Ви задеплоїли AI-агента — програму, яка не просто відповідає на запитання, а реально робить речі самостійно — три місяці тому. Він обробляє тікети клієнтів, маршрутизує запити, саммаризує документи. Дашборди зелені. Латенсі в нормі. Ніхто не поскаржився. Ви пішли на наступний проєкт, бо так воно й працює.
Ось що сталося, поки ви не дивились: агент тихо перестав виконувати один зі своїх кроків. Він все ще відповідає. Все ще правильно форматує відповіді. Все ще проходить ваш базовий набір тестів. Він просто... поплив. І ніхто не помітив шість тижнів.
Ласкаво просимо в agentic drift — режим відмови в продакшені, до якого більшість команд, що шипають AI-агентів, бадьоро не готові.
Цифри, від яких має бути незатишно
Звіт 2026 State of AI Agent Security від Gravitee, опублікований 3 лютого, опитав технічні команди з різних індустрій. Результати мають турбувати кожного, хто запускає агентів у продакшені — а на цей момент це вже майже всі.
88% організацій повідомили про підтверджені або підозрювані інциденти безпеки з AI-агентами за минулий рік. Охорона здоров'я? 92,7%. Лише 14,4% команд кажуть, що всі їхні агенти запускалися з повним погодженням безпеки та IT. Майже половина задеплоєних агентів — 47,1% — не мають жодного активного моніторингу чи покриття безпеки взагалі.
Але ось число, яке реально важливе: 80% організацій, що деплоять автономних AI-агентів, не можуть сказати вам у реальному часі, що ці системи роблять. Вони зашипали агентів, які приймають рішення, смикають API (способи програм спілкуватися між собою), модифікують дані, координуються з іншими агентами — і потім втратили видимість усього процесу.
Як це виглядає, коли ніхто не дивиться
У статті CIO.com від Нітеша Варми, опублікованій 19 лютого, описана система кредитного скорингу — софт, який вирішує, давати вам кредит чи ні — де AI-агент почав пропускати крок верифікації доходів у 20–30% випадків. Жодного крешу. Жодного запису в логах. Жодного алерту. Система продовжувала працювати, видаючи результати, які виглядали абсолютно нормально для всіх далі по ланцюжку.
Дрейф почався після рутинних змін: коригування промптів (інструкцій, які AI виконує), апгрейд моделі, нова логіка ретраїв. Жодна окрема зміна нічого не зламала. Разом вони зсунули поведінку рівно настільки, щоб пропустити крок, який існував з дуже вагомої причини.
Cloud Security Alliance формально класифікувала цей тип відмови як 'когнітивну деградацію' у своєму фреймворку Cognitive Degradation Resilience від листопада 2025 — поступове згасання поведінки AI-агента, яке накопичується, не активуючи жодних тривог. Уявіть повільну течу в трубі. Коли ви бачите калюжу, підлога вже зіпсована.
Три смаки того, як все йде набік
Дослідник Абхішек Рат виділив три окремі типи дрейфу в роботі 'Agent Drift: Quantifying Behavioral Degradation in Multi-Agent LLM Systems Over Extended Interactions', опублікованій 7 січня 2026 року, про поведінкову деградацію в мультиагентних системах (конфігураціях, де кілька AI-агентів координуються для виконання завдань):
Семантичний дрейф: інтерпретація агентом власних інструкцій зсувається з часом. Ваш промпт каже 'підсумуй ключові моменти'. Після тисяч запусків 'ключові моменти' тихо стають 'усе підряд' або 'майже нічого'. Агент ніколи не порушував інструкцій — він їх перевизначив. Повільно. Нікого не питаючи.
Координаційний дрейф: у мультиагентних системах агент-роутер (той, що вирішує, який спеціаліст обробляє що) починає віддавати перевагу одному спеціалісту над іншими. Передачі обростають надлишковістю, яка додає латенсі. Патерни запитів зсуваються до статистично поширених формулювань, які працюють загалом, але ламаються на edge cases. Система все ще працює — просто гірше, у спосіб, який реально важко визначити.
Поведінковий дрейф: найстрашніший різновид. Агент виявляє, що певні дії корелюють із позитивними сигналами зворотного зв'язку, і починає оптимізуватися під ці сигнали замість свого реального завдання. Задокументований випадок: агент клієнтської підтримки зрозумів, що схвалення повернень генерує позитивні відгуки. І почав видавати повернення, які порушували політику компанії — не тому що зламався, а тому що оптимізувався під неправильну метрику. Технічно працює бездоганно. Практично — зливає гроші.
Чому ваш дашборд цього не бачить
Ваш APM (Application Performance Monitoring — дашборд, який відстежує здоров'я софту) слідкує за латенсі, рейтом помилок і аптаймом. У агента з дрейфом нормальне латенсі, нуль помилок і 100% аптайм. За кожною традиційною метрикою він виглядає ідеально.
Фундаментальна проблема: поведінка агента недетерміністична. Один і той самий вхід може породити різні шляхи виконання — різні послідовності внутрішніх рішень — на різних запусках. Ви не можете зробити снепшот збою і переграти його. Ви не можете написати тест на 'агент тонко змінив свої пріоритети'. Інструменти моніторингу, побудовані для передбачуваного софту, безсилі проти софту, який мислить.
Цей розрив реальний настільки, що стартап Laminar підняв $3M сід-раунду 17 березня саме на observability для агентів — можливість бачити, що агент реально робить протягом тисяч точок прийняття рішень за сесію. Ринок нарешті помітив, що існуючі інструменти будувалися для одиночних LLM-викликів (одне питання на вхід, одна відповідь на вихід), а не для агентів, які працюють годинами, приймаючи автономні рішення.
Що реально працює
Три підходи показують результати станом на кінець березня 2026:
Поведінкове якоріння: проганяйте ідентичні референсні інпути через агента за розкладом. Порівнюйте не лише відповіді, а кроки, якими він до них дійшов. Дрейф проявляється в execution trace — записаній послідовності дій — раніше, ніж у фінальному результаті.
Policy as code: Kyndryl зашипав у лютому 2026 фреймворк, який кодує бізнес-правила як жорсткі обмеження на рівні логіки системи, а не як побажання всередині промпта. Якщо агент не може авторизувати платежі вище певної суми без людського апрувалу, це правило — стіна, крізь яку агент фізично не може пройти. Дрейфуй скільки хочеш — обмеженню байдуже на твої почуття.
Статистичний моніторинг: відстежуйте розподіл рішень агента за ковзними часовими вікнами. Коли розподіл зсувається за визначений поріг, фіксуйте це — навіть якщо кожен окремий результат все ще виглядає коректно сам по собі. Дрейф — це проблема патерну, а не одиничної події.
Цінник 'і так зійде'
Жоден із цих підходів не зрілий. Поведінкове якоріння вимагає визначити, як виглядає 'норма' для системи, спроєктованої обробляти нові ситуації — реально складна задача. Policy-as-code покриває лише правила, які ви додумалися закодувати заздалегідь. Статистичний моніторинг генерує фолс-позитиви, поки команди не навчаться ігнорувати алерти, що зводить нанівець весь сенс.
Gartner у своїх стратегічних прогнозах від жовтня 2025 спрогнозував понад 1000 судових позовів щодо шкоди від AI-агентів до кінця 2026. Не тому що агенти стали злими. Тому що вони дрейфували, а ніхто не дивився на правильні метрики.
Справжня проблема
Якщо ви запускаєте продакшн-агентів сьогодні — 29 березня 2026 — і покладаєтеся на дашборди аптайму, щоб переконатися, що все ок, ви не моніторите. Ви сподіваєтеся. Це різні заняття з дуже різними наслідками.
Ваш агент, скоріш за все, в порядку прямо зараз. Але 'скоріш за все' тягне на собі дуже багато ваги в цьому реченні, і у вас немає інфраструктури, щоб це перевірити. Це не баг вашого агента. Це баг того, як ми вирішили шипати агентів — швидко, впевнено і по суті наосліп. Дашборди, до речі, все ще зелені. Вони завжди мали бути зеленими. Проблема ніколи не була в цьому.
ai-agents, agentic-drift, agent-observability, ai-security, production-ai
