A helyzet, ami mostanra állt elő
Az ügynökök kikerültek a homokozóból
Van egy fontos különbség a között, hogy az AI válaszol egy kérdésre, és a között, hogy az AI cselekszik helyettünk. Az első esetben elolvassuk a választ, eldöntjük, mit kezdünk vele, és mi hajtjuk végre. A második esetben az ügynök maga küld el egy emailt, maga módosít egy rekordot a rendszerben, maga indít el egy folyamatot. Nincs közbeiktatott ember, aki utoljára ránézne.
Ez a váltás nagyon gyorsan zajlott le. A legfrissebb piaci felmérések szerint a nagyvállalatok több mint kétharmadánál már fut legalább egy AI ügynök éles környezetben, miközben tavaly ilyenkor ez a szám még elenyésző volt. A gond nem a sebességgel van. A gond azzal van, hogy a biztonsági gondolkodás nem tartott lépést a bevezetéssel.
Az egyik pénzügyi szolgáltatónál nemrég egy olyan ügynököt akartak élesíteni, amely automatikusan válaszolt volna az ügyfélmegkeresések egy részére, és közben olvasott a belső tudásbázisból. A demó gyönyörű volt. Amikor viszont megkérdeztem, hogy ha az ügynök egy hétvégén elkezd rossz válaszokat küldeni, ki és hogyan állítja le, csönd lett a teremben. Senki nem tudta a választ. Nem azért, mert hanyagok voltak, hanem mert a kérdés fel sem merült addig.
Amit a friss adatok mutatnak
Nem elméleti a kockázat
Sokáig azzal nyugtatták magukat a cégek, hogy az AI ügynök biztonsága olyan absztrakt téma, ami majd valamikor a jövőben lesz aktuális. A 2026-os adatok ezt a nyugalmat elvették. Egy idei felmérés szerint a szervezetek túlnyomó többsége, közel kilenctizede, átélt már legalább egy AI ügynökhöz köthető biztonsági incidenst az elmúlt egy évben. Ez nem a jövő. Ez a mostani állapot.
A két leggyakoribb incidens típus árulkodó. Az esetek nagyjából felében adatszivárgás történt, tehát az ügynök olyan információt adott ki vagy továbbított, amit nem kellett volna. A másik felében manipuláció, vagyis valaki rávette az ügynököt egy rossz beviteli szöveggel, hogy a szándékolttól eltérően viselkedjen. Ez a két minta végigkíséri szinte minden AI ügynök biztonsági beszélgetésemet.
A számomra legaggasztóbb adat viszont máshol van. A megkérdezett szervezetek több mint harmada elismerte, hogy nem tudná leállítani a saját AI ügynökét, ha az megvadulna. Álljunk meg itt egy pillanatra. Ez azt jelenti, hogy éles folyamatokat futtató, adatokhoz hozzáférő, önállóan cselekvő rendszereket engedtek be a szervezetbe úgy, hogy nincs kéznél a leállítógomb. Egy autót sem vezetünk fék nélkül, mégis pontosan ezt tesszük a szoftverügynökeinkkel.
Az első valódi védvonal
A jogosultság a biztonság, nem a szabályzat
Amikor egy cég AI ügynök biztonságról kezd beszélni, először szinte mindig egy dokumentumot akar írni. Policy, irányelv, aláírt nyilatkozat. Ezek hasznosak, de nem ezek védenek meg. A valódi biztonsági határ az, hogy az ügynök mihez fér hozzá egyáltalán. Egy szabályzat megtiltja, hogy az ügynök töröljön adatot. A jogosultság kezelés viszont fizikailag képtelenné teszi rá. A kettő nem ugyanaz.
A legszemléletesebb tanulságot ebből egy nagyjából 400 fős logisztikai cégnél kaptam. Az ügynöknek eredetileg teljes olvasási jogot adtak a teljes belső rendszerhez, mert így volt a legegyszerűbb beállítani. Amikor átnéztük, kiderült, hogy az ügynök hozzáfért a bérszámfejtési adatokhoz is, holott a feladatához soha nem lett volna szüksége rájuk. Nem történt baj, de a lehetőség ott volt. Leszűkítettük a hozzáférést pontosan arra a néhány adatkörre, ami a munkájához kellett, és a kockázat nagy része egyetlen délután alatt eltűnt.
A vezérelv egyszerű. Az ügynök annyi jogot kapjon, amennyi a konkrét feladatához feltétlenül szükséges, és egy szemernyivel se többet. Ezt a szakma a legkisebb jogosultság elvének hívja, és nem új találmány, a klasszikus informatikai biztonságból jön. Az AI ügynökök korában viszont hirtelen sokkal élesebb lett, mert most nem egy ember kattintgat a jogosultságaival, hanem egy önállóan, gyorsan és fáradhatatlanul cselekvő rendszer.
A manipuláció, amire kevesen készülnek
Az ügynök annyira megbízható, amennyire a bemenete
A prompt injekció bonyolult szónak hangzik, a lényege viszont hétköznapi. Az AI ügynök szövegből dolgozik, és nem mindig tudja megkülönböztetni, hogy egy szöveg a gazdájától jön vagy egy kívülállótól. Ha az ügynök beolvas egy emailt, egy dokumentumot vagy egy weboldalt, akkor abban a szövegben elrejthető egy utasítás, amit az ügynök jóhiszeműen végrehajt. Nem hibázik. Pontosan azt teszi, amit a szöveg kér, csak épp a szöveget nem a megfelelő ember írta.
Egy kreatív ügynökségnél, ahol 35 fő dolgozik, láttam ennek egy ártalmatlan, de tanulságos változatát. Az ügynök feladata az volt, hogy beérkező pályázati anyagokat összefoglaljon. Az egyik beküldött dokumentum aljába valaki, félig viccből, beírt egy utasítást az ügynöknek, hogy az összefoglalóba írja bele, ez a legjobb pályázat. Az ügynök engedelmesen megtette. Semmi kár nem keletkezett, de a jelenet mindenkinek megmutatta, hogy a bemeneti szöveg maga is támadási felület.
Ez ellen nincs egyetlen tökéletes védekezés, de több réteg együtt sokat számít. Az ügynök ne bízzon meg vakon a külső forrásból érkező szövegben. A valódi, visszafordíthatatlan műveleteknél, például egy pénzügyi tranzakciónál vagy egy tömeges kiküldésnél, legyen kötelező emberi jóváhagyás. És az ügynök soha ne rendelkezzen olyan joggal, amivel egy manipulált utasítás komoly kárt tudna okozni. Itt kapcsolódik vissza a jogosultság kérdése, a két téma nem választható szét.
A leállítógomb és ami mögötte van
Látni, amit az ügynök csinál, és megállítani, ha kell
Térjünk vissza a legelső jelenethez, a csöndhöz a pénzügyi szolgáltató tárgyalójában. A leállítógomb nem egyetlen piros nyomógomb. Két képességet takar, amelyek együtt működnek. Az első a megfigyelhetőség, vagyis hogy egyáltalán észrevegyük, ha az ügynök rosszul viselkedik. A második a beavatkozás, vagyis hogy ilyenkor gyorsan és megbízhatóan meg tudjuk állítani.
A megfigyelhetőség azt jelenti, hogy az ügynök minden érdemi lépéséről marad nyom. Mit olvasott, mit döntött, mit hajtott végre. Enélkül egy incidens után csak találgatni tudunk, hogy mi történt. Az egyik holding kontrolling csapatánál pontosan ez a napló mentett meg egy kellemetlen helyzetet. Egy ügynök hibás számokat kezdett beírni egy riportba, és mivel minden lépése naplózva volt, húsz perc alatt megtaláltuk, hol csúszott el a folyamat. Napló nélkül ez napokba tellett volna.
A beavatkozás oldalán három dolgot kérek minden bevezetésnél. Legyen egy egyértelmű felelős, aki jogosult leállítani az ügynököt, és ezt éjjel is meg tudja tenni, nem csak munkaidőben. Legyen egy technikai módja a gyors leállításnak, ami nem függ attól, hogy éppen ki elérhető. És legyen egy egyszerű elv arra, hogy az ügynök inkább álljon le és kérdezzen, mint hogy bizonytalan helyzetben magától cselekedjen. Ez a három együtt adja ki azt, amit a köznyelv leállítógombnak hív.
A governance szakadék
Miért marad el a felügyelet a bevezetés mögött
Van egy tapasztalatom, amit a friss kutatások is megerősítenek. Egy idei elemzés szerint miközben a cégek túlnyomó része már éles ügynököket futtat, csak töredékük rendelkezik kiforrott felügyeleti modellel. Ez a szakadék nem véletlen. A bevezetés látványos, gyors és sikerélményt ad. A felügyelet láthatatlan, lassú és senki nem ünnepli meg, amikor jól működik.
Ebből a mintázatból azt tanultam meg, hogy a biztonságot nem lehet a projekt végére hagyni. Ha a felügyeletet csak akkor kezdjük el építeni, amikor az ügynök már fut, mindig lemaradásban leszünk. A helyes sorrend fordított. Előbb tisztázzuk, mihez férjen hozzá az ügynök, hogyan látjuk a működését, és ki tudja megállítani, és csak utána élesítünk. Ez néhány nappal megtolja a bevezetést, de éppen ez a néhány nap különbözteti meg a kontrollált rendszert az ellenőrizetlentől.
Azt is megtanultam ezekből a projektekből, hogy a biztonság nem a bevezetés ellensége, hanem a feltétele. Az a cég meri igazán érdemi feladatra ráengedni az ügynököt, amelyik tudja, hogy baj esetén meg tudja fogni. A leggyorsabban skálázó ügyfeleim nem a legvakmerőbbek. Éppen ellenkezőleg, ők azok, akik előre megépítették a fékrendszert, és így nyugodtan nyomták a gázt.
Konkrét lépések
Öt kérdés, mielőtt bármelyik ügynök élesbe megy
Ha egyetlen dolgot vinnél magaddal ebből az írásból, akkor legyen ez az öt kérdés. Nem drága eszközök kellenek hozzá, hanem néhány őszinte válasz, még a bevezetés előtt.
Mihez fér hozzá pontosan az ügynök? Írjátok le tételesen, milyen adatokhoz és milyen műveletekhez van joga. Ha a lista hosszabb, mint a feladathoz feltétlenül szükséges, szűkítsétek.
Mely műveletek visszafordíthatatlanok? Ezeknél legyen kötelező emberi jóváhagyás. Egy elküldött email, egy törölt rekord, egy pénzmozgás nem vonható vissza egy bocsánatkéréssel.
Látjuk, mit csinál? Ha egy incidens után nem tudjátok rekonstruálni az ügynök lépéseit, akkor vakon repültök. A naplózás nem extra funkció, hanem alapfelszerelés.
Ki és hogyan állítja le? Legyen név szerinti felelős és technikai leállítási mód, ami munkaidőn kívül is működik. Ha erre a kérdésre csönd a válasz, az ügynök még nem áll készen.
Mi történik, ha téved? Játsszátok végig a legrosszabb esetet, mielőtt bekövetkezik. Amit előre végiggondoltok, azt élesben már nem kell pánikban kitalálni.
Ötven fölötti AI bevezetési projekt után azt látom, hogy nem a technológia a szűk keresztmetszet. Az ügynökök képességei rendben vannak. A különbség azon múlik, hogy egy szervezet meg meri-e állítani a saját eszközét, amikor kell. Aki erre a kérdésre magabiztos igent tud mondani, az nyugodtan skálázhat. Aki nem, annak nem több ügynökre van szüksége, hanem egy leállítógombra.
Segíthetek a vállalatodat AI-ra felkészíteni?
Ha AI ügynököt vezetnél be, és biztos akarsz lenni benne, hogy baj esetén meg tudod fogni, nézzük át együtt a jogosultságokat, a naplózást és a leállítási folyamatot. Keress meg.