Ви ставите додатки з App Store. Тягнете пакети з npm. Деплоїте хмарні образи з AWS Marketplace. Кожен шматок софту, який ви запускаєте, пройшов чийсь контроль якості — підписи коду, аудит дозволів, сканування CVE. Ви про це навіть не думаєте, бо система працює. Здебільшого.

Тепер вашій команді треба задеплоїти готового AI-агента — програму, яка не просто сидить і чекає на кліки, а автономно діє на вашій інфраструктурі, надсилає листи, робить запити до баз даних, ухвалює рішення. Ви відкриваєте сторінку в маркетплейсі і бачите: логотип вендора, абзац маркетингового тексту і кнопку «Install». Усе.

Агентна хмара настає

Google Cloud Next 2026 стартував сьогодні в Лас-Вегасі, і CEO Томас Куріан мав одне слово для кіноута: «The Agentic Cloud». Переклад: Google хоче агентів скрізь і хоче, щоб ви деплоїли їх з його вітрини. Agent Garden — курована колекція зразків агентів з деплоєм в один клік. Розширений розділ AI Agents у Cloud Marketplace з фільтрами сумісності A2A. ADK вийшов на v1.0 для Python. Дохід від хмари: $17,7 мільярда за минулий квартал, плюс 48%. Бекло́г контрактів подвоївся до $240 мільярдів. Google не продає візію — він будує торговий центр і друкує договори оренди.

Але ось що ніхто зі сцени не згадав: процес перевірки Google Cloud Marketplace контролює повноту інтеграції та модель ціноутворення. А не те, що агент насправді робить, коли тримає ваші креденшали і стикається з неоднозначною інструкцією.

Статика проти поведінки: прогалина верифікації

Маркетплейси перевіряють статичні властивості — дозволи, підписи коду, відомі вразливості (CVE — публічно каталогізовані баги безпеки). Це працює, коли софт чекає на ваш ввід. Агенти не чекають. Вони міркують, планують і виконують. Перевірити, чим софт є (безпечний, підписаний, комплаєнтний) — вирішена задача. Перевірити, що софт робить в непередбачуваних рантайм-умовах — це фундаментально інший виклик.

Як зазначили в ReversingLabs 15 квітня: «Хоча дії LLM можуть бути аудитованими, міркування, що стоять за цими діями, можуть бути непізнаваними». Це не філософське розмежування. Це означає, що сканери маркетплейсів можуть верифікувати чистоту коду агента, залишаючись при цьому структурно нездатними передбачити його поведінку в рантаймі.

Збитки вже задокументовані

Це не теорія. Наприкінці січня атака ClawHavoc наочно продемонструвала, як цю прогалину експлуатують. Між 27 січня і 5 лютого зловмисники підкинули 1 184 шкідливих скіли на ClawHub — приблизно кожен п'ятий пакет в екосистемі. Один обліковий запис автора завантажив 677 з них. Дев'ять CVE. Скіли успадковують повні дозволи агента, який їх запускає — доступ до приватних даних, API-ключі, усе підряд. У маркетплейсі не було жодної поведінкової верифікації, щоб хоч щось із цього зловити.

Manifold Security запустила платформу Manifest 14 квітня саме для вирішення цієї проблеми — індексація 238 000+ скілів у реєстрах агентів з аналізом графу виконання, що відстежує, що агент насправді робить у рантаймі, а не що він декларує в метаданих. Microsoft 2 квітня випустив Agent Governance Toolkit з підписанням плагінів Ed25519 і динамічним скорингом довіри. Це вагомі кроки. Але це інструменти для ґавернансу та незалежні платформи — а не стандарти поведінкової сертифікації для всього маркетплейсу, вшиті в кнопку «Install».

QA-відділ — це ви

Доки не існує масштабованої поведінкової сертифікації — способу перевірити, що агент робить, а не лише що він заявляє — кожен агент, якого ви ставите з будь-якого маркетплейсу, є неаудитованим автономним актором, який працює під вашою ідентичністю, з вашими креденшалами, на вашій інфраструктурі. Агенти від Google чи Microsoft мають репутаційну довіру бренду. Але економіка маркетплейсів вимагає сторонніх лістингів, комʼюніті-агентів, нішевих інтеграцій. Саме на цьому маркетплейси живуть або вмирають. І саме там ніхто нічого не перевіряє.

Пам'ятаєте, як ви не думали про верифікацію в App Store, бо система просто працювала? Для агентів такої системи ще не існує. Вендор, який її побудує, не просто отримає нову фічу — він стане власником шару довіри, що стоїть над кожним конкуруючим агентним рантаймом. Google, Anthropic, OpenAI — усім їм знадобиться хтось, хто відповість на питання, яке їхні маркетплейси наразі ігнорують: що цей агент насправді робить?