Większość uczelni nie podjęła decyzji o przyjęciu AI; ono po prostu się pojawiło. Kadra redaguje z jego pomocą, studenci kodują z nim, grupy badawcze podłączają agentów do współdzielonych kont laboratoryjnych i danych wydziałowych, a centralny dział IT dowiaduje się o tym po fakcie. Badania EDUCAUSE (2025) opisują tę lukę wprost: korzystanie z AI jest dziś powszechne wśród kadry i pracowników szkolnictwa wyższego, podczas gdy formalny ład AI i pokrycie zasadami dopuszczalnego użytkowania pozostają w tyle. Zasada, której nikt nie widzi i której nic nie egzekwuje, nie jest mechanizmem kontroli — to plik PDF.
Ta luka nie jest charakterystyczna wyłącznie dla uczelni, ale to uczelnia ją wyostrza. Konta są współdzielone z założenia. Rzetelność badawcza zależy od wiedzy o tym, co czego dotknęło. A osoby, które najbardziej chce się wspierać — badacze — to dokładnie te, które zbyt nachalna kontrola popchnęłaby ku narzędziom z szarej strefy (shadow tooling).
Problem, konkretnie
Na uczelnianej sieci zwykle prawdziwe są jednocześnie trzy rzeczy:
- Zasady dopuszczalnego użytkowania istnieją, ale nie są egzekwowane. Istnieje reguła, których systemów AI może dotykać i co może robić. Nic nie przekształca tej reguły w decyzję w momencie, gdy agent próbuje działać.
- Współdzielone konta wymazują atrybucję. Agenci laboratorium działają jako jedno konto serwisowe za pulą połączeń (connection pool). Natywny audyt przypisuje dostęp tym poświadczeniom — a nie osobie ani agentowi, który faktycznie go wykonał.
- Badacze muszą działać szybko. Chcą wypróbować nowego agenta na w miarę realistycznych danych już dziś, a nie zgłaszać ticket i czekać. Jeśli ład to bramka, przez którą muszą się przebłagać, omijają ją.
To ten sam kształt problemu, w który uderza szerszy rynek. Spośród organizacji, które doświadczyły naruszenia związanego z AI, około 97% nie miało odpowiednich mechanizmów kontroli dostępu do AI (IBM Cost of a Data Breach 2025, Ponemon), a Gartner przewiduje, że do końca 2027 roku ponad 40% projektów agentowej AI zostanie anulowanych — w dużej mierze z powodu długu w obszarze ładu. Wersja uczelniana jest tańsza do naprawienia wcześnie, póki agentów jest niewielu, a promień rażenia (blast radius) mały.
Jak pomaga Olivares AI
Olivares AI to otwarta, hostowalna samodzielnie platforma, która wykrywa agentów AI w Państwa infrastrukturze, mapuje, co każdy z nich może odczytywać i zapisywać, oraz pozwala zarządzać tym dostępem i go audytować. Działa w trybie read-first: obserwuje i rejestruje poza pasmem (out of band), zanim cokolwiek zbramkuje, a tam, gdzie bramkuje, jest deny-closed. Dla uczelni oznacza to, że można zacząć od zobaczenia prawdy — i dopiero wtedy zdecydować, co egzekwować.
Egzekwuj zasady dopuszczalnego użytkowania, deny-closed
Warstwa ładu zamienia AUP w politykę, która wytwarza decyzję. Jej silnik ABAC działa po kontroli dostępu opartej na rolach i może jedynie dalej ograniczać: odmawia, gdy dopasuje się reguła odmowy, w przeciwnym razie obowiązuje istniejąca decyzja, a źle sformułowana polityka zawodzi w trybie zamkniętym (fail closed), a nie otwartym. Dzięki temu reguła w rodzaju „żaden agent AI nie może zapisywać do systemu ocen” lub „agenci środowiska testowego nie mogą sięgać do SIS” staje się egzekwowaną odmową, a nie notatką służbową.
Bądźmy precyzyjni co do tego, co dopasowuje wersja v1. Reguły odmowy dziś bazują na podmiocie (principal), uprawnieniu/czasowniku oraz zasobie — atrybutach, które faktycznie docierają do ewaluatora. Reguły rozgałęziające się ze względu na wrażliwość zasobu (np. „wszystko oznaczone FERPA”) wymagają szwu atrybutu zasobu, który jest udokumentowanym działaniem następczym, jeszcze nie wdrożonym. Tam, gdzie potrzebny jest człowiek w pętli, platforma rejestruje żądanie zatwierdzenia oraz ślad decyzyjny tylko-do-dopisywania (append-only), tak by na pytanie „kto zatwierdził dostęp tego agenta do tego zbioru danych” dało się odpowiedzieć później.
Zobacz /docs/concepts/governance, aby poznać model read-first, deny-closed oraz to, gdzie aktuacja jest aktywna (live), a gdzie na żądanie (on-demand).
Przypisuj, kto co zrobił, w obrębie współdzielonych kont
To kluczowa, nośna zdolność dla uczelni. Mapa dostępu rejestruje, z uczciwymi poziomami pewności, który agent odczytuje lub zapisuje który zasób oraz czy ten dostęp jest dozwolony, czy jedynie zaobserwowany. Ład tożsamości (/product/identity) wiąże agenta z kanoniczną tożsamością, którą prezentują jego poświadczenia, tak by dostęp można było pewnie przypisać.
Reguła uczciwości ma tu znaczenie większe niż gdziekolwiek indziej: atrybucja jest pewna tylko wtedy, gdy do dostępu propagowana jest tożsamość per agent lub per sesja. Gdy kilku agentów działa jako jedno współdzielone konto laboratoryjne za pulą połączeń, atrybucja sprowadza się do tej jednej tożsamości — a produkt to sygnalizuje, ujawniając współdzielone powiązanie jako ustalenie w obszarze ładu, zamiast zgadywać osobę. Tożsamość powiązana z więcej niż jednym agentem jest oznaczana, a nie zamiatana pod dywan. Środkiem zaradczym jest działanie operacyjne: propagować tożsamość per agent (na przykład do nazwy aplikacji w połączeniu), a atrybucja staje się ostrzejsza. Nie wydrukujemy nazwiska, którego sygnały nie są w stanie poprzeć.
Zarządzane środowiska testowe (sandbox) dla badaczy
Badacze otrzymują izolowane, efemeryczne wykonywanie scenariuszy agentowych względem zamockowanych zasobów — nie produkcyjnych. Domyślny runner środowiska testowego jest izolowany z konstrukcji: nie trzyma żadnego uchwytu do Państwa magazynu, sieci ani sekretów, a krok, który prosi o zasób niezamockowany w scenariuszu, zwraca deterministyczny znacznik nietrafienia mocka (mock-miss), zamiast sięgać do czegokolwiek realnego. Przebiegi są efemeryczne; każdy z nich rejestruje rzeczywisty runner oraz to, czy był izolowany, tak by zdegradowany backend był widoczny, a nigdy ukryty. Silniejsza izolacja na poziomie systemu operacyjnego (utwardzony kontener lub microVM) to wpinany (pluggable) backend, który operator hostujący samodzielnie podłącza.
Daje to laboratorium bezpieczne miejsce do wypróbowania nowego agenta, zanim w ogóle dotknie on realnych danych — i właśnie tak utrzymuje się szybko poruszających się badaczy w ramach ładu, zamiast pozwalać im go omijać. Dla agentów, które faktycznie zarządzają realnymi systemami, bramkowana zgodą, defensywna bateria red-team (wstrzykiwanie promptów, obejście zabezpieczeń, eksfiltracja) może badać odporność agenta, oceniana względem OWASP Top 10 for Agentic Applications. Działa wyłącznie wobec agentów, których są Państwo właścicielami i które zostały autoryzowane — to zestaw testów, a nie narzędzie ofensywne.
Dowody na rzecz rzetelności badawczej i audytów
Ewaluacje oceniają wyniki kandydujących agentów względem wersjonowanych zestawów wzorcowych (golden suites) — przydatne, gdy grupa badawcza potrzebuje powtarzalnego zapisu, że agent spełnił dane kryterium, przebieg za przebiegiem. System oceniający (judge) jest uczciwy: jeśli nie podłączono żadnego backendu oceniającego, przebieg jest rejestrowany jako pominięty (skipped), nigdy jako ciche zaliczenie, a surowe wyniki nigdy nie są utrwalane — jedynie jednokierunkowy skrót (hash) oraz oczyszczona etykieta. Zobacz /product/evals.
Dla instytucji warstwa zgodności (compliance) (/product/compliance) agreguje obserwacje i audyty platformy w zapieczętowany pakiet dowodowy tylko-do-dopisywania (append-only), zakotwiczony w rejestrze połączonym łańcuchem skrótów (hash-chained ledger). Mechanizm kontroli z popierającymi go dowodami jest oznaczany jako spełniony; ten bez dowodów — jako luka (gap), nigdy jako sfałszowane zaliczenie. To techniczne odwzorowanie na ramy takie jak EU AI Act i ISO/IEC 42001 — nie jest to porada prawna, a produkt nie rości sobie prawa do certyfikacji.
Czym to jest — a czym nie
- Jest otwartą, hostowalną samodzielnie warstwą ładu i obserwacji dla AI w Państwa infrastrukturze. Płaszczyzna sterowania (control plane) może działać offline / air-gapped na Państwa własnym sprzęcie, więc dane o atrybucji i polityce nigdy nie opuszczają uczelni.
- Działa w trybie read-first i deny-closed. Obserwuje i zarządza szeroko; nie aktuuje szeroko. Tam, gdzie może podjąć działanie, ta powierzchnia jest aktywna (live), na żądanie (on-demand) lub zadeklarowanym szwem — a katalog modułów oznacza, która jest którą.
- Jest w wersji pre-1.0. Katalog liczy 23 moduły, z czego mniej więcej 20 jest podłączonych; część powyższych zdolności jest obecna, część na żądanie, część to udokumentowane działania następcze. Oznaczamy, która jest którą.
- Nie uruchamia Państwa modeli i nie jest inferencją air-gapped. Air gap dotyczy płaszczyzny sterowania (control plane). Offline działają wyłącznie modele hostowane samodzielnie (vLLM, Ollama); modele hostowane, takie jak Claude, nie.
- Nie jest certyfikacją. Brak certyfikacji SOC 2 / ISO / EU AI Act — odwzorowanie zgodności jest „projektowane pod” te ramy i wytwarza dowody, a nie pieczęć. Zobacz /security, aby poznać postawę bezpieczeństwa, oraz /docs/concepts/governance, aby poznać model ładu.
Adopcja jest powszechna; to nadzór pozostaje w tyle (EDUCAUSE, 2025). Uczciwym punktem wyjścia jest zobaczyć, czego już dotyka Państwa AI, zdecydować, co może robić, i to udowodnić — w tej kolejności.