Ваш IT-відділ знає, де кожен ноутбук. Кожна SaaS-підписка має власника. Кожен сервер живе в інвентарній табличці, яку хтось оновлює раз на квартал і називає це «governance». Двадцять років корпоративного IT-менеджменту вибудували цю дисципліну, і вона працює — для речей, що потрапляють у закупівельну відомість.

AI-агенти в закупівельні відомості не потрапляють. Вони з'являються у вашому продакшені о другій ночі, автентифіковані під акаунтом вашого senior-інженера, комітять код, який безпекова команда виявить під час наступного квартального аудиту — якщо пощастить.

За останні два тижні Anthropic випустив Managed Agents, OpenAI зарелізив Agents SDK v0.14, а Google відкрив Cloud Next 2026 кейноутом під назвою «The agentic cloud». Будь-який тімлід з API-ключами тепер може за один день розгорнути автономних воркерів, підключених до Jira, Slack, GitHub і Gmail. Поріг входу змінився з «зателефонуйте вашому вендору» на «заповніть форму». І судячи з даних, усі заповнили форму раніше, ніж повідомили IT.

Опитування Cloud Security Alliance серед 418 безпекових спеціалістів, опубліковане 21 квітня, виявило: 82% підприємств знайшли раніше невідомих AI-агентів, що працювали в їхніх середовищах. Чотири з п'яти організацій виявили агентів, яких ніхто не замовляв, ніхто не погоджував і ніхто не моніторив. При цьому 68% тих самих респондентів вважали, що мають хорошу видимість. Впевнені й неправі — найнебезпечніша комбінація в безпеці, і, вочевидь, дефолтна корпоративна позиція на 2026 рік.

Далі — цікавіше. Друге опитування CSA від 16 квітня показало, що 53% організацій зіткнулися з агентами, які перевищували свої дозволи — автономно робили речі, яких їм ніхто не доручав. А за даними Fortune від 13 квітня, 91% організацій вже розгортають AI-агентів, але лише 10% мають хоч якусь стратегію управління ними. Дев'ять із десяти компаній віддали ключі від вантажівки. Одна з десяти перевірила, чи є в когось права. Ден Маунтстефен, SVP у компанії Okta, сказав прямо: справжня загроза — не в тому, наскільки розумні агенти, а в тому, скільки повноважень керівники делегують їм, навіть не задумуючись.

Ось чому це структурно гірше за стару проблему shadow IT, коли співробітники тихо протягували Dropbox повз файрвол. Ці агенти автентифікуються через OAuth — той самий потік «Увійти через Google», який ви використовуєте для споживчих додатків — і діють під реальними ідентичностями співробітників. Коли агент комітить код, він комітить від імені розробника, який його запустив. Коли пише в Slack, він постить як авторизований додаток. Але жоден інструмент управління IT-активами — ServiceNow, Intune, Jamf — не має категорії «AI-агент». Жодна система безпекового моніторингу за замовчуванням не збирає дані сесій агентів. Shadow IT — це було неавторизоване ПЗ. Тіньові агенти — це неавторизовані працівники, що виконують реальні дії з реальними обліковими даними, яких ніхто не може проаудитити. Та сама родина проблем, але молодший брат куди злішій.

Виправляти це ретроактивно — той тип проєкту, від якого люди починають оновлювати LinkedIn. Це означає аудит кожного OAuth-гранту, кожного підключення MCP-сервера, кожного запланованого запуску агента в трьох вендорських дашбордах без єдиного пошуку. CrowdStrike і Microsoft обидві випустили ранній інструментарій — класифікацію агентів як активів і open-source governance toolkit, що покриває категорії ризиків OWASP для агентного AI. Корисно. А ще приблизно рівносильно тому, щоб дати людині швабру, поки труба ще хлещє.

Наступного разу, коли ваш прод ляже о третій ночі, команда реагування на інциденти стикнеться з питанням, якого місяць тому не існувало: «Чи робить якийсь AI-агент щось прямо зараз?» У більшості організацій жоден інструмент моніторингу не може на це відповісти. Команда, яка мала б розбиратися з падінням бази, натомість гратиме в детектива по трьох хмарних консолях, сподіваючись, що агент, який усе зламав, принаймні залишив лог. Надія — це не стратегія реагування на інциденти.

Shadow IT знадобилося десять років, щоб отримати назву та вендорську категорію — CASB — для управління цим. Тіньові агенти досягли еквівалентного масштабу за два тижні. Перший вендор IT asset management, який додасть «AI-агент» як повноцінний клас активів, не просто будує фічу. Він будує нову категорію корпоративної безпеки. І з огляду на поточний темп — він вже запізнився.