Ваша команда за останні два тижні розгорнула AI-агентів у Notion, Jira та GitHub. Онбординг був образливо простим — один API-ключ (пароль, що дозволяє програмам спілкуватися між собою), кілька кліків, може перерва на каву. Агент читає ваші тікети, пушить код, пише у Slack. Ви відчули, що майбутнє нарешті настало.

А потім пілот закінчився. Або прокинулась команда безпеки. Або ви змінили вендора. І тепер треба відповісти на питання, яке нікому не спало на думку поставити: як, власне, вимкнути агента?

Дослідження Cloud Security Alliance, опубліковане буквально вчора, 21 квітня, дає конкретну цифру: лише 21% компаній мають хоч якийсь формальний процес деактивації AI-агентів. При цьому 65% вже стикалися з інцидентами безпеки, пов'язаними з агентами, за минулий рік. Anthropic запустив Managed Agents 8 квітня, OpenAI оновив свій Agents SDK 15 квітня, Google показав свою агентну платформу на Cloud Next 22 квітня — три продакшн-готові запуски за одне двотижневе вікно. Кожна платформа опублікувала детальні гайди з онбордингу. Жодна — буквально нуль — не опублікувала гайд з офбордингу.

Що насправді означає «вимкнути» агента

Деактивація агента — це не натискання кнопки. Це більше схоже на звільнення працівника, який має ключі від кожного кабінету, пам'ятає кожну розмову і налаштував десяток автоматизованих процесів, які ніхто інший не розуміє.

Ось справжній чеклист, який ніхто не написав:

  • Відкликати OAuth-токени — OAuth — це система, що дозволяє агенту отримувати доступ до ваших інструментів (GitHub, Jira, Slack) від вашого імені. Коли ви «підключаєте» агента до інструменту, ви видаєте йому токен — цифровий пропуск. Цей пропуск не закінчується, коли ви перестаєте платити за агента. Він просто лежить — валідний і забутий.
  • Очистити сховища пам'яті — Тепер агенти мають персистентну пам'ять: вони запам'ятовують минулі розмови, рішення та ваші дані. Memory Stores API від Anthropic дозволяє видаляти спогади по одному, але не має ендпоінту для масового видалення. Хочете стерти все? Перебирайте кожен запис і видаляйте окремо. Весело.
  • Скасувати заплановані дії — Агенти можуть працювати за cron-розкладом (автоматичні повторювані завдання, на кшталт «перевіряй цей репозиторій щоранку о 9:00»). Ці розклади зберігаються під ідентичністю користувача-створювача. Користувач звільняється з компанії — cron продовжує працювати.
  • Переназначити відкриту роботу — Якщо в агента були відкриті pull request'и, призначені тікети чи незавершені рев'ю — тепер це все належить привиду.
  • Сповістити залежних агентів — У мультиагентних системах інші агенти можуть викликати того, що вийшов на пенсію. Вони мовчки впадуть або, що гірше, зависнуть назавжди.

Жодна платформа не автоматизує нічого з цього.

Цифри гірші, ніж ви думаєте

За словами CEO Token Security Ітамара Апельблата, якого інтерв'ювали 9 квітня: 65.4% чат-ботів з агентами жодного разу не використовувались з моменту створення, але досі мають робочі облікові дані. Більше половини зовнішніх дій агентів покладаються на хардкоджені облікові дані замість OAuth — а це означає, що ви навіть не можете їх відкликати через стандартне управління ідентичностями.

«Багато організацій досі ставляться до AI-агентів радше як до одноразових експериментів з продуктивністю, а не як до керованих ідентичностей», — сказав Апельблат Help Net Security.

Він ввічливий. Що він насправді має на увазі: ви налаштували бота з доступом на читання до продакшн-бази, вам набридло, і ви залишили його працювати з ключами в замку запалення.

Справжня загроза: зомбі-облікові дані

Небезпека не в самому зомбі-агенті. Мертвий агент, який не може працювати, нешкідливий. Небезпека — в зомбі-облікових даних: OAuth-токенах, API-ключах і правах сервісних акаунтів, які переживають агента.

Агент, авторизований читати ваш Jira, пушити у ваш GitHub і писати у ваш Slack, не втрачає ці дозволи, коли ви перестаєте платити Anthropic чи OpenAI. Ці дозволи живуть у вашому identity provider, ваших SaaS-додатках, вашому хмарному IAM (Identity and Access Management — система, що контролює, хто до чого має доступ). Платформа агента навіть не знає, що вони існують, бо не вона їх видавала.

Microsoft визнав проблему три тижні тому, коли відкрив вихідний код свого Agent Governance Toolkit 2 квітня — сім пакетів, що покривають усі 10 ризиків OWASP Agentic AI (OWASP — стандартний каталог загроз безпеці додатків), з аварійним «kill switch» та моделлю «trust decay», що зменшує дозволи агента з часом. Звучить чудово. Але прочитайте документацію уважно: вона покриває runtime-безпеку — що відбувається, поки агент живий. Вона не покриває деактивацію чи очищення облікових даних. Тулкіт допомагає вам спостерігати за агентом. Він не допомагає його поховати.

Гіларі Барон, AVP of Research у CSA, підсумувала 21 квітня: «Безпека та управління AI-агентами охоплюють взаємопов'язану систему, що включає видимість, управління життєвим циклом, політики та моніторинг». Переклад: вам потрібно бачити кожного агента, керувати всім його життям від народження до смерті, встановити правила та стежити за всім. Компанії наразі роблять приблизно нічого з цього.

Ви вже через це проходили

Офбординг працівників — формальний процес відкликання доступу, коли хтось звільняється — зайняв у компаній приблизно 20 років, щоб кодифікувати його у стандарти на кшталт SCIM (протокол автоматичного управління обліковими записами між сервісами) та JML-провіжнінг (Joiners, Movers, Leavers — HR-to-IT процес). Двадцять років — і більшість компаній досі роблять це криво.

Офбординг агентів — на нульовому дні. Але компанії розгортають агентів швидше, ніж коли-небудь наймали людей. Дослідження CSA виявило, що 51% тіньових агентів — агентів, яких ніхто офіційно не затверджував — з'являються з внутрішньої автоматизації та скриптів. Ваші розробники створюють агентів так само, як колись у 2012-му піднімали EC2-інстанси: швидко, дешево і без жодної думки про те, хто прибиратиме.

Платформа, яка першою запустить управління життєвим циклом агентів — повний воркфлоу від деплою до деактивації з каскадним відкликанням облікових даних, очищенням пам'яті та нотифікацією залежностей — виграє ентерпрайз-закупівлі. А до того кожен списаний агент — це двері, які ви забули замкнути. І дверей у вас багато.