Agent AI to zagrożenie. Badanie MIT ujawnia luki

Autonomiczne agenty sztucznej inteligencji, obiecujące rewolucję w automatyzacji zadań, stają przed poważnym wyzwaniem: brakiem podstawowych zabezpieczeń i przejrzystości. Najnowsze, obszerne badanie przeprowadzone przez naukowców z Massachusetts Institute of Technology, Uniwersytetu Cambridge oraz innych prestiżowych uczelni ujawnia niepokojące luki w projektowaniu i dokumentacji tych systemów. Analiza 30 popularnych rozwiązań pokazuje, że branża powszechnie ignoruje kwestie odpowiedzialnego ujawniania ryzyk, monitorowania działań agentów oraz zapewniania użytkownikom realnej kontroli.

Krytyczny brak przejrzystości i ujawnień

Głównym wnioskiem z raportu „The 2025 AI Index: Documenting Sociotechnical Features of Deployed Agentic AI Systems” jest ekstremalna trudność w ocenie, co może pójść nie tak podczas korzystania z agentów AI. Problem ten wynika bezpośrednio z polityki developerów, którzy nie udostępniają kluczowych informacji. Zespół pod kierownictwem Leona Stauffera z Uniwersytetu Cambridge wskazał na uporczywe braki w raportowaniu zarówno cech ekosystemu, jak i kwestii bezpieczeństwa.

Czego twórcy nie ujawniają?

Analiza objęła osiem różnych kategorii informacji, które powinny być publicznie dostępne. W większości z nich producenci systemów agentowych nie zapewniają żadnych danych. Luki te obejmują między innymi brak komunikowania potencjalnych zagrożeń, nieinformowanie o przeprowadzonych testach bezpieczeństwa przez strony trzecie oraz brak wyników benchmarków wydajności. W praktyce oznacza to, że przedsiębiorstwa i użytkownicy indywidualni wprowadzają do swoich procesów „czarną skrzynkę”, której pełnych możliwości i słabości nie znają.

Problem z identyfikacją i monitoringiem

Kolejnym alarmującym odkryciem jest brak narzędzi do śledzenia działań agenta. Dla wielu korporacyjnych rozwiązań nie jest jasne, czy w ogóle istnieje możliwość monitorowania poszczególnych „śladów” wykonania, czyli dokładnego odtworzenia sekwencji podejmowanych przez AI kroków. Ponadto, aż dwanaście z trzydziestu przeanalizowanych agentów nie oferuje monitorowania zużycia zasobów lub informuje użytkownika dopiero po przekroczeniu limitu. To poważny problem dla firm, które muszą planować budżety i zarządzać infrastrukturą IT.

„Większość agentów nie ujawnia domyślnie swojej AI-natury końcowym użytkownikom ani stronom trzecim” – podkreślili autorzy raportu.

Oznacza to, że agenci często nie identyfikują się jako boty podczas interakcji w sieci, na przykład nie respektują plików „robots.txt” na stronach internetowych, ani nie znakują w żaden sposób wygenerowanych treści. Stwarzają tym samym ryzyko dezinformacji i utrudniają odróżnienie działania automatu od aktywności człowieka.

Brak hamulców awaryjnych i konkretne przypadki

Jedną z najbardziej niepokojących praktyk jest brak dokumentowanych opcji natychmiastowego zatrzymania działania agenta. Dotyczy to takich systemów jak MobileAgent od Alibaby, Breeze od HubSpot, watsonx od IBM czy automatyzacji od n8n. W niektórych platformach przedsiębiorstw jedyną opcją jest zatrzymanie wszystkich agentów naraz lub wycofanie całej wdrożonej usługi. W scenariuszu, w którym pojedynczy agent zaczyna podejmować szkodliwe lub kosztowne działania, taka nieelastyczność może prowadzić do poważnych strat.

Przykład pozytywny: ChatGPT Agent

Nie wszystkie analizowane systemy wypadają źle. Autorzy wskazali ChatGPT Agent od OpenAI jako pozytywny przykład pod jednym kluczowym względem. Jest to jedyny agent w badaniu, który zapewnia mechanizm śledzenia swoich zachowań w sieci poprzez kryptograficzne podpisywanie wysyłanych żądań przeglądarkowych. Pozwala to na lepszą identyfikację i audyt działań automatu.

Przykład negatywny: Przeglądarka Comet od Perplexity

Zupełnym przeciwieństwem jest przeglądarka Comet firmy Perplexity. Badacze stwierdzili, że nie ma ona żadnych udokumentowanych, specyficznych dla agenta ocen bezpieczeństwa, testów stron trzecich ani ujawnionych wyników benchmarków. Firma nie przedstawiła metodologii ani rezultatów ewaluacji bezpieczeństwa dla Comet. Brakuje również udokumentowanych podejść do izolacji (sandboxing) poza podstawowymi zabezpieczeniami przed iniekcją promptów. Co więcej, Perplexity stało się przedmiotem pozwu Amazona, który zarzuca przeglądarce przedstawianie się serwerom jako człowiek, a nie bot.

Mieszana ocena: HubSpot Breeze

Agenty Breeze od HubSpot otrzymały mieszaną recenzję. Z jednej strony, narzędzia te posiadają certyfikaty zgodności z kluczowymi standardami regulacyjnymi, takimi jak SOC2, RODO (GDPR) czy HIPAA. Z drugiej jednak strony, HubSpot nie dostarcza żadnych informacji na temat testów bezpieczeństwa. Firma twierdzi, że agenci Breeze byli oceniani przez zewnętrzną firmę bezpieczeństwa PacketLabs, ale nie ujawnia metodologii, wyników ani szczegółów dotyczących samej jednostki testującej. Taka praktyka „deklarowania zgodności bez ujawniania rzeczywistych ewaluacji bezpieczeństwa” jest, zdaniem autorów, typowa dla platform korporacyjnych.

Odpowiedzialność spoczywa na twórcach

Raport koncentruje się na analizie dokumentacji, a nie na testowaniu incydentów w rzeczywistym środowisku. Nie pokazuje zatem pełnego zakresu szkód, które mogą wynikać z wykrytych luk. Jedno jest jednak pewne: agenci AI nie są samodzielnymi bytami, ale produktami stworzonymi przez konkretne zespoły developerskie i firmy. To na nich – na OpenAI, Anthropic, Google, Perplexity i innych – spoczywa odpowiedzialność za odpowiednie dokumentowanie oprogramowania, przeprowadzanie audytów bezpieczeństwa oraz dostarczanie użytkownikom skutecznych narzędzi kontroli.

Autorzy badania przez cztery tygodnie starali się uzyskać informacje zwrotne od firm, których oprogramowanie analizowali. Odpowiedziało około jednej czwartej, ale tylko trzy z trzydziestu przysłały merytoryczne komentarze, które zostały włączone do raportu. Brak zaangażowania ze strony większości producentów potwierdza problem niskiego priorytetu, jaki nadają oni kwestiom przejrzystości. Badacze przewidują, że wyzwania związane z zarządzaniem i kontrolą agentów będą się tylko pogłębiać w miarę wzrostu ich możliwości.

Perspektywy dla autonomicznej AI

Obecny krajobraz agentów AI, często budowanych na wąskiej grupie zamkniętych, zaawansowanych modeli (GPT, Claude, Gemini), charakteryzuje się fragmentacją i brakiem ustandaryzowanych praktyk. Badanie MIT i Cambridge stanowi wyraźne wezwanie do działania dla całej branży. Jeśli developerzy sami nie podejmą kroków w celu naprawy zidentyfikowanych poważnych luk – poprzez jawność, inwestycje w bezpieczeństwo i projektowanie z myślą o kontroli – nieuchronnie doprowadzi to do zaostrzenia regulacji prawnych. Dalszy rozwój autonomicznej sztucznej inteligencji wymaga fundamentu zbudowanego na zaufaniu, a to z kolei jest niemożliwe bez podstawowej przejrzystości i odpowiedzialności tych, którzy te narzędzia tworzą.