Utforska

Vilka vi är

Vad vi gör

Resurser

Karriär

Global sökning

Sök på hela SysArt

AI-transformationon-prem AIsystemtänkandeledarskap
AI-rådgivning

Tydliggör strategi-, arkitektur- och styrningsbeslut för AI.

 Rådgivning

AI-transformation, privat AI-arkitektur och organisationsdesign.

 Insikter

Texter om systemtänkande, agilitet, AI och transformation.

 Kontakt

Kontakta Stockholmskontoret och rådgivningsteamet direkt.

Insikt

Policystyrda RAG-gränser för on-premises AI

On-Premises AI · Data Security · AI Architecture · Best Practices · Advanced

Så separerar du publik, intern och begränsad kunskap i en privat AI-miljö utan att bygga dubbla system eller luta dig mot sköra manuella kontroller.

Nätverksservrar som är hopkopplade med kablar i ett datacenter

Varför privata RAG-initiativ oftast brister i själva gränsskiktet

Många team som bygger on-premises AI börjar med helt rätt ambition: behåll känslig data inom företagets egen miljö, indexera dokumenten lokalt och gör dem tillgängliga för en retrieval-baserad assistent. Problemen uppstår ofta i nästa steg. Alla dokument hamnar i ett gemensamt kunskapslager och man förväntar sig att systemet ska bete sig säkert enbart genom instruktioner i prompten. Det ser effektivt ut på ytan, men i praktiken skapas en mycket skör tillitsmodell. Assistenten blir aldrig säkrare än gränsen runt retrieval-lagret. Om samma vektorindex innehåller tekniska driftinstruktioner, kontraktsutkast, lönerutiner och interna utredningsanteckningar ligger modellen redan för nära material som den inte borde kunna kombinera i samma svar.

Ett mer hållbart synsätt är att behandla retrieval-gränser som en policyfråga, inte bara som en sökfråga. Dokument ska inte enbart rangordnas efter relevans. De ska tas in, partitioneras och exponeras utifrån dataklass, affärsroll och godkänt användningsfall. När någon frågar “visa den senaste eskaleringsprocessen” ska systemet därför inte råka plocka stycken ur ett juridiskt arkiv eller en behörighetsstyrd HR-mapp bara för att embedding-likheten råkar vara hög. I reglerade miljöer är den viktiga frågan inte “kan modellen svara?” utan “är den här modellen tillåten att se och kombinera dessa källor för denna användare, i detta sammanhang och för detta ändamål?”

Det är därför mogna team inte tänker i termer av en enda assistent med ett enda kunskapslager. De bygger i stället en styrd retrieval-väv med tydliga zoner, metadataregler och policykontroller som stänger ned vid osäkerhet. Det kräver lite mer arbete i början, men det sparar mycket tid den dag revision, incidentgranskning eller intern kritik visar att kunskapslagret saknar verklig separation.

Definiera kunskapszoner innan du optimerar promptarna

En bra start är att dela in informationen i tre eller fyra kunskapszoner som speglar hur verksamheten redan ser på risk. Ett vanligt upplägg är publik, intern, begränsad och vid behov reglerad. Publik zon kan innehålla godkänt marknadsmaterial, produktdokumentation och offentliga policyer. Intern zon omfattar ofta rutiner, arkitekturstandarder och arbetssätt. Begränsad zon är typiskt platsen för avtal, prissättningsregler, utredningsmaterial och konfidentiella projektunderlag. Reglerad zon behövs när innehållet kräver extra skydd på grund av personuppgifter, exportkontroll, säkerhetskrav eller sektorregler.

Dessa zoner får inte stanna på konceptnivå. De måste påverka både ingest-pipelinen och runtime-arkitekturen. I praktiken betyder det separata lagringsytor, separata vektorindex eller samlingar och obligatoriska metadatafält som informationsägare, region, retention, godkännandestatus, datakategori och tillåten målgrupp. Om ett dokument kommer in utan rätt metadata ska det hamna i karantän, inte tyst glida in i standardindexet. Oklassificerat innehåll är i praktiken bara en framtida incident.

Det hjälper också att låta zonerna återspeglas i plattformens tekniska gränser. Kubernetes-namespaces, separata databasscheman, isolerade sökkluster eller dedikerade lagringskonton kan alla bära samma policylogik. Syftet är inte att skapa onödig administration. Syftet är att göra det tekniskt svårt att i efterhand riva ned gränserna med en snabb genväg. Om allt hänger på ett filter i applikationskoden kan en stressad ändring slå ut hela skyddet. Om gränserna finns i infrastrukturen, åtkomstmodellen och datalagret blir misstag både mer synliga och svårare att sprida.

Lägg policykontroller i ingest, retrieval och svarsgenerering

När zonerna är på plats behöver arkitekturen tre tydliga kontrollpunkter. Den första är ingest. Varje inkommande fil bör passera skanning, klassificering, metadata-validering och chunking-regler som bevarar kopplingen till ursprungskällan. Många team använder dokumentkedjor med verktyg som Apache Tika, egna klassificerare och policytaggning innan embeddings skapas. Det avgörande är att varje chunk förblir kopplad till dokumentets ägarskap och klassning. Annars blir ett stycke från ett begränsat dokument snabbt en frikopplad vektor utan meningsfull policykontext.

Den andra kontrollpunkten är retrieval. Retrieval ska vara policy-medvetet innan det är relevansmedvetet. Kandidatkällor måste alltså filtreras på användarbehörighet, geografi, tenant, miljö och arbetsflöde innan likhetssökningen får rangordna dem. Här blir attributbaserad åtkomstkontroll och motorer som Open Policy Agent värdefulla. En finansanalytiker och en drifttekniker kan båda fråga om “incidenthantering”, men de ska inte söka i samma kunskapsmängd. Sökrymden är i sig en åtkomstfråga.

Den tredje kontrollpunkten är svarsgenereringen. Även efter policyfiltrerad retrieval måste svarslagret upprätthålla krav på källhänvisning, verktygsbehörighet, maskning och refusals. Om assistenten inte kan bygga ett tillräckligt välgrundat svar från tillåtna källor ska den säga det i stället för att gissa. Om nästa steg riskerar att exponera eller exportera begränsad information ska arbetsflödet stanna vid en sammanfattning eller kräva godkännande. Starka on-premises AI-system utgår från att felklassning, metadatahål och promptmissbruk kommer att inträffa och bygger därför lager av skydd som begränsar skadeområdet.

Ett realistiskt arkitekturmönster för miljöer med blandad känslighet

Tänk dig en tillverkare som vill ge plantan, inköp, juridik och central IT en gemensam privat assistent. Den naiva lösningen är att lägga allt i ett söklager och hoppas att rollstyrning i gränssnittet räcker. Ett mer robust upplägg placerar plantmanualer, underhållsprocedurer och godkända felsökningsguider i en intern operationszon, leverantörsavtal och förhandlade villkor i en begränsad kommersiell zon och personalärenden eller utredningsmaterial i en reglerad zon med separat godkännande. Samma användare kan ha identitet i flera zoner, men sessionen får inte automatiskt full räckvidd över alla.

I detta mönster skickar front-end användartoken, affärskontext och uppgiftstyp till ett orkestreringslager. Orkestreringen avgör först vilka retrieval-zoner som ens är aktuella. En ingenjör som felsöker en förpackningslinje kanske får söka i plantprocedurer, kända fel och godkända leverantörsmanualer, men inte i tvistkorrespondens med leverantören eller HR-noteringar från en intern utredning. Om frågan korsar en gräns kan arbetsflödet i stället be om avgränsning, routa om till en annan assistent med striktare kontroller eller skicka ärendet till mänsklig granskning.

Den här typen av arkitektur gör dessutom revision möjlig på riktigt. Säkerhets- och compliance-team kan se vilka zoner som användes, vilka chunks som levererades och vilka källor användaren faktiskt visades. I många verksamheter räcker det inte att modellen körs lokalt. Man måste kunna visa att åtkomsten till kunskap är avsiktligt begränsad och observerbar. Det är där bra retrieval-arkitektur gör skillnad.

Arbetssätt som håller gränserna intakta över tid

Gränsdesign är inte en engångsinsats. Den kräver löpande driftdisciplin. Börja med återkommande behörighetsgranskningar så att åtkomst till zonerna verkligen följer aktuella ansvarsområden. Kombinera det med rapporter från ingest-flödet som visar hur mycket innehåll som hamnar i karantän, klassas fel eller laddas upp utan tydlig ägare. Lägg också till automatiska tester som försöker provocera fram förbjudna kombinationer, till exempel att begränsat material dyker upp i ett svar för publik kontext. Om dessa tester inte ligger i releasestoppet kommer de förr eller senare att hoppas över.

Det är också klokt att köra tabletop-övningar för AI-specifika fel. Vad händer om ett begränsat dokument märks som internt? Vad händer om ett tjänstkonto får bred sökbehörighet under en incident och ingen tar bort den efteråt? Vad händer om assistenten kopplas till ett verktyg som kan mejla ut genererade sammanfattningar? Mogna team dokumenterar sådana scenarier, definierar kompenserande kontroller och säkerställer att loggar, larm och rollback-förmåga faktiskt fungerar. Svaret får aldrig vara att man litar på att människor minns rätt.

För de flesta organisationer kommer den största förbättringen från ett enkelt perspektivskifte: sluta behandla RAG som en bekväm funktion ovanpå privat infrastruktur. Se det som en del av organisationens informationskontrollplan. När zoner, metadata, policy och runtime-kontroller utformas tillsammans blir on-premises AI både mer användbar och mer försvarbar. Det är den kombinationen som gör privat AI hållbar i produktion när verksamheten vill ha en gemensam assistentupplevelse utan att göra kunskapslagret till en säkerhetsrisk.

Omslagsbild av Fabio SassoUnsplash.

← Till bloggens arkiv