Det Lovable lærer norske SMB-er om interne apper og sikkerhet
Lovable har passert 500 millioner dollar i årlig inntekt og bygger en million apper i uken. Hva norske SMB-er bør avklare før verktøyet får ansvar for interne apper.
Vibe coding forklart for norske SMB-ledere
Vibe coding er begrepet som har festet seg for en ny måte å lage programvare på: du beskriver hva du vil ha med tekst, og en AI-modell genererer kode du kan kjøre. Trenden eksploderte i 2025 og er nå en realitet i 2026. Europeiske Lovable passerte 500 millioner dollar i annualisert inntekt, med 1 million nye prosjekter per uke og 50 millioner totale prosjekter på under tre år. Selskapet har bare 146 ansatte. Brukerne er primært ikke-tekniske, og de bygger i økende grad programvare de skal tjene penger på.
For norske SMB-ledere er dette ikke en teknisk diskusjon lenger. Det er en operasjonell. Når regnskap, marked og HR kan lage egne små apper på en ettermiddag, endrer det hvem som tar IT-beslutninger og hvilke kontrakter selskapet er bundet av.
Hva vibe coding faktisk er
Begrepet dekker tre nivåer av verktøy. På toppen ligger appbyggere som Lovable, hvor du skriver en prompt og får tilbake en fungerende app. I midten ligger nettleserbaserte miljøer som Bolt.new, drevet av WebContainers-teknologi. På bunnen ligger utvikler-IDE-er som Cursor og Claude Code, hvor en menneskelig utvikler driver prosessen og AI assisterer.
Felles for alle er at naturlig språk er det primære grensesnittet. Over 51 prosent av all kode på GitHub i tidlig 2026 var generert eller vesentlig assistert av AI. Det er en tilstand av normalitet, ikke en kuriositet.
Hvorfor 2026 er året SMB-ledere må forholde seg til det
Adopsjonen har gått fra utviklergjeng til hele bedriften. 88 prosent av organisasjoner bruker AI i minst en forretningsfunksjon, og det globale AI-markedet var verdt 390,9 milliarder dollar i 2025. 95 prosent av respondentene i Pragmatic Engineers undersøkelse bruker AI-verktøy ukentlig eller oftere, og 75 prosent bruker AI til store deler av arbeidet sitt.
Når kollegaen din i salg viser frem en kundeportal hun bygget i Lovable, har du som leder allerede en posisjon: enten har dere en policy som dekker det, eller dere har en skygge-IT som vokser uten oversikt. 78 prosent av Fortune 500-selskaper har AI-assistert utvikling i produksjon, mens SMB-segmentet ofte ligger etter på governance.
Lovable som lakmustest for markedet
Lovable ble grunnlagt i slutten av 2023 og er fortsatt under tre år gammelt. Annualisert inntekt vokste fra 400 millioner dollar i februar 2026 til 500 millioner i løpet av kort tid. Distribusjonen er løst på en måte få SaaS-historier kan vise til.
For SMB-ledere er det Lovable representerer som er interessant, ikke nødvendigvis verktøyet selv. Terskelen for å bygge programvare har sunket dramatisk. Det betyr at en god del programvare bygges av folk som aldri har sett en sikkerhetsgjennomgang innenfra.
Lovable, Bolt og Cursor som tre veier inn
Markedet for AI-utviklingsverktøy klumper seg i tre kategorier. På den ene siden står tekst-til-app-byggere som Lovable. I midten ligger nettleserbaserte miljøer som Bolt.new. På den andre siden står utvikler-IDE-er som Cursor og Claude Code, det mest brukte AI-verktøyet blant Pragmatic Engineers 906 respondenter i 2026.
Lovable: tekst til app uten utviklere
Lovable lar deg beskrive en app i en tekst-prompt og får tilbake en fungerende prototype med database, autentisering og deploy. Brukerne er primært ikke-tekniske, ifølge TechCrunch. Den voksende strømmen av 1 million nye prosjekter per uke betyr at en stor andel aldri kommer til produksjon.
Plattformen er optimalisert for å gjøre de første 80 prosentene kjapt. De siste 20 prosentene, hvor compliance, sikkerhet og logging hører hjemme, er sjelden ferdig fra prompt-en alene.
Bolt.new: browser-basert med WebContainers
Bolt.new er en nettleserbasert AI-utviklingsmiljø drevet av WebContainers-teknologi. Gratisnivået gir 150 000 daglige tokens, mens betalt nivå starter på 20 dollar per måned. Bolt.new ligger nærmere et utvikler-verktøy enn Lovable.
Du ser koden, kan endre den, og kan eksportere den. For en SMB som har en intern utvikler eller leier inn en konsulent for vedlikehold, er den forskjellen avgjørende.
Cursor og Claude Code som utvikler-IDE-er
Cursor har 2 000 fullføringer i gratisnivået og 20 dollar per måned i betalt nivå. Verktøyet er bygget for utviklere som vil ha rask kodefullføring og chat med kontekst over hele kodebasen. 75 prosent av de minste selskapene bruker Claude Code, mens 56 prosent av store selskaper med 10 000 eller flere ansatte fortsatt bruker GitHub Copilot.
Det kjøpsmønsteret avslører noe: små selskaper jakter ytelse, store selskaper jakter innkjøpsavtaler med Microsoft. 46 prosent svarer at de elsker Claude Code mest, men det er ikke vinneren i alle segmenter.
Sammenligning av de tre veiene
| Verktøy | Typisk bruker | Tilgang til kode | Startpris |
|---|---|---|---|
| Lovable | Ikke-teknisk | Begrenset eksport | Varierer etter plan |
| Bolt.new | Semi-teknisk | Full eksport | 20 dollar per måned |
| Cursor | Utvikler | Lokal kode | 20 dollar per måned |
| GitHub Copilot | Utvikler | Lokal kode | 10 dollar per måned |
| JetBrains AI | Utvikler | Lokal kode | 10 dollar per måned |
| Windsurf | Utvikler | Lokal kode | 15 dollar per måned |
Sammenligningen gjør en ting tydelig. De billigste verktøyene er ikke de svakeste, og de mest brukervennlige er ikke nødvendigvis de tryggeste. Den dimensjonen prisen ikke fanger, er kontrollen over koden etterpå.
Markedet for AI-utviklingsverktøy i tall
Markedsestimatene spriker, og det er det første en SMB-leder bør registrere. Research and Markets anslår markedet til 9,46 milliarder dollar i 2026, opp fra 7,65 milliarder dollar i 2025. Mordor Intelligence opererer med 9,35 milliarder dollar i 2026 og 29,96 milliarder dollar innen 2031. Tech Insider estimerer markedet til 12,8 milliarder dollar i 2026.
Avviket på flere milliarder forteller at definisjonene varierer. Noen inkluderer designtools, andre kun rene koderassistenter. Det betyr at en SMB-leder bør lese hver markedsrapport med et øye på hva som faktisk er inkludert.
Tre estimater for samme marked
Markedstallene divergerer mellom analysehusene. Research and Markets, Mordor Intelligence og Tech Insider opererer med ulike 2026-baser og ulike vekstrater fram til 2030 eller 2031. Forskjellene reflekterer hvor man trekker grensene rundt markedet, ikke en reell uenighet om at det vokser raskt.
Designtools-segmentet er en parallell vekstkurve. Markedet for AI-drevne designtools var 6,74 milliarder dollar i 2025 og forventes å vokse til 8,22 milliarder dollar i 2026, mot 18,16 milliarder dollar i 2030. Den distinksjonen mellom kodeverktøy og designverktøy slettes når Lovable bygger UI og databasen samtidig.
Skybaserte verktøy dominerer
Skybaserte verktøy hadde klart størst andel av inntektene i 2025. Det er en relevant detalj for en norsk SMB-leder. Standardvalget er at koden, prosjektfilene og loggene ligger hos en tredjepart.
Det er ingenting galt med det isolert. Men det avgjør hvilke kontrakter du trenger, hvilke databehandleravtaler som må være på plass, og hvilke risikoer som dukker opp hvis leverandøren endrer vilkår eller går konkurs.
Hvor veksten sitter
Nord-Amerika hadde den største markedsandelen i 2025, mens Asia-Pacific forventes å vokse raskest. Europa ligger imellom.
Det interessante for norske aktører er noe annet: sikkerhets- og compliance-assistenter er det raskest voksende funksjonalitetssegmentet. Reguleringen driver etterspørselen etter governance-verktøy.
Hvem som faktisk bruker det
62 prosent av selskaper er i eksperimenteringsfasen, og kun 7 prosent har fullskalert AI. Bare 16 prosent av bedrifter har skalert AI på tvers av hele organisasjonen. Fortellingen om at alle bruker AI grundig er overdrevet.
ChatGPT hadde 900 millioner ukentlige aktive brukere innen slutten av mars 2026. Det er individuell adopsjon. Bedriftsmessig integrasjon er et annet kapittel.
Pris og hva du faktisk betaler for
Prislister for AI-utviklingsverktøy ser like ut på overflaten. De koster sjelden mer enn 20 dollar i måneden per bruker. Det skjuler at du betaler for noe helt annet enn det det ser ut som.
Hva en månedsprislapp inneholder
| Verktøy | Startpris | Gratisnivå |
|---|---|---|
| GitHub Copilot | 10 dollar per måned | Begrenset |
| JetBrains AI Assistant | 10 dollar per måned | Begrenset |
| Windsurf | 15 dollar per måned | Begrenset |
| Cursor | 20 dollar per måned | 2 000 fullføringer |
| Bolt.new | 20 dollar per måned | 150 000 daglige tokens |
| Microsoft Frontier Suite E7 | 99 dollar per måned | Ingen |
Tabellen viser det enkleste laget. Hva du betaler for, varierer dramatisk mellom 10 dollar og 99 dollar. Forskjellen er sjelden i selve AI-en.
Hva som ikke ligger i prisen
Token-grenser, kundedata-vilkår, eksportrettigheter, sikkerhetslogger og IP-eierskap er sjelden synlig i prisen. Microsofts Frontier Suite E7 koster 99 dollar per bruker per måned, men inkluderer en helt annen juridisk pakke enn et enslig Copilot-abonnement.
Forskjellen mellom 10 og 99 dollar er i juridisk infrastruktur og enterprise-administrasjon. For en SMB med 20 brukere er det 1 800 dollar per måned ekstra. Det krever et bevisst valg, ikke en standardinnstilling.
Token-økonomien som premie
Bolt.new gir 150 000 daglige tokens i gratisnivået. Cursor gir 2 000 fullføringer. Det høres ut som mye til en bruker er begynt å bygge noe ekte. Det vi ser i markedet er at SMB-er undervurderer hva en intern app trekker i token når den brukes daglig.
Budsjettere konservativt, og legg inn buffer for at en utvikler eller en sluttbruker vil treffe taket raskere enn forventet. Pris-til-bruksforholdet er en av de mest underkommuniserte faktorene i innkjøp.
EU AI Act og fristen 2. august 2026
EU AI Act trådte i kraft 1. august 2024 og blir fullt anvendelig 2. august 2026. Det betyr at norske SMB-er som bruker Lovable eller lignende verktøy må forholde seg til kravene under EØS-avtalen. Forbudte AI-praksiser og AI-kompetanseforpliktelser ble gjeldende fra 2. februar 2025, og reglene for GPAI-modeller ble gjeldende i august 2025.
EU AI Act er den første omfattende horisontale juridiske rammen for regulering av AI-systemer på tvers av EU-medlemsstater. Den oppretter nye regulerings- og håndhevingsmyndigheter for eksisterende organer, samt nye organer som AI Board og AI Office.
Tidslinjen du må kjenne
| Dato | Hva som gjelder |
|---|---|
| 1. august 2024 | AI Act trer i kraft |
| 2. februar 2025 | Forbudte praksiser og AI-kompetansekrav |
| 2. august 2025 | Regler for GPAI-modeller |
| 2. august 2026 | Full anvendelse, inkludert høyrisiko |
| 2. desember 2027 | Høyrisiko i visse områder, blant annet biometri og kritisk infrastruktur |
| 2. august 2027 | Høyrisiko innebygd i regulerte produkter |
Reglene for høyrisiko-systemer i biometri, kritisk infrastruktur, utdanning, sysselsetting, migrasjon, asyl og grensekontroll gjelder fra 2. desember 2027. Det gir en viss pust til mange SMB-er, men ikke alle.
De fire risikonivåene
AI Act definerer fire risikonivåer for AI-systemer: uakseptabel, høyrisiko, gjennomsiktighet og minimal risiko. Loven forbyr åtte praksiser, inkludert sosial skåring og sanntids fjernbiometrisk identifikasjon for rettshåndhevelse.
Høyrisiko AI-systemer er underlagt strenge forpliktelser før de kan markedsføres. For SMB-er er det høyrisiko-kategorien som er mest relevant. Den dekker ansettelsesbeslutninger, kredittvurdering, deler av utdanning og kritisk infrastruktur.
Bøtene som faktisk venter
Maksimal bot er 35 millioner euro eller 7 prosent av global årsomsetning for brudd på forbudte praksiser. For andre brudd er taket 15 millioner euro eller 3 prosent av omsetningen. For å gi feilaktig informasjon kan boten bli 7,5 millioner euro eller 1 prosent.
Disse tallene er ikke skrevet med SMB-er i tankene, men for de største plattform-aktørene. SMB-er blir likevel forpliktet til loggføring, transparens og kompetansebygging. Den reelle SMB-risikoen er ikke maksimal bot, men tap av kontrakter med større kunder som krever dokumentert compliance.
Hvem reglene treffer utenfor EU
EU AI Act gjelder også for leverandører og deployere utenfor EU hvis AI eller AI-output brukes i EU. Lovable er svensk, men hvis verktøyet driftes mot norske brukere, treffer reglene uansett. USA gikk motsatt vei med Executive Order 14179 i januar 2025, med fokus på innovasjon og amerikansk dominans.
Den geografiske dimensjonen gjør at en norsk SMB ikke kan slippe unna ved å velge en amerikansk leverandør. Reguleringen følger bruken, ikke leverandørens flagg.
Aluras syn på fristen
Vi mener norske SMB-er bør behandle EU AI Act-fristen 2. august 2026 som en planleggingsgrense, ikke en sluttdato. Hvis du har en intern app som bruker AI på beslutninger om personer, må logging, dokumentasjon og kompetanseplan være klart før den datoen. Du må ikke ha alt på plass i full produksjon, men du må kunne vise hvor du er i prosessen.
Sikkerheten i AI-generert kode
14,3 prosent av AI-genererte kodesnutter inneholder minst en sikkerhetssårbarhet. Det er ikke et marginalt tall. Hvis en SMB lar et vibe coding-verktøy generere en intern app uten gjennomgang, vil omtrent en av syv kodeavsnitt potensielt være sårbar. Det er den enkleste statistikken å huske i 2026.
Sårbarheter i AI-generert kode
De vanlige sårbarhetene er injection, manglende autentiseringssjekker, dårlig håndtering av hemmeligheter og åpne API-endepunkter. Lovable og Bolt.new genererer ofte kode som ser ferdig ut, men som ikke har en sikkerhetsgjennomgang innebygd.
Augment Code påpeker at ingen av de syv testede AI-kodeverktøyene leverer full EU AI Act-compliance ut av boksen. Det gjelder hele verktøykategorien, ikke bare de billige.
Tillitsgapet blant utviklere
Kun 29 prosent av utviklere stoler på AI-verktøyenes output. Det er underlig at adopsjonen samtidig er på 84 prosent blant utviklere som bruker eller planlegger å ta i bruk AI-kodeverktøy.
Tolkningen er at utviklere bruker AI-verktøy, men sjekker hva som kommer ut. For en SMB-leder uten teknisk bakgrunn betyr det noe konkret: gjennomgangen utviklerne gjør hver dag, må noen gjøre på dine vegne hvis du bygger med Lovable.
Hva som faktisk må kontrolleres
51 prosent av organisasjoner rapporterer negative konsekvenser fra AI-bruk. Det dekker kvalitet, sikkerhet og kompetanse. Den minimale gjennomgangen for en intern app fra Lovable bør inkludere rolle- og rettighetskontroller, kryptering av data i transit, varsling ved feilet autentisering, og en plan for hvordan logger oppbevares.
Det er ikke en uttømmende liste. Det er en bunnplanke. Hvis appen behandler personopplysninger, treffer GDPR i tillegg, og det er en separat sjekk.
Aluras syn på prototype og produksjon
Vår posisjon er at vibe coding er trygt for prototyper, men interne apper med kundedata krever egne kontroller før produksjon. Det er en linje, ikke en bryter. Du kan lage prototyper hver dag uten å bekymre deg. Du må sette opp et gjerde mellom prototype og produksjon, med konkrete krav som må oppfylles før en app slipper gjennom.
Vendor lock-in og kontraktene som binder deg
Når Lovable holder koden i sin egen plattform, eier du da appen? Svaret er nesten alltid: delvis. Skybaserte verktøy hadde klart størst andel av inntektene i 2025, og det er ikke tilfeldig. SaaS-modellen er prisingsstrategi, men også låsestrategi.
Hvor ligger koden, og hvem eier den
Hos Lovable kan du eksportere kildekoden, men databasen, autentiseringen, deploy-pipeline og logger ligger ofte hos plattformen. Hos Bolt.new, drevet av WebContainers, har du teknisk tilgang til koden lokalt. Hos Cursor er hele arbeidsflyten lokal.
Tre verktøy, tre eierskapsmodeller. SMB-er undervurderer hvor stor forskjell dette utgjør når de først har bygd noe kunden er avhengig av.
Eksportscenarioer du må teste
Test eksport før du går i produksjon. Lag en intern app, eksporter den, og prøv å kjøre den uavhengig av plattformen. Hvis du ikke får det til, har du en lock-in. Det er ikke ulovlig, men det er en betinget eiendom du må prise inn.
Mange leverandører tilbyr eksport som funksjon på papiret. I praksis ligger sentrale komponenter (autentisering, database, hostingrunntid) hos leverandøren, og eksportert kode er en delvis kopi. Det må testes konkret.
Logger og audit
OpenAI Codex' Compliance Logs Platform har en standard oppbevaringstid på 30 dager, mens minimumskravet for deployere under artikkel 26(6) er 6 måneder. Det er en konkret gap som mange ikke har lagt merke til.
Hvis du baserer compliance på leverandørens default-oppsett, mangler du fem måneder. Det betyr en konfigurasjonsendring og ofte en oppgradering til en høyere prisplan. Den kostnaden hører hjemme i totalvurderingen.
Compliance-arkitektur varierer mellom verktøyene
Intent by Augment Code bruker en 'living spec'-arkitektur hvor compliance-poster er strukturelle biprodukter. Claude Code har innebygd git commit-attribuering via en 'Co-Authored-By'-footer. Kiro bruker tre sammenkoblede spec-filer: requirements.md, design.md og tasks.md.
Disse forskjellene betyr noe når en revisor spør hvordan appen ble bygd. Et verktøy som logger beslutningsgrunnlaget automatisk, sparer dager med rekonstruksjonsarbeid senere.
Aluras syn på eksport, eierskap og logging
Vår erfaring er at eksport-, eierskaps- og loggekrav bør avklares før første kodelinje genereres, ikke etter. Det høres opplagt ut. Det er ikke opplagt for en regnskapssjef som åpner Lovable en fredag ettermiddag for å løse et akutt behov. Sett opp standard for hvilke verktøy som er godkjent, hvilke eksport-tester som må kjøres, og hvor logger skal lagres, før det første prosjektet starter.
Fire spørsmål å stille før du velger verktøy
En enkel beslutningsramme reduserer feilen. Disse fire spørsmålene bør stilles på det første møtet hvor vibe coding kommer opp, ikke etter at noen allerede har bygget en prototype.
Spørsmål 1: Hvor sensitiv er dataene?
Hvis appen håndterer personopplysninger eller forretningskritiske data, må den behandles som potensielt høyrisiko under EU AI Act. Høyrisiko AI-systemer er underlagt strenge forpliktelser før de kan markedsføres.
Hvis appen håndterer interne, lite sensitive data (for eksempel en lønnsregneark-import for en ansatt), er kravene mindre, men ikke null. AI-kompetanseforpliktelser har gjeldt fra 2. februar 2025 og dekker alle nivåer.
Spørsmål 2: Hva er exit-strategien?
Plan B må eksistere før dag 1. Hvis leverandøren går konkurs, og det skjer i et marked som vokser så fort, hvor mye må gjenoppbygges fra null?
Plattformer som tillater full kode-eksport gir lavere risiko enn plattformer som ikke gjør det. Spør konkret: kan vi kjøre appen uten din plattform innen en uke? Få svaret skriftlig før kontrakten signeres.
Spørsmål 3: Hvem har juridisk ansvar?
EU AI Act gjelder for flere aktører i AI-verdikjeden: leverandører, deployere, importører, distributører, produktprodusenter og autoriserte representanter. Når dere bygger med Lovable, er dere en deployer.
Det utløser konkrete plikter, inkludert å sikre at systemet brukes som tiltenkt og at logger oppbevares. Lovable er leverandør med egne plikter, men ansvaret for hva som bygges med plattformen ligger hos dere.
Spørsmål 4: Hvilket compliance-spor trenger du?
Compliance-spor er dokumentasjonen som lar deg vise frem hvordan systemet ble bygd, hvorfor beslutningene ble tatt, og hvem som gjorde hva. Innebygde mekanismer for dette er billigere enn å rekonstruere etterpå.
Verktøy som logger prompt, modellrespons og menneskelig redigering gir et naturlig revisjonsspor. Verktøy som bare gir ferdig kode uten metadata gir deg mer arbeid senere.
Beslutningsrammen i tabell
| Spørsmål | Lav risiko | Høy risiko |
|---|---|---|
| Hvor sensitiv data? | Intern, anonymisert | Personopplysninger eller kundedata |
| Exit-mulighet? | Full eksport bekreftet | Plattform-lock |
| Juridisk ansvar? | Avklart med jurist | Uavklart |
| Compliance-spor? | Innebygde logger | Kun gjennom leverandør |
Hvis to eller flere rader havner i høyre kolonne, må du enten velge et annet verktøy eller bygge inn ekstra kontroller. Det er ikke en formel, men det er en god første sortering.
Vanlige feil norske SMB-er gjør med vibe coding
De vanligste feilene er ikke tekniske. De er prosessuelle og organisatoriske. Disse fem dukker opp gjentatte ganger i samtaler med norske SMB-er som har begynt å bruke Lovable og lignende verktøy.
Prototype til produksjon uten gjennomgang
Prototype-fasen er trygg. Produksjonsfasen er der risikoen materialiserer seg. Når en intern bruker viser frem en Lovable-app i et møte, har den sjelden vært gjennom sikkerhetsgjennomgang.
Når den blir tatt i bruk av flere kolleger samme dag, glir den ubemerket inn i produksjon. Den vanligste varianten av denne feilen er ikke ondsinnet, den er praktisk: noen fikk noe til å funke, og det ble brukt.
Manglende AI-kompetansetrening
Forbudte praksiser og AI-kompetanseforpliktelser har gjeldt siden 2. februar 2025. AI-kompetansekravet er altså allerede aktivt.
Det betyr at ansatte som tar i bruk Lovable må ha grunnleggende forståelse for hva AI gjør og hva grenseflatene er. Mange SMB-er har ikke startet på dette. En kort kursplan på 1 til 2 timer per ansatt dekker det grunnleggende.
Ignorerer loggekrav
Minimumskravet for log retention under artikkel 26(6) er 6 måneder for deployere. Standard-oppsett hos mange verktøy er kortere, slik OpenAIs 30 dager illustrerer.
Det er ikke en gjenværende oppgave til IT-avdelingen, det er et ledelsesansvar. Hvis ingen har dokumentert at logger er konfigurert riktig, har dere ikke compliance, dere har en planlagt revisjonsavvik.
Antar at amerikanske verktøy er compliant
Lovable, Bolt og Cursor er ikke nødvendigvis bygd for å treffe EU AI Act ut av boksen. Augment Code påpeker at Cursor 3 er 'disqualifying without a wrapper layer' for team som bygger høyrisiko-programvare.
Det betyr at en SMB som bygger en intern HR-vurderings-app med Cursor uten ytterligere kontroller, har en konkret problemstilling. Verktøyets opprinnelse sier ingenting om compliance i bruksområdet.
Tar ROI-tall for pålydende
Gjennomsnittlig ROI på AI-investeringer er rapportert til 5,8x over 14 måneder. Det er et gjennomsnitt med stor varians. 51 prosent av organisasjoner rapporterer negative konsekvenser, og 32 prosent forventer å redusere arbeidsstyrken på grunn av AI.
ROI-tallene inkluderer sjelden kostnaden for compliance, sikkerhetsgjennomgang og opplæring. Et realistisk SMB-anslag bør legge inn 15 til 25 prosent av verktøykostnaden til governance, ikke null.
Sjekkliste på mandag morgen
Hvis du er CTO eller daglig leder i en norsk SMB, er dette de konkrete tingene du kan gjøre denne uka. Ingen av dem krever budsjettgodkjenning. Alle gir umiddelbar verdi.
Inventar over hva som finnes
Send en e-post til alle ansatte med spørsmålet: hvilke AI-verktøy bruker du i jobben? Inkluder Lovable, ChatGPT, Cursor, Copilot og lignende. ChatGPT hadde 900 millioner ukentlige aktive brukere innen slutten av mars 2026. Sjansen er stor for at noen på laget bruker det uten at du vet hvordan.
Det er ikke et angrep. Det er status quo. Bedrifter som ikke har gjort dette inventaret bygger compliance-strategi i blinde.
Tildeling av ansvar
Pek ut en person som har ansvar for AI-praksis. Det trenger ikke å være en heltidsstilling. Det kan være 10 prosent av en lederrolle, men med dokumentert mandat. Uten en eier blir compliance og sikkerhet ingen sin oppgave.
Personen trenger ikke å være teknisk, men må ha autoritet til å si stopp når en intern app er på vei i produksjon uten kontroller.
Tre konkrete grep denne uka
| Grep | Tidsbruk |
|---|---|
| Liste over godkjente verktøy | 2 timer |
| Sjekkliste for prototype til produksjon | 1 dag |
| AI-kompetanseplan etter EU AI Act | 1 uke |
Sjekklisten for prototype til produksjon trenger ikke å være lang. Tre punkter er nok som start: er data sensitive, er koden eksporterbar, er logger på plass i minst 6 måneder. Hvis ett svar er nei, går appen ikke i produksjon.
Spørsmål og svar
Her er svarene på spørsmålene vi oftest får om vibe coding for norske SMB-er.
Er Lovable trygt nok for interne apper?
For prototyper: ja. For produksjon med kundedata: ikke uten ekstra kontroller. 14,3 prosent av AI-genererte kodesnutter inneholder minst en sikkerhetssårbarhet, og Lovable er ingen unntak.
Vi mener at vibe coding er trygt for prototyper, men interne apper med kundedata krever egne kontroller før produksjon. Det betyr ikke at du må unngå Lovable. Det betyr at du må ha et gjerde mellom prototype og produksjon.
Hva skjer om vi ikke er klare innen 2. august 2026?
AI Act blir fullt anvendelig 2. august 2026, med noen unntak. Reglene for høyrisiko-systemer i visse områder gjelder fra 2. desember 2027, og utvidet overgangsperiode for høyrisiko-systemer innebygd i regulerte produkter gjelder til 2. august 2027.
Praksis er at Datatilsynet og europeiske myndigheter ikke vil jakte SMB-er fra første dag. Men eksponeringen begynner. Større kunder vil kreve dokumentasjon før de kjøper. Den kommersielle effekten kommer raskere enn håndhevingseffekten.
Trenger vi en utvikler hvis vi bruker Lovable?
Ikke for prototyper. For produksjon: nesten alltid. 55 prosent av respondentene i Pragmatic Engineer-undersøkelsen bruker AI-agenter regelmessig, og blant staff+-ingeniører er andelen enda høyere.
Dette er fortsatt utviklere med AI-superkrefter, ikke ikke-utviklere uten utviklere. Lovable kan ta deg langt, men siste milen til produksjon trenger noen som forstår sikkerhet, infrastruktur og lovgivning.
Kan vi flytte koden ut hvis vi vil bytte verktøy?
Avhenger av verktøyet. Bolt.new (drevet av WebContainers) og Cursor gir reell eksport. Lovable er mer komplisert, særlig når databasen og autentisering er en del av plattformen.
Test det selv, og test det før du går i produksjon. Eksport-mulighet på en salgsside er ikke det samme som en lett gjennomførbar migrasjon.
Hva sier EU AI Act om interne verktøy?
Det samme som om eksterne. EU AI Act gjelder også leverandører og deployere utenfor EU hvis AI eller AI-output brukes i EU. Interne verktøy som vurderer ansattes ytelse eller kandidaters søknader er typisk høyrisiko.
Det er komplekse overlappinger mellom AI-regulering og andre rettsområder som IP, antitrust, databeskyttelse, finansiell regulering og mer. Få juridisk gjennomgang av spesifikke bruksområder, ikke generisk policy.
Er norske SMB-er bak på AI-bruk?
UAE har høyest AI-adopsjon blant yrkesaktiv befolkning, og India leder global bruk med 73 prosent. OpenAI hadde en annualisert inntekt på over 25 milliarder dollar i februar 2026.
Norske SMB-er er ikke på topp, men er heller ikke på bunn. Det viktigste er ikke å være først, men å være kontrollert. Sent ute med governance er dyrere enn sent ute med adopsjon.
Oppsummering
Vibe coding er ikke en boble som forsvinner. Lovable bygger på 1 million nye prosjekter i uka og passerte 500 millioner dollar i annualisert inntekt. 51 prosent av kode på GitHub i tidlig 2026 var AI-assistert. Trenden treffer norske SMB-er enten dere planlegger for den eller ikke.
Spørsmålet er ikke om dere bør forholde dere til den, men hvordan. McKinsey-studien viser at AI-kodeverktøy reduserer tid brukt på rutinemessige kodingsoppgaver med 46 prosent. Gevinsten er reell. Risikoen er også reell.
De tre tingene som betyr mest
Sikkerhetskontroller før produksjon. Eksport- og eierskapsavklaring før første prompt. AI-kompetanseplan før august 2026. Disse tre dekker det meste av risikoen for en typisk norsk SMB.
Den fjerde tingen, som ofte glemmes, er en eier av AI-praksis internt. Uten det blir de tre punktene over fragmenterte initiativ.
Hva du tar med deg
Lovable og lignende verktøy er reelle produktivitetsverktøy. De er ikke compliance-verktøy. Du må selv legge til kontrollene, kontraktene og rutinene som gjør at interne apper bygd med vibe coding tåler en revisjon.
Den gode nyheten: de fleste tiltakene tar dager, ikke måneder. Den mindre gode: hvis du venter til august 2026 med å starte, har du allerede en intern app eller to i produksjon som må gjennomgås under tidspress.
I Alura hjelper vi norske bedrifter med å bygge AI-strategi som faktisk lar seg gjennomføre. Vi kombinerer dyp teknisk innsikt med erfaring fra alt fra SMB til enterprise, og leverer veikart som virker i praksis, ikke bare i PowerPoint.
Bestill en strategiøkt: en halvdags samtale der vi kartlegger virksomhetens AI-modenhet, identifiserer de tre prosessene med størst potensial, og leverer et konkret veikart med budsjettramme. Uforpliktende.
Alura
Praktisk kunnskap om AI-automatisering og effektivisering for norske bedrifter.
Les neste
Norske SMB-er kan halvere AI-regningen uten kvalitetstap
AI-budsjettet vokser 108 prosent år over år, mens markedet beveger seg mot billigere modeller. Her er de praktiske grepene norske SMB-er kan ta for å halvere AI-regningen uten å ofre kvalitet.
Sikre AI-agenter rykker nærmere SMB-bruk etter Ona-oppkjøp
OpenAI kjøper Ona for å gi AI-agenter sikre, vedvarende miljøer. Hva betyr skiftet til agent-infrastruktur for norske SMB-er som vurderer pilot i 2026?