Twój zespół przez ostatnie dwa tygodnie stawiał agentów AI w Notion, Jirze i GitHubie. Onboarding był wręcz obraźliwie prosty — jeden klucz API (hasło pozwalające programom gadać z innymi programami), kilka kliknięć, może przerwa na kawę. Agent czyta twoje tickety, pushuje kod, pisze na Slacku. Poczułeś, że przyszłość wreszcie nadeszła.

Potem pilot się skończył. Albo obudził się dział bezpieczeństwa. Albo zmieniliście dostawcę. I nagle trzeba odpowiedzieć na pytanie, które nikomu nie przyszło do głowy: jak właściwie wyłączyć agenta?

Ankieta Cloud Security Alliance, opublikowana zaledwie wczoraj, 21 kwietnia, daje twardą liczbę: tylko 21% firm ma jakikolwiek formalny proces wycofywania agentów AI. Tymczasem 65% miało już w ciągu ostatniego roku incydent bezpieczeństwa związany z agentami. Anthropic wypuścił Managed Agents 8 kwietnia, OpenAI zaktualizowało swój Agents SDK 15 kwietnia, a Google pokazał swoją platformę agentową na Cloud Next 22 kwietnia — trzy produkcyjne premiery w jednym dwutygodniowym oknie. Każda platforma opublikowała szczegółowe przewodniki onboardingowe. Żadna — dosłownie zero — nie opublikowała przewodnika offboardingowego.

Co tak naprawdę oznacza "wyłączenie" agenta

Wycofanie agenta to nie kliknięcie przełącznika. To bardziej jak zwalnianie pracownika, który ma klucze do każdego biura, pamięta każdą rozmowę i postawił tuzin zautomatyzowanych workflow, których nikt inny nie ogarnia.

Oto prawdziwa checklista, której nikt nie napisał:

  • Cofnij tokeny OAuth — OAuth to system pozwalający agentowi korzystać z twoich narzędzi (GitHub, Jira, Slack) w twoim imieniu. Kiedy "podłączasz" agenta do narzędzia, dajesz mu token — cyfrową przepustkę. Ta przepustka nie wygasa, kiedy przestajesz płacić za agenta. Leży sobie dalej, ważna i zapomniana.
  • Wyczyść pamięć agenta — Agenci mają teraz pamięć trwałą: pamiętają poprzednie rozmowy, decyzje i twoje dane. Memory Stores API od Anthropica pozwala kasować wspomnienia jedno po drugim, ale nie oferuje endpointu do masowego usuwania. Chcesz wyczyścić wszystko? Wylistuj każde wspomnienie i kasuj pojedynczo. Frajda.
  • Anuluj zaplanowane akcje — Agenci mogą działać na cronach (automatyczne zadania cykliczne, np. "sprawdź to repo codziennie rano o 9:00"). Te harmonogramy działają pod tożsamością użytkownika, który je stworzył. Użytkownik odchodzi z firmy — cron dalej leci.
  • Przepisz otwarte zadania — Jeśli agent miał otwarte pull requesty, przypisane tickety albo oczekujące review, to teraz należą one do ducha.
  • Powiadom zależne agenty — W setupach wieloagentowych inne agenty mogą wywoływać tego emerytowanego. Będą cicho failować albo, co gorsza, wisieć w nieskończoność.

Żadna platforma nie automatyzuje żadnego z tych kroków.

Liczby są gorsze, niż myślisz

Według CEO Token Security, Itamara Apelblata, wypowiadającego się 9 kwietnia: 65,4% agentowych chatbotów nie było nigdy użytych od momentu utworzenia, a wciąż mają aktywne dane dostępowe do twoich narzędzi produkcyjnych. Ponad połowa zewnętrznych akcji agentów opiera się na zahardkodowanych credentialach zamiast OAuth — co oznacza, że nie możesz ich nawet cofnąć przez standardowe zarządzanie tożsamością.

"Wiele organizacji wciąż traktuje agentów AI bardziej jak jednorazowe eksperymenty produktywnościowe niż zarządzane tożsamości" — powiedział Apelblat w Help Net Security.

To dyplomatyczne ujęcie. Tak naprawdę chodzi o to, że postawiłeś bota z dostępem do odczytu bazy produkcyjnej, znudziło ci się i zostawiłeś go z kluczykami w stacyjce.

Prawdziwe zagrożenie: zombie credentials

Niebezpieczeństwo to nie sam zombie-agent. Martwy agent, który nie może się uruchomić, jest nieszkodliwy. Niebezpieczne są zombie credentials — tokeny OAuth, klucze API i uprawnienia kont serwisowych, które przeżyją agenta.

Agent autoryzowany do czytania twojej Jiry, pushowania na GitHuba i pisania na Slacku nie traci tych uprawnień, kiedy przestajesz płacić Anthropicowi czy OpenAI. Te granty żyją w twoim identity providerze, twoich aplikacjach SaaS, twoim cloud IAM (Identity and Access Management — system kontrolujący, kto ma dostęp do czego). Platforma agentowa nawet nie wie, że istnieją, bo nigdy ich nie nadawała.

Microsoft rozpoznał problem trzy tygodnie temu, udostępniając open-source'owy Agent Governance Toolkit 2 kwietnia — siedem pakietów pokrywających wszystkie 10 ryzyk OWASP Agentic AI (OWASP to standardowy katalog zagrożeń bezpieczeństwa aplikacji), w zestawie z awaryjnym "kill switchem" i modelem "trust decay", który z czasem redukuje uprawnienia agenta. Brzmi super. Ale przeczytaj dokumentację uważnie: pokrywa bezpieczeństwo runtime'owe — to, co dzieje się, gdy agent żyje. Nie pokrywa wycofywania ani czyszczenia credentiali. Toolkit pomaga pilnować agenta. Nie pomaga go pogrzebać.

Hillary Baron z CSA, AVP ds. badań, podsumowała to 21 kwietnia: "Bezpieczeństwo i governance agentów AI obejmują wzajemnie połączony system obejmujący widoczność, zarządzanie cyklem życia, polityki i monitoring." Tłumacząc na ludzki: musisz widzieć każdego agenta, zarządzać całym jego życiem od narodzin do śmierci, ustawiać reguły i obserwować wszystko. Firmy obecnie robią z tego mniej więcej nic.

To już kiedyś przerabiałeś

Offboarding pracowników — formalny proces cofania dostępów, gdy ktoś odchodzi z firmy — zajął przedsiębiorstwom jakieś 20 lat, żeby skodyfikować go w standardy typu SCIM (protokół automatycznego zarządzania kontami użytkowników w różnych serwisach) i provisioning JML (Joiners, Movers, Leavers — workflow HR-do-IT). Dwadzieścia lat, a większość firm nadal to robi źle.

Offboarding agentów jest na dniu zero. Ale firmy wdrażają agentów szybciej, niż kiedykolwiek zatrudniały ludzi. Ankieta CSA wykazała, że 51% shadow agentów — agentów, których nikt oficjalnie nie zatwierdził — powstaje z wewnętrznej automatyzacji i skryptów. Twoi developerzy stawiają agentów tak samo, jak kiedyś stawiali instancje EC2 w 2012: szybko, tanio i z zerową myślą o tym, kto po nich posprząta.

Platforma, która dostarczy zarządzanie cyklem życia agenta — kompletny workflow od wdrożenia do wycofania z kaskadą credentiali, czyszczeniem pamięci i powiadamianiem zależności — wygra przetargi korporacyjne. Do tego czasu każdy wycofany agent to drzwi, które zapomniałeś zamknąć. A masz ich dużo.