Luka w odpowiedzialności: Dlaczego nikt nie kontroluje agentów AI i jak to naprawić

Oto pytanie, na które nikt w Twojej organizacji nie potrafi odpowiedzieć: którzy agenci AI uzyskali dostęp do jakich danych, kiedy i na czyje zlecenie?

Dziś, 26 marca 2026 roku, Fortune opublikowało badanie przeprowadzone wspólnie z Accenture i Wharton, które obrazuje skalę problemu z całą ostrością. Niema 74% pracowników intelektualnych korzysta obecnie z AI. Nie w sposób zatwierdzony i kontrolowany. W sposób nieformalny: bring-your-own-AI-tools, wdrażane przez jednostki biznesowe, bez akceptacji IT, bez przeglądu bezpieczeństwa, bez rozmowy o tym, co się stanie, gdy coś pójdzie nie tak.

Jednocześnie, podczas konferencji RSAC 2026 w San Francisco w tym tygodniu, CSA i Aembit opublikowały dane z badania przeprowadzonego wśród 228 specjalistów IT i bezpieczeństwa, które ukazują rzeczywistość organizacyjną jeszcze wyraźniej. Sześćdziesiąt osiem procent organizacji nie jest w stanie wyraźnie odróżnić aktywności agentów AI od aktywności ludzi we własnych systemach. Osiemdziesiąt cztery procent wątpi, że mogłoby zaliczyć audyt zgodności skoncentrowany na zachowaniu agentów AI i kontrolach dostępu.

Siedemdziesiąt cztery procent Twoich pracowników intelektualnych korzysta z AI. Sześćdziesiąt osiem procent organizacji nie potrafi określić, czy działania w ich systemach zostały wykonane przez człowieka, czy agenta AI. Nikt za to nie odpowiada.

To jest luka w odpowiedzialności. I to nie jest problem technologiczny. To jest problem projektowania organizacyjnego.

Liczby stojące za luką w odpowiedzialności

74% pracowników intelektualnych korzysta z AI — większość bez nadzoru

Raport Accenture i Wharton Global Products, opublikowany dziś przez Fortune, stanowi podstawę tego fragmentu. James Crowley, współautor: „Inteligencja może być skalowalna, ale odpowiedzialność — nie." To zdanie jest tezą.

Zakres badania: 120 milionów pracowników w 18 branżach. Ponad 50% godzin pracy w amerykańskiej gospodarce jest w grze — podatnych na przekształcenie przez agentów AI. Bankowość i rynki kapitałowe: ponad 45% godzin dotkniętych przez same agenty cyfrowe. Do 2028 roku około jedna na trzy aplikacje korporacyjne ma zawierać możliwości agentowe.

Reakcja nadzorcza na to wdrożenie nie nadąża za tempem zmian. Większość pracowników intelektualnych korzystających z AI robi to za pomocą niezatwierdzonych narzędzi. Jednostki biznesowe wdrażają AI szybciej, niż IT jest w stanie to ocenić. Zespoły bezpieczeństwa nie mają wglądu w to, jakie agenty działają, do czego uzyskują dostęp ani jakie decyzje podejmują.

85% ma agentów w produkcji. 68% nie potrafi określić, czy to człowiek, czy AI.

Badanie CSA/Aembit, opublikowane 24 marca na RSAC 2026 i omówione przez Help Net Security 26 marca, stanowi operacyjne uzupełnienie danych z Fortune.

Osiemdziesiąt pięć procent organizacji ma agentów AI funkcjonujących w środowiskach produkcyjnych. Ta liczba jest spójna z wynikami Accenture+Wharton — agenty są wdrożone, działają, podejmują decyzje.

Ale 68% nie potrafi wyraźnie odróżnić aktywności zainicjowanej przez człowieka od aktywności zainicjowanej przez agenta AI we własnych systemach. To nie jest drobna luka. To fundamentalny problem tożsamości. Jeśli nie potrafisz odróżnić, co zrobił człowiek, a co agent, nie możesz przypisywać działań, egzekwować odpowiedzialności ani prowadzić dochodzeń w sprawie incydentów.

Dane kumulatywne: 73% spodziewa się, że agenty AI staną się niezbędne dla ich organizacji w ciągu najbliższego roku. Tempo wdrożeń rośnie. Luka w nadzorze rośnie wraz z nim.

91% używa agentów. 10% ma skuteczny nadzór.

Wspólny webinar Okta i Accenture, z 23 stycznia 2026 roku, ukazał kontrast w skuteczności nadzoru: 91% organizacji już używa agentów AI. Tylko 10% uważa, że ma skuteczną strategię nadzoru nad agentami AI.

Dziesięć procent. To liczba, która powinna nie pozwolić zasnąć każdemu CISO tej nocy. Prawie każda firma prowadzi agentów AI. Prawie żadna z nich nie ma działającego nadzoru.

Greg Callegari z Accenture przedstawił diagnozę jasno na tym webinarze: „Agenty zachowują się jak pracownicy, wykonują zadania, które wykonywaliby ludzie. Więc sposobem na ich zabezpieczenie jest zarządzanie nimi jak tożsamościami." Organizacje, które nie przyjęły tego założenia, to te, które osiągają 10% skuteczności nadzoru.

Dlaczego nikt nie odpowiada za odpowiedzialność agentów AI

Luka w odpowiedzialności nie jest przypadkowa. Ma charakter strukturalny. Dane CSA ukazują rozdrobnienie odpowiedzialności w liczbach: odpowiedzialność za nadzór nad agentami AI jest rozproszona między cztery grupy, z których żadna nie ma tego jako głównego mandatu.

Bezpieczeństwo: 28%. Rozwój i inżynieria: 21%. IT: 19%. Zespoły IAM: 9%.

Dziewięć procent. Zespół najbardziej kwalifikowany do zarządzania tożsamościami nie-ludzkimi — IAM — prowadzi nadzór nad agentami AI w zaledwie 9% organizacji. Wszyscy pozostali improwizują.

Kevin Werbach z Wharton Accountable AI Lab opisał dynamikę organizacyjną tworzącą tę próżnię: „Mój menedżer programu biznesowego tworzy agentów i wypuszcza je." Tradycyjny proces przeglądu wydania IT nie nadąża za tempem, w jakim agenty są budowane wewnątrz organizacji. W chwili, gdy zaplanowany jest przegląd nadzoru, agent działa w produkcji od sześciu tygodni.

Rezultat: odpowiedzialność, która jest odpowiedzialnością wszystkich i nikogo. Bezpieczeństwo uważa, że IAM za to odpowiada. IAM uważa, że bezpieczeństwo za to odpowiada. Rozwój zbudował część z nich. Jednostki biznesowe zbudowały pozostałe. Nikt nie zorganizował spotkania, aby ustalić, kto odpowiada za to, co się stanie, gdy agent zrobi coś nieoczekiwanego.

Luka uwierzytelniania

Wymiar techniczny problemu odpowiedzialności jest równie wyraźny.

Z badania Strata Identity i CSA, opublikowanego 5 lutego 2026 roku: 44% organizacji używa statycznych kluczy API do uwierzytelniania agentów AI. Czterdzieści trzy procent używa kombinacji nazwy użytkownika i hasła. To nie są starsze systemy. To produkcyjni agenci AI, działający autonomicznie, używający tego samego modelu poświadczeń co login pracownika.

Statyczne klucze API nie wygasają automatycznie. Poświadczenia nazwa użytkownika-hasło nie są powiązane z tożsamością konkretnego agenta. Gdy agent zostanie naruszony, te poświadczenia pozostają aktywne, dopóki ktoś nie odwoła ich ręcznie. Eric Olden, CEO Strata Identity: „Statyczne poświadczenia, ręczne udostępnianie i rozproszone polityki nie nadążą za tempem i autonomią systemów agentowych."

Trzydzieści jeden procent organizacji pozwala agentom AI działać pod tożsamościami użytkowników ludzkich. To oznacza, że agent używa tych samych poświadczeń co konkretny pracownik — nie tożsamości serwisowej, nie tożsamości agenta, ale login rzeczywistego człowieka. Gdy coś pójdzie nie tak, dziennik audytu pokazuje imię i nazwisko człowieka. Człowiek był w tym czasie na spotkaniu.

Implikacje bezpieczeństwa — gdy agenty się buntują

Luka w odpowiedzialności to nie tylko problem zgodności. To powierzchnia ataku bezpieczeństwa.

Dane CSA/Aembit: 74% organizacji zgłasza, że agenty AI często otrzymują więcej dostępu, niż potrzeba do ich konkretnego zadania. Siedemdziesiąt dziewięć procent mówi, że agenty tworzą nowe ścieżki dostępu, które trudno monitorować. To nie są skrajne przypadki. To norma operacyjna.

Agent AI z nadmiernie szerokimi uprawnieniami, działający autonomicznie w wielu systemach, to definicja rozszerzonej powierzchni ataku. To nie złośliwy insider. To nie zewnętrzny atakujący. To autonomiczny system robiący dokładnie to, do czego został zaprojektowany — z dostępem, którego nikt właściwie nie określił.

Ryzyko manipulacji promptami komplikuje to jeszcze bardziej. Osiemdziesiąt jeden procent organizacji zgadza się: manipulacja promptami może spowodować, że agent AI ujawni poufne poświadczenia lub tokeny. Agent używa prawdziwych poświadczeń przez prawdziwą ścieżkę dostępu. Nie został zaszczepiony malware. Nie został użyty exploit. Agent został zmanipulowany do działania przeciwko interesom organizacji przez ten sam interfejs, z którego powinien korzystać.

Arize opublikowało „100 Agentów AI Na Pracownika" 21 marca 2026 roku. Prognoza Jensena Huanga: około 100 agentów AI na pracownika w głównych przedsiębiorstwach w ciągu kilku lat. Szacunki McKinsey dla obecnego stanu: 25 000 agentów pracujących obok 60 000 ludzi w typowym dużym przedsiębiorstwie. Przelicz tę matematykę na swoją organizację. Każdy agent ma jakiś poziom dostępu do systemu. Większość z nich ma więcej, niż potrzeba. Większość z nich nie jest monitorowana. Większość z nich działa pod poświadczeniami, których nikt nie określił.

To nie jest postawa bezpieczeństwa. To powierzchnia ataku czekająca na wyzwalacz.

Poprawka nadzorcza — traktuj agentów AI jak pracowników

Framework Grega Callegariego z webinaru Okta to najbardziej praktyczna zasada nadzoru dla agentów AI, jaką widziałem: „Agenty potrzebują własnej tożsamości. Gdy raz to zaakceptujesz, wszystko inne wynika — kontrola dostępu, nadzór, audyt i zgodność."

Traktuj agentów AI jak pracowników. Nie w przenośni. Operacyjnie.

Żadna organizacja nie zatrudniłaby pracownika, nie dałaby mu poświadczeń admina w każdym systemie i nie liczyła na najlepsze. Zdefiniowaliby rolę. Egzekwowaliby zasadę minimalnych uprawnień. Monitorowaliby aktywność. Ustaliliby, kto odpowiada, gdy coś pójdzie nie tak.

Agenty AI potrzebują dokładnie tego samego traktowania. Oto jak to wygląda w praktyce.

Krok 1: Nadaj każdemu agentowi własną formalną tożsamość

Nie współdzielone konto serwisowe. Nie login pracownika. Odrębna, przypisywalna tożsamość — z własnymi poświadczeniami, własnym zakresem dostępu i własnym łańcuchem odpowiedzialności.

To jest fundament. Każdy kolejny krok nadzoru od niego zależy. Bez tożsamości na poziomie agenta nie możesz przypisywać działań, egzekwować kontroli dostępu ani prowadzić znaczących dochodzeń.

Krok 2: Określ zakres dostępu tak, jak określasz dostęp dla nowego pracownika

Zdefiniuj dokładnie, do czego każdy agent potrzebuje dostępu, dokładnie dla których zadań. Agenty powinny działać w oparciu o dostęp o minimalnych uprawnieniach — dokładnie to, czego wymaga ich funkcja, nic więcej.

Dane CSA — 74% agentów otrzymuje więcej dostępu, niż potrzeba — odzwierciedlają obecny domyślny stan: agenty dostają szeroki dostęp, bo łatwiej to skonfigurować. To jest ten sam sposób rozumowania, który stworzył problem nadmiernych uprawnień dla pracowników w latach 90. Rozwiązaliśmy to wtedy za pomocą kontroli dostępu opartej na rolach. Musimy rozwiązać to teraz dla agentów AI.

Krok 3: Zdefiniuj zarządzanie cyklem życia agentów

Agenty mają daty rozpoczęcia. Agenty mają okresy przeglądu. Agenty mają daty zakończenia.

Gdy zadanie przypisane agentowi AI zostanie zakończone, jego dostęp powinien zostać przejrzany i, jeśli to właściwe, odwołany. Gdy agent jest wycofywany, jego tożsamość powinna być formalnie zamknięta — tak samo jak gdy pracownik odchodzi.

Większość organizacji nie ma procesu zarządzania cyklem życia agentów. Większość agentów działa, dopóki coś się nie zepsuje lub nikt nie pamięta, że istnieją. Agenty, które działają bezterminowo z aktywnymi poświadczeniami, to te, które stają się incydentami bezpieczeństwa.

Krok 4: Ciągłe monitorowanie i atrybucja

Zachowanie agentów powinno być logowane, przypisywane do konkretnej tożsamości agenta i monitorowane w sposób ciągły — nie przeglądane po incydencie, ale śledzone w czasie rzeczywistym jako standardowa praktyka operacyjna.

To jest miejsce, gdzie powinni zacząć ci z 68% — organizacje, które nie potrafią odróżnić aktywności agentów od aktywności ludzi. Nie możesz monitorować tego, czego nie potrafisz odróżnić. Najpierw zbuduj infrastrukturę atrybucji.

Krok 5: Przydziel jednego właściciela z pełną odpowiedzialnością

Rozdrobnienie własności — bezpieczeństwo 28%, dev/eng 21%, IT 19%, IAM 9% — to strukturalny powód, dla którego nadzór nie działa. Nadzór bez wyznaczonego właściciela to nadzór bez egzekwowania.

Jeden zespół powinien odpowiadać za nadzór nad agentami AI. Dla większości organizacji to IAM — zespół już odpowiedzialny za zarządzanie tożsamościami nie-ludzkimi. Dla innych może to być bezpieczeństwo. Konkretny zespół ma mniejsze znaczenie niż zasada: jeden właściciel, z jasną odpowiedzialnością, z uprawnieniami do egzekwowania polityk.

Samoocena odpowiedzialności — 8 pytań, na które każdy menedżer powinien znać odpowiedź

Użyj tych ośmiu pytań do oceny stanu swojej organizacji. Odpowiedź „nie" lub „nie wiem" na większość z nich to diagnostyka, nie wyrok.

1. Jaki procent agentów AI działających w Twoim środowisku produkcyjnym przeszedł formalny przegląd IT i bezpieczeństwa przed wdrożeniem?

Jeśli odpowiedź brzmi „większość z nich" lub „nie wiem", masz problem z nadzorem. Dane Accenture+Wharton sugerują, że to to drugie.

2. Czy potrafisz w czasie rzeczywistym odróżnić, które działania w Twoich systemach zostały wykonane przez człowieka, a które przez agenta AI?

Jeśli nie, nie możesz przypisywać działań, prowadzić dochodzeń ani przeprowadzać audytów zgodności. Ci z 68%, którzy nie potrafią odróżnić, to Twoja grupa porównawcza.

3. Kto odpowiada za nadzór nad agentami AI w Twojej organizacji?

Jeśli odpowiedź zawiera słowo „my" — jako że „my wszyscy za to odpowiadamy" — nikt za to nie odpowiada. Własność wymaga jednego nazwiska.

4. Jaki procent Twoich agentów AI działa pod własną formalną tożsamością, a nie pod współdzielonym kontem serwisowym lub poświadczeniami pracownika?

Jeśli większość agentów używa współdzielonych poświadczeń, nie możesz przypisywać działań do konkretnych agentów. Nie możesz odwołać współdzielonego poświadczenia, nie wpływając na każdego agenta, który z niego korzysta.

5. Czy mógłbyś zaliczyć audyt zgodności skoncentrowany konkretnie na zachowaniu agentów AI i kontrolach dostępu?

Dane CSA: 84% organizacji wątpi, że by mogły. Jeśli Twoja odpowiedź jest cokolwiek inna niż „tak", luka jest Twoim narażeniem.

6. Czy Twoi agenci AI mają zdefiniowane zakresy dostępu — czy też mają więcej dostępu, niż wymagają ich konkretne zadania?

Jeśli agenty mają nieograniczony dostęp do systemów zamiast dostępu związanego z konkretnym zadaniem, masz problem 74% — podwyższone uprawnienia tworzące niepotrzebną powierzchnię ataku.

7. Co dzieje się z dostępem agenta AI, gdy jego przypisane zadanie zostanie zakończone?

Jeśli odpowiedź brzmi „nadal działa", masz agentów z aktywnymi poświadczeniami i bez określonego stanu końcowego. To jest problem cyklu życia.

8. Czy masz plan reagowania na incydenty konkretnie dla naruszonego agenta AI?

Jeśli odpowiedź brzmi „potraktowalibyśmy to jak każdy inny incydent bezpieczeństwa", nie masz planu specyficznego dla AI. Naruszony agent działa inaczej niż naruszone poświadczenia pracownika — Twoja reakcja powinna to odzwierciedlać.

Podsumowanie

Luka w odpowiedzialności to nie luka technologiczna. To luka w projektowaniu organizacyjnym.

Siedemdziesiąt cztery procent pracowników intelektualnych korzysta z AI. Sześćdziesiąt osiem procent organizacji nie potrafi określić, czy działania we własnych systemach zostały wykonane przez człowieka, czy agenta AI. Osiemdziesiąt cztery procent wątpi, że mogłoby zaliczyć audyt zgodności. Dziesięć procent uważa, że ma skuteczny nadzór.

Te liczby nie są abstrakcyjne. Opisują rzeczywistą postawę Twojej organizacji właśnie teraz.

Poprawka to nie nowy dokument polityki. To decyzja organizacyjna: traktuj agentów AI jak pracowników, z formalnymi tożsamościami, określonym zakresem dostępu, zarządzaniem cyklem życia i wyznaczoną odpowiedzialnością. Framework Callegariego działa. Organizacje, które go wdrożyły, to te 10%, które uważają, że ich nadzór jest skuteczny.

Wszyscy pozostali liczą na to, że agenty będą się dobrze zachowywać. To nie jest strategia nadzorcza. To jest odpowiedzialność prawna.

Czy Twoje przedsiębiorstwo jest gotowe na erę odpowiedzialności agentów AI? Porozmawiaj z Agencie o ocenie nadzoru nad agentami AI — obejmującej analizę luki w odpowiedzialności, projekt frameworku tożsamości i mapę drogową traktowania agentów jak pracowników →