Problem
Virksomheder taler meget om modeller og lidt om værktøjer. Det er en fejl.
En agent uden værktøjer kan tage fejl i et svar. En agent med værktøjer kan slette, sende, købe, overføre, publicere, udrulle, redigere eller eksekvere. Risikoen holder op med kun at leve i det verbale output og flytter sig til handlingsoverfladen.
Når hundredvis af MCP-servere, interne API’er, skills, scripts og connectors dukker op, er det kritiske spørgsmål ikke “hvilken model bruger vi”. Det er “hvad kan agenten, og hvem ved det”.
Teser
Enhver virksomhed, der udruller agenter, har brug for et Tool Registry.
Ikke en dekorativ liste over integrationer. Et levende register over kapaciteter: hvilket værktøj findes, hvem er owner, hvilke tilladelser har det, hvilke data rører det, hvilke handlinger tillader det, hvilken risiko har det, hvordan testes det, og hvordan slukker man for det.
Uden register har organisationen ikke agenter. Den har shadow automation.
Framework
Et tool registry skal gemme syv minimumsfelter:
- Owner: teamet der er ansvarligt for værktøjet.
- Scope: hvad det kan læse, skrive eller eksekvere.
- Risiko: lav, middel, høj eller kritisk baseret på reversibilitet og impact.
- Autorisering: hvilken rolle, bruger eller agent kan invocere den.
- Evidens: logs, traces og forventede outputs.
- Version: ændringer i kontrakt, parametre og tilladelser.
- Kill switch: hvordan man deaktiverer værktøjet uden at bryde alt.
Mini-case: En driftsagent har adgang til kalender, CRM, fakturering og e-mail. Hvert tool virker uskyldigt isoleret set. Kombineret tillader de at sende et forkert tilbud, opdatere deal stage og udløse en faktura. Risikoen ligger ikke i ét tool; den ligger i kæden.
Målbar indikator: procentdel af værktøjer, der kan invokeres af agenter, med dokumenteret owner, scope, risiko og kill switch.
Postur: den nye sikkerhedsinventar handler ikke kun om applikationer. Det handler om agentiske kapaciteter.
Hvorfor det er vigtigt nu
AI Security Institute analyserede 177.436 agentiske værktøjer publiceret mellem november 2024 og februar 2026 ved at monitorere offentlige MCP-repositorier. Deres læsning er relevant: Økosystemet vokser hurtigt, agenter bevæger sig fra at observere til at handle, og handlingsværktøjer i løst regulerede miljøer vinder frem.
Selve Model Context Protocol indeholder specifikationer og vejledninger til autorisering og sikkerhed med fokus på OAuth, sikker token-opbevaring, scopes og farlige mønstre som kommandoer med adgang til filsystem, netværk eller eksekvering.
Konklusionen er enkel: tool layer er allerede en governance-overflade.
Anti-eksempel
“Agenten bruger kun godkendte værktøjer.”
Den sætning betyder intet, hvis du ikke kan svare på, hvilken version af værktøjet, hvilke scopes det har, hvem der godkendte det, hvilke ændringer det har fået, hvilke spor det efterlader, og hvordan man deaktiverer det. Godkendelse uden inventar ældes dårligt.
Protokol (3 trin)
- Klassificér efter handling, ikke efter navn. “CRM tool” siger intet; “opdaterer mulighed og sender e-mail” gør.
- Sæt risiko på kæder. To lavrisiko-værktøjer kan sammen danne en kritisk handling.
- Auditér sovende værktøjer. Hvis et tool ikke bruges, ikke vedligeholdes eller ikke har en owner, skal det udløbe.
| Felt | Spørgsmål | Risiko hvis det mangler |
|---|---|---|
| owner | hvem svarer | ingen retter |
| scope | hvad kan det gøre | overflødige tilladelser |
| version | hvad ændrede sig | usynlig regression |
| trace | hvad gjorde det | ingen audit |
| kill switch | hvordan slukker man | forlænget incident |
Relateret
- MCP i virksomheden: standarden der undgår agentkaos
- AWS MCP Server GA: når coding-agenter træder ind i skyen med guardrails
- Microsoft Agent 365: det control plane der omdanner shadow AI til inventar
Konsulterede kilder
- AISI: How are AI Agents used? Evidence from 177,000 AI agent tools
- Model Context Protocol: Authorization
- Model Context Protocol: Security best practices
Næste skridt
Lav et inventar over ti værktøjer, dine agenter allerede kan kalde. Hvis du ikke kan klassificere owner, scope, risiko og kill switch på en eftermiddag, er problemet ikke manglende AI; det er manglende control plane.
Oversat fra den spanske original med AI-hjælp og gennemset for nøjagtighed. Læs originalen på spansk.