Schimbarea Arhitecturală Necessară pentru Guvernarea Agenților AI

AI nu mai este doar un chatbot care generează text. În medii enterprise, agenții AI efectuează acțiuni precum recuperarea datelor sensibile, declanșarea fluxurilor de lucru, apelarea unor instrumente și înregistrarea activității în sistem. Autonomia schimbă întregul discurs privind guvernanța; controalele și procedurile inițial proiectate pentru utilizatori umani și aplicații tradiționale nu au fost create pentru a guverna software-ul care poate executa acțiuni multietapă la runtime.

Riscul nu este teoretic. Lacune mici în ceea ce privește vizibilitatea, controlul accesului și auditabilitatea pot compune rapid, transformându-se în eșecuri la runtime care sunt dificil de detectat și și mai greu de inversat.

Pentru a ține pasul cu această nouă eră, guvernarea agenților AI nu poate fi realizată prin adăugarea de documente de politică suplimentare. Acest lucru necesită guvernare prin design: o abordare arhitecturală în care controalele sunt încorporate în planul de control și impuse continuu la runtime. Dacă agenții vor acționa ca colegi digitali, ei trebuie să moștenească aceleași garduri de protecție ale întreprinderii ca și oamenii, plus o supraveghere mai puternică la runtime.

De ce guvernarea se întrerupe în era convergenței

Arhitectura întreprinderii a intrat într-o eră de convergență. Datele și sarcinile de lucru se întind acum pe multiple clouduri, centre de date private și medii edge.

Există organizații care rulează platformele lor în sisteme paralele, deoarece au multiple procese de gestionat simultan. Acest lucru include sisteme de identitate separate, conducte de înregistrare, cataloage și procese aprobate. Rezultatul este ceea ce unii numesc o “platformă Frankenstein”, unde supraîncărcarea integrării crește odată cu fiecare instrument sau mediu cloud nou. Într-adevăr, această fragmentare se manifestă în realitatea de zi cu zi.

Conform unui sondaj recent, 47% dintre respondenți menționează cerințele de acces complicate și procesele, iar 44% menționează lipsa de vizibilitate în ceea ce privește locul în care se află datele ca bariere în utilizarea eficientă a datelor.

Acesta este exact locul în care agenții expun cusăturile dintre sisteme.

Pentru a răspunde la o întrebare de business, un agent poate trebui să extragă date dintr-un sistem ERP on-premises, un CRM cloud, telemetrie operațională într-un alt cloud și documente într-un pachet de colaborare. Dacă organizația aplică politica diferit în fiecare loc, agentul va eșua sau, mai rău, va reuși în moduri pe care nu le puteți explica sau controla.

Acesta este momentul în care liderii întreprinderilor trebuie să acorde atenție. Agenții impun o bară mai înaltă care cere consistență pe parcursul mediilor și răspundere la runtime.

Guvernarea, din acest motiv, este adusă în lumina reflectoarelor de către regulatori și agenții de securitate. Un exemplu în acest sens este NIST AI Risk Management Framework, care subliniază gestionarea riscului pe parcursul întregului ciclu de viață al AI, nu doar la momentul construirii. Acesta este un reminder că conformitatea și încrederea sunt responsabilități operaționale, nu doar liste de verificare ocazionale.

De la politică la platformă

Guvernarea prin design înseamnă că guvernarea călătorește cu sarcina de lucru, și nu este reimplementată în fiecare siloz.

În practică, acest lucru depinde de trei blocuri de construcție:

• Un plan de control unificat

Un loc în care să definiți și să impuneți identitatea, accesul, politica, cataloagele și împuternicirile pe parcursul cloudurilor și centrelor de date.

Scopul este să scrieți politici o singură dată și să le impuneți oriunde rulează datele și modelele, și nu să reconstruiți sistemele de control sistem după sistem. Acest lucru prevenționează deriva comportamentului agentului, în care același agent se comportă în siguranță într-un mediu, dar periculos în altul.

Un test practic este simplu: dacă un utilizator nu are acces la o coloană, verificați dacă un agent care acționează în numele său nu are acces la aceasta. Acest lucru ar trebui să indice dacă politicile scrise sunt impuse pe parcursul planului.

• Un material de date bazat pe standarde deschise

Agenților le este necesar context pentru a opera. Când acest context este răspândit pe structuri diferite deținute de echipe diferite, un material de date ajută la standardizarea semanticilor și a modelelor de acces, astfel încât agenții să nu trebuiască să învețe un set nou de reguli pentru fiecare set de date.

Formatele de tabel deschise, precum Apache Iceberg, susțin acest lucru, permițând multiple motoare să partajeze aceleași date guvernate fără a le copia într-un nou siloz. Acest lucru este important, deoarece duplicarea datelor este locul în care guvernarea de obicei eșuează. Odată ce echipele încep să copieze “doar ceea ce are nevoie agentul”, ați creat un mediu nou, mai puțin guvernat.

Dacă agenții pot opera pe parcursul seturilor de date fără a introduce noi lacune de permisiune, guvernarea funcționează așa cum este intenționată.

• Observabilitate și linaj în timp real

Agenții sunt guvernabili doar dacă puteți vedea ce fac ei la runtime.

Observabilitatea aici nu este doar un “nice-to-have”, ci este fundamentul pentru controalele la runtime și răspunsul la incidente.

În mod specific, trebuie să existe o dovadă de la cap la coadă a acțiunilor agenților. Agenții ar trebui să poată dovedi acțiuni, cum ar fi care date au fost accesate și care instrumente au fost apelate, și de acolo, linajul poate conecta ieșirile înapoi la intrări. Acest lucru permite echipelor să auditeze aceste decizii și să depanajeze eșecurile, dacă este necesar, demonstrând astfel conformitatea generală.

Tratați agenții ca “colegi digitali”

Una dintre cele mai utile modele mentale este tratarea agenților ca colegi digitali.

Iată o comparație care explică acest lucru: la fel cum angajații au ecusoane de acces care le permit intrarea în anumite clădiri și încăperi, dar nu și în altele, guvernarea permite agenților să aibă acces cu restricții. O adăugare cheie este că agenții trebuie să fie conștienți de situație în ceea ce privește ceea ce li se permite să dezvăluie.

Considerați un agent de suport. Acesta poate avea nevoie să acceseze cazuri de suport anterioare pentru a rezolva o problemă, dar nu poate divulga detalii private ale altui client în timp ce face acest lucru. Altfel spus, agentul poate utiliza cunoștințe restricționate pentru a raționa, dar totuși trebuie să impună limite de divulgare. Acesta nu este un “problema de scriere a prompturilor” pe care am știut istoric cum să o navigăm; în schimb, este o problemă de identitate și de impunere la runtime.

Ce se schimbă în 2026: agenții trec de la experimente la producție

2026 este anul în care experimentele se încheie, și agenții iau locul în producție.

Acest schimb forțează întreprinderile să opereze la două viteze. Una este viteza de inovare, în care echipele testează noi modele, instrumente și fluxuri de lucru ale agenților pentru a obține un avantaj competitiv. Și cealaltă este viteza de securitate, în care sistemele trebuie să îndeplinească cerințele de conformitate și operaționale, care pot include controale de acces stricte și puncte oarbe.

Fără o guvernare arhitecturală stabilită, aceste două viteze vor intra în conflict.

Dacă echipele deployează acești agenți înainte de a fi guvernați, va exista o abordare de control și eșecuri operaționale. Și dacă se întâmplă contrariul, veți obține un mod de eșec în care securitatea blochează totul, și inovarea se mută în IT-ul din umbră, subminând guvernarea.

Obiectivul nu este să alegeți o viteză. Este să construiți o arhitectură care să susțină ambele.

O listă de verificare practică pentru guvernarea agenților la runtime

• Dacă construiți sau scalați agenți, este imperativ să vă întrebați următoarele întrebări pentru a descoperi dacă guvernarea este cu adevărat arhitecturală: Puteți explica, de la cap la coadă, ce date a accesat un agent pentru a produce un răspuns sau a efectua o acțiune?
• Sunt deciziile de acces consistente pe parcursul mediilor hibride, sau diferă ele de la o platformă la alta?
• Aveți telemetrie pentru acțiunile agenților, incluzând apeluri de instrumente, verificări de politică și escaladări umane?
• Puteți limita, opri sau carantina un agent la runtime dacă se comportă neașteptat?
• Aveți un plan de monitorizare post-deploy care se aliniază cu obligațiile dvs. regulatorii și apetitul pentru risc?

Dacă nu puteți răspunde la acestea, tratați implementarea dvs. de agent ca pe un incident de producție care așteaptă să se întâmple.

Schimbarea guvernării trebuie să fie arhitecturală, sau altfel nu există

Agenții vor deveni o parte standard a operațiunilor întreprinderii. Întrebarea este dacă vor deveni o parte de încredere a operațiunilor întreprinderii.

Dacă agenții nu sunt guvernați cel puțin la fel de încrezător ca oamenii și software-ul critic pentru misiune, consecințele vor fi reale. Vom vedea aceste repercusiuni în scurgeri de date, eșecuri de conformitate, întreruperi operaționale și pierderea încrederii în programele AI.

Liderii trebuie să înceteze să trateze guvernarea agenților ca pe un exercițiu de documentare. Pe măsură ce capacitățile platformei se extind, guvernarea agenților ar trebui să fie una dintre acestea care să preia supravegherea altor roluri. Acest lucru înseamnă încorporarea controalelor în planul de control, făcând acțiunile observabile și deciziile auditable. Și apoi să scalați.

Acesta este modul în care obțineți agenți care se mișcă rapid fără a strica întreprinderea.