Insikten slog mig under en Learning Lab om AI red teaming. Två personer vid samma bord beskrev vad de redan använde agenter till i sina verksamheter och hur bra det fungerade. Det var inget stort scensamtal och ingen visionsretorik från en keynote. Bara ett kort samtal som gjorde förändringen svår att bortförklara. Agenter är inte längre något som kanske kommer. De används redan.
Det märktes också i tonen på konferensen. AI beskrevs inte längre som något som ligger några år bort eller som främst hör hemma i experimentmiljöer. I stället framstod det som något som håller på att bli en del av vardagen.
Samtidigt var det inte bara framtidstro som präglade konferensen. Det fanns också en tydlig trötthet i luften. AI har dominerat samtalen under flera år, men på årets konferens märktes en större otålighet. Det räcker inte längre att tala om potential, och det räcker inte heller att lägga ett lager av AI ovanpå ett befintligt verktyg och kalla det innovation. Nu märks ett större krav på effekt, relevans och verkligt värde.
Ett annat tempo
När en teknik går från hype till krav på resultat förändras också samtalet. Frågorna blir mer konkreta. Vad fungerar faktiskt? Vad går att använda i stor skala? Vad skapar verklig nytta i verksamheten? Och vad är mest nytt språk för gamla problem?
Det var också svårt att inte lägga märke till tempot, särskilt i USA. Många amerikanska företag verkar ha kommit längre i att omsätta den här typen av teknik i praktiken. Inte nödvändigtvis så att allt redan är moget eller färdigt, men tillräckligt långt för att skillnaden i ambitionsnivå ska märkas. Samtalen handlade ofta mindre om ifall AI ska användas, och mer om hur snabbt den kan införas, var den ger störst effekt och hur användningen kan skalas upp.
Det väcker förstås frågor om konkurrenskraft. Men för mig var det ändå inte den viktigaste lärdomen från konferensen.
Den viktigaste lärdomen var snarare att konferensen tydligt blottlade en spänning som kommer att prägla säkerhetsbranschen under de kommande åren. Spänningen mellan ny kraft och bibehållen kontroll.
För mitt i all entusiasm kring agentisk AI återkom samma underliggande fråga. Hur mycket kontroll har vi egentligen när tekniken blir mer operativ, mer integrerad och mer självständig?
Identitet centralt tema
Det var också där konferensen blev som mest intressant. Mycket av diskussionen kretsade kring möjligheter, produktivitet och nya arbetssätt. Men under ytan fanns också en växande insikt om att styrning, uppföljning och ansvar inte utvecklas i samma takt som tekniken. Ju mer operativ roll AI får, desto viktigare blir det att förstå vem eller vad som agerar, på vilka villkor och med vilka konsekvenser.
Kanske var det också därför identitet kändes som ett så centralt tema, även när det inte alltid stod i centrum för rubrikerna. I takt med att fler maskinella aktörer, automatiserade processer och AI-baserade funktioner får egna roller i verksamheten blir frågan om tillit ännu viktigare. Säkerhet handlar då inte bara om att skydda användare och system, utan allt mer om att förstå vilka digitala aktörer som får agera, hur de styrs och hur deras handlande kan följas upp.
Branschen går in i en ny fas
Parallellt märktes också en annan förskjutning, från föreställningen om perfekt skydd till ett större fokus på resiliens. Få tror längre att alla intrång kan förhindras. Därför blir förmågan att upptäcka, begränsa skada, återställa och fortsätta fungera allt viktigare. Det är också logiskt i en tid när agentisk AI får större plats. Samma utveckling som skapar nya beroenden och nya risker öppnar också för snabbare detektion, bättre prioritering och kortare väg från incident till åtgärd. Men då måste resiliens byggas in från början, inte läggas på i efterhand. Annars blir även de nya verktygen ännu ett lager av komplexitet.
Det är lätt att säga att konferensen handlade om AI. Det gjorde den förstås.
Men det mer intressanta är att RSA Conference 2026 visade att branschen nu går in i en fas där AI inte längre främst behandlas som en framtidsfråga, utan som en del av den operativa verkligheten. Samtidigt brottas vi fortfarande med den gamla frågan om hur ny kraft ska omsättas till verkligt värde utan att kontrollen tappas.
Det är den tydligaste lärdomen jag tar med mig från RSA Conference 2026.
Emanuel Lipschütz, cybersäkerhetsexpert, Cyber Defencely
