla appar: gör en behörighetskarta

När en AI bara skriver text är risken oftast begränsad till svaret framför dig. När samma AI får koppla appar, läsa filer, skapa uppgifter, styra webbläsare eller arbeta via MCP-servrar blir frågan en annan: vilket konto använder den, vad får den faktiskt göra och vem kan stoppa den?

Det är därför en behörighetskarta behövs innan nästa smarta AI-koppling blir vardag. Inte en stor policybok. Bara en enkel karta över appar, konton, behörighetsnivåer, skrivmöjligheter och stoppregler. Den gör att en organisation kan testa AI i riktiga arbetsflöden utan att låtsas att “anslut app” är samma sak som “klart”.

Varför frågan blev akut nu

Google beskriver hur Gemini Spark på macOS kan arbeta över lokala filer och Google Workspace, och hur Spark får fler anslutna appar som Google Tasks, Keep, Canva, Dropbox, Instacart, OpenTable och Zillow Rentals. Google skriver också att Spark bara får åtkomst till filer användaren ger tillstånd till, och att anpassat MCP-stöd rullas ut för mer skräddarsydda assistenter.

Källa: Gemini Spark updates: macOS launch, connected apps and more

Anthropic går åt samma håll från ett mer centralt kontrollperspektiv. Claude apps gateway är en kontrollplan som organisationen kör själv för Claude Code, med företagsinloggning, policy, rollbaserad åtkomst, routing, telemetri och kostnadstak. Poängen är inte bara att “Claude kan mer”, utan att åtkomst, kostnad och policy behöver styras där arbetet sker.

Källa: Introducing the Claude apps gateway och Claude apps gateway documentation

Mistral Vibe visar samma mönster i mindre men viktiga detaljer. I v2.18.3 nämns bland annat MCP-paneler, projektkonfiguration och en fix som gör att Vibe inte längre ber användaren logga in för inaktiverade MCP-servrar. Sådant låter tekniskt, men för ett arbetsflöde betyder det: connectorns status måste vara synlig, lokal konfiguration måste vara begriplig och inaktiva kopplingar ska inte skapa förvirring.

Källa: Mistral Vibe v2.18.3 release

Perplexity har samtidigt gjort Claude Sonnet 5 tillgänglig för Pro- och Max-användare och som orkestreringsmodell i Computer. Det säger något viktigt även utanför Perplexity: när en modell får styra ett Computer-flöde påverkar modellval, konto och verktygsåtkomst vad som kan hända i praktiken.

Källa: Perplexity on X, June 30 2026

Behörighetskartan i en mening

En behörighetskarta är en enkel lista över vilka appar AI får använda, via vilket konto, med vilken behörighet, i vilket arbetsflöde, och vem som kan ändra eller stänga av åtkomsten.

Den behövs särskilt när AI:n ska:

  • läsa dokument, mappar, bilder, kalkylblad eller kundunderlag
  • skapa uppgifter, filer, presentationer eller designmaterial
  • skicka meddelanden, boka tider eller uppdatera register
  • använda en webbläsare, ett “Computer”-läge eller en lokal agent
  • ansluta till MCP-servrar, interna API:er eller tredjepartsappar

Det är inte juridisk rådgivning. Det är ett praktiskt arbetsunderlag så att ansvar, risk och stoppregel syns innan flödet får verkliga uppgifter.

Fälten som bör finnas med

Börja med tio fält. Det räcker för att få ordning på första nivån.

  • App eller system: Drive, Dropbox, Canva, Jira, webbläsare, lokal mapp, CRM eller annan tjänst.
  • AI-verktyg eller agent: till exempel Gemini Spark, Claude Code, Perplexity Computer, Vibe eller ett internt flöde.
  • Kontoägare: personen eller gruppen vars konto används.
  • Behörighetens nivå: läsa filer, söka, skapa, redigera, exportera, skicka eller radera.
  • Skrivåtkomst: ja, nej eller endast efter mänskligt godkännande.
  • Data som kan nås: interna dokument, personuppgifter, elevdata, kundfiler, ekonomi eller publikt material.
  • Testmiljö: var flödet får provas utan att röra skarpa filer.
  • Logg eller kvitto: vad som sparas efter körningen: input, källa, beslut, ändring, modell och tidpunkt.
  • Återkallelseägare: vem kan stänga av åtkomsten samma dag om något blir fel?
  • Stoppregel: när ska AI:n avbryta och be en människa ta över?

Skriv hellre kort och konkret än komplett och oklart. En första karta på en sida är bättre än en perfekt mall som ingen orkar fylla i.

Tre exempel på hur kartan används

Exempel 1: AI sorterar filer i en mapp.

Ge agenten en testmapp, inte hela organisationens Drive. Sätt behörigheten till “läsa och flytta filer i testmappen”. Låt den inte radera. Logga vilka filer som flyttades och varför. Först när regeln fungerar flera gånger kan ni diskutera en större mapp.

Exempel 2: AI gör ett Canva-underlag från interna anteckningar.

Kartan behöver visa var anteckningarna kommer från, vilket konto som skapar designen, om varumärkesmallar används, vem som godkänner innan publicering och om AI:n får dela eller exportera filen. Om källmaterialet innehåller kundnamn bör flödet stoppas eller avidentifieras.

Exempel 3: AI söker i Dropbox och föreslår nästa steg.

Låt AI:n läsa avgränsade mappar och lämna förslag, men kräva mänskligt godkännande innan något skickas, delas eller ändras. Återkallelseägaren ska vara känd innan testet startar, inte efter första incidenten.

De vanligaste misstagen

Det första misstaget är att testa med sitt eget superkonto. Det känns snabbt, men gör testet svårare att granska. Använd hellre ett testkonto eller en begränsad arbetsyta när det går.

Det andra är att blanda ihop läsning och handling. Att AI får läsa en mapp är en risknivå. Att den får skriva, flytta, skicka eller radera är en annan. Kartan ska visa skillnaden tydligt.

Det tredje är att glömma återkallning. Om ingen vet vem som kan stänga av connectorn, byta nyckel, ta bort OAuth-godkännande eller stoppa agenten är flödet inte redo för vardagen.

En enkel första kontroll

Innan ni kopplar nästa app, svara på de här fem frågorna:

  • Vilket konto använder AI:n?
  • Vilka mappar, objekt eller API:er når den?
  • Kan den bara läsa, eller kan den också ändra något?
  • Var sparas loggen över vad den gjorde?
  • Vem kan stänga av åtkomsten innan nästa körning?

Om någon fråga saknar svar är nästa steg inte mer automation. Nästa steg är att fylla i kartan.

När Hammer kan hjälpa

Det här är ett typiskt Tool Forge-problem. Verktygen finns redan, men arbetsflödet behöver gränser: testworkspace, läs- och skrivnivåer, godkännande, logg och en realistisk fallback.

Om ni vill koppla AI till Drive, Dropbox, Canva, Jira, webbläsare eller interna filer kan Hammer hjälpa till att göra behörighetskartan först. Då börjar ni inte med en stor implementation. Ni börjar med att se vad AI:n faktiskt får röra.

Vanliga frågor

Vad är en AI-behörighetskarta?

En lista över vilka appar AI får nå, genom vilket konto, med vilken behörighetsnivå, om den får skriva eller bara läsa och vem som kan stänga av åtkomsten.

Vilken risk är vanligast när AI kopplas till appar?

Att ett testkonto, OAuth-godkännande eller en connector får bredare åtkomst än arbetsflödet faktiskt behöver.

Hur börjar man säkert?

Använd testarbetsyta, läsbehörighet där det räcker, liten tillåtelselista, logg över körningar och en dokumenterad återkallelseväg innan flödet får skarpa filer.

Behöver mindre organisationer göra detta?

Ja, särskilt när AI får nå filer, kunddata, elevdata eller konton som kan skriva. Kartan kan vara enkel, men ansvar och stoppregel måste synas.

Smedjans nyhetsbrev

Få nya artiklar i inkorgen

Välj de ämnen som intresserar dig. Inget brus, max ett mejl i veckan.

Få nya artiklar i inkorgen

Vi följer GDPR. Avsluta när du vill.