Vibe coding i Power Platform: Genialt til prototyper, farligt for driften

Medarbejder bygger Power App med Copilot mens IT-ansvarlig overvåger governance-dashboard

Vibe coding i Power Platform: Genialt til prototyper, farligt for driften

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres sælger byggede en Power App på 20 minutter med Copilot. Den trækker kundedata fra SharePoint, sender mails via Outlook og logger i et Excel-ark. Ingen har reviewet den. Ingen ved, hvilke connectors den bruger. Og nu er den forretningskritisk. Det er virkeligheden for hundredvis af danske SMV’er – og det er her, Power Platform governance bliver afgørende.

Det vigtigste fra denne artikel

  • Vibe coding accelererer shadow IT: Medarbejdere kan bygge apps og flows på minutter med AI – uden at forstå sikkerhed, dataflow eller licenskonsekvenser. Kortlæg hvad der allerede kører i jeres tenant.
  • AI-kode har 2,7× flere sårbarheder: Kode genereret med AI indeholder markant flere sikkerhedsfejl end menneskeskrevet kode (CodeRabbit, 2025). Test og validér før noget rammer produktion.
  • NIS2 omfatter også medarbejder-apps: Egenudviklet software – også en Power App lavet af HR – skal indgå i jeres risikostyring. Dokumentér og klassificér alle apps.
  • Premium-connectors udløser skjulte licenser: Copilot foreslår ofte connectors, der kræver Power Apps Premium-licens pr. bruger. Auditér connector-forbrug løbende.
  • Sandbox + professionel arkitektur = sikker innovation: Lad medarbejdere prototype i et isoleret miljø. Flyt kun validerede apps til produktion med Dataverse-backend og DLP-policies.

Oversigt over Power Platform miljøer med sandbox og produktionsmiljø adskilt

Hvorfor vibe coding er Shadow IT 2.0

Begrebet “vibe coding” blev skabt af AI-forsker Andrej Karpathy i februar 2025. Idéen er simpel: du beskriver hvad du vil have, og AI skriver koden. Du behøver ikke forstå den. I Power Platform betyder det, at en medarbejder kan prompte Copilot til at bygge en komplet Canvas App med datakilder, forretningslogik og automatiserede flows – på et par kaffepause-minutter.

Problemet? Ifølge Tanium (2025) omgår vibe coding traditionel secure design og code review. Og en sikkerhedsscanning af 1.645 apps bygget med AI-værktøjet Lovable viste, at 170 af dem lækkede personfølsomme data frit til nettet (Lovable Security Report, 2025).

Det er ikke et teoretisk problem. Det sker i jeres Microsoft 365-tenant lige nu, hvis I ikke har sat DLP-policies op på Power Platform.

Før: Medarbejdere bygger Power Apps med Copilot og forbinder dem direkte til SharePoint, Outlook og eksterne API’er. Ingen dokumentation, ingen review, ingen DLP.
Efter: Alle nye apps oprettes i et sandbox-miljø med begrænsede connectors. Kun apps der består sikkerhedsreview flyttes til produktion. Resultat: fuld synlighed over dataflow og nul uautoriserede integrationer.

Sådan rammer vibe coding jeres NIS2-compliance

NIS2-direktivet kræver, at I har kontrol med de systemer, der behandler forretningskritiske data. En Power App bygget af en sælger, som 15 kolleger bruger dagligt til at håndtere kundehenvendelser, er et system. Og det skal dokumenteres, risikovurderes og vedligeholdes.

De fleste SMV’er har styr på deres ERP og CRM. Men de glemmer de 12 Power Apps og 30 Power Automate-flows, der er vokset op som ukrudt i deres tenant. Hver eneste af dem kan indeholde persondata, og dermed er de også omfattet af GDPR.

Spørg jer selv: Kan I lige nu trække en liste over alle Power Apps i jeres organisation, hvem der ejer dem, og hvilke data de tilgår? Hvis svaret er nej, har I et compliance-hul.

Fejl der koster: Teknisk gæld og licensfælden

Ifølge CodeRabbit (2025) har AI-genereret kode 1,7× flere store fejl og 75% flere fejlkonfigurationer end menneskeskrevet kode. I Power Platform-kontekst betyder det: apps der går ned, flows der kører i loop, og data der ender de forkerte steder.

Når den app, som “bare lige” blev lavet til et projekt, pludselig er forretningskritisk, ender IT med at overtage den. Uden dokumentation. Uden tests. Uden versionsstyring. Det er teknisk gæld – og den er dyr at betale af på.

Licensfælden er lige så konkret. Copilot foreslår ofte Premium-connectors (Dataverse, HTTP-kald, custom connectors) i sine løsninger. Hver Premium-connector kræver en Power Apps Premium-licens pr. bruger – typisk 150-200 kr./bruger/måned. Gange 50 brugere. Gange 12 måneder. Regningen overrasker.

Før: IT opdager tilfældigt en Power App med Premium-connectors, som 40 medarbejdere bruger. Licensregningen er 96.000 kr./år – uden budget.
Efter: Alle apps gennemgår en connector-audit inden udrulning. Standard-connectors bruges som default. Premium-connectors godkendes kun ved dokumenteret forretningsbehov. Licensomkostninger er forudsigelige.

Tjekliste der viser hvornår en Power App skal flyttes fra sandbox til professionel drift

Tjekliste: Hvornår skal en Power App fra prototype til professionel drift?

Brug denne tjekliste til at vurdere, om en medarbejder-bygget app skal forblive i sandbox eller flyttes til professionel arkitektur:

Kriterium Sandbox OK Kræver professionel drift
Brugere 1–5 personer, kun app-ejer og team Mere end 5 brugere eller tværgående afdelinger
Datatyper Ikke-følsomme data (fx interne opgavelister) Persondata, kundedata, finansdata
Connectors Kun Standard-connectors (SharePoint, Outlook) Premium-connectors, HTTP-kald, eksterne API’er
Forretningskritisk? Nej – processen kan køre manuelt i en dag Ja – nedbrud stopper arbejdet for teamet
Vedligeholdelse App-ejer kan selv fejlfinde Ingen ved, hvordan den virker, hvis ejer er syg
Compliance Ingen regulatoriske krav til data GDPR, NIS2 eller branchespecifikke krav

Rammer appen bare ét punkt i højre kolonne? Så skal den have professionel arkitektur: Dataverse som backend, ALM med versionsstyring, DLP-policies og dokumentation.

Få et gratis Power Platform Governance-tjek

Vi scanner jeres Microsoft 365-miljø for usikre AI-apps, ubeskyttede connectors og unødvendige Premium-licenser. I får en konkret rapport med prioriterede handlinger – klar til at implementere med det samme. Book jeres governance-tjek her.

Diagram over co-managed Power Platform model med sandbox og produktionsmiljø

Sådan bygger I en co-managed Power Platform-model

Løsningen er ikke at lukke ned for Power Platform. Det dræber innovation og frustrerer medarbejdere, der faktisk har gode idéer. Løsningen er at skabe rammer.

Microsoft anbefaler selv en model med “empowerment with guardrails”. I praksis betyder det for en dansk SMV:

  1. Opret et Developer-miljø (sandbox): Alle medarbejdere kan eksperimentere her. Miljøet har kun adgang til Standard-connectors og testdata – aldrig produktionsdata.
  2. Håndhæv DLP-policies på tenant-niveau: Bloker connectors til sociale medier, personlige mailkonti og uautoriserede cloud-tjenester. Microsoft Learn (2026) dokumenterer opsætningen.
  3. Indfør en promoteringsproces: Når en prototype er klar, gennemgår den et review: sikkerhed, connector-audit, dokumentation og test. Først derefter flyttes den til produktion.
  4. Lad en ekstern partner drifte produktionsmiljøet: En co-managed IT-partner som A-one Solutions overtager ansvaret for versionsstyring, overvågning og NIS2-dokumentation af de apps, der rammer produktion.

Medarbejderne får frihed til at innovere. IT beholder kontrollen. Og ledelsen kan dokumentere compliance.

FAQ: Power Platform governance og vibe coding

Hvad er vibe coding i Power Platform?

Vibe coding er, når en medarbejder bruger Copilot til at bygge Power Apps eller Power Automate-flows ved at beskrive ønsket funktionalitet i naturligt sprog – uden at forstå eller gennemgå den underliggende kode og konfiguration.

Er Power Platform governance nødvendigt for SMV’er?

Ja. Selv med 10 medarbejdere kan ukontrollerede Power Apps skabe compliance-brud og sikkerhedshuller. Tommelfingerregel: Har I mere end 3 aktive Power Apps eller flows, skal I have DLP-policies og en miljø-strategi.

Hvilke sikkerhedsrisici skaber AI-genererede Power Apps?

De tre største: 1) Data-exfiltration via ubeskyttede connectors, 2) Manglende adgangsstyring (alle kan se alle data), 3) Fejlkonfigurationer der eksponerer data eksternt. AI-kode har ifølge CodeRabbit (2025) 2,74× flere sikkerhedssårbarheder.

Hvordan påvirker medarbejder-apps vores NIS2-compliance?

NIS2 kræver, at I har overblik over og kontrol med alle systemer, der behandler kritiske data. En udokumenteret Power App, der håndterer kundedata, er et direkte compliance-brud. Dokumentér, klassificér og risikovurdér alle apps.

Hvad koster det at rydde op i teknisk gæld fra vibe coding?

Erfaringsmæssigt tager det 3-5× længere tid at reverse-engineere og dokumentere en udokumenteret Power App end at bygge den korrekt fra starten. For en kompleks app med Premium-connectors og flere datakilder kan oprydning koste 40-80 konsulenttimer.

Kan vi bruge Copilot i Power Apps uden risiko?

Ja – i et kontrolleret sandbox-miljø med DLP-policies. Brug Copilot til prototyper og idévalidering. Flyt aldrig en Copilot-genereret app direkte til produktion uden sikkerhedsreview og connector-audit.

Hvad er forskellen på Dataverse og SharePoint som backend?

SharePoint-lister (som Copilot ofte vælger) har en grænse på ca. 12.000 rækker før performance falder. Dataverse er bygget til skalering, har rollebaseret adgangsstyring, relationer mellem tabeller og fuld audit trail. Brug SharePoint til simple lister, Dataverse til alt med persondata eller mere end 5 brugere.

Tre skridt I kan tage i denne uge

  1. Kortlæg jeres tenant: Kør Power Platform Admin Center og træk en liste over alle aktive apps, flows og connectors. Identificér hvem der ejer dem, og hvilke data de tilgår.
  2. Aktivér DLP-policies: Opret mindst én tenant-level DLP-policy, der blokerer connectors til sociale medier, personlige cloud-tjenester og uautoriserede API’er. Det tager under en time.
  3. Book et governance-tjek: Få en ekstern partner til at vurdere jeres nuværende Power Platform-setup mod NIS2-krav og Microsoft 365 best practices. I får en prioriteret handlingsplan, I kan handle på med det samme.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?