Problem: nie da się zarządzać tym, czego nie widać
Agenci już tam są. Asystent programisty z poświadczeniem do bazy danych, wewnętrzna usługa RAG, która po cichu uzyskała dostęp do zapisu w magazynie obiektowym, zaplanowane zadanie wywołujące serwer MCP, którego nikt nie zarejestrował. Zostali udostępnieni przez zespoły działające w pośpiechu, a organizacja ds. bezpieczeństwa dziedziczy zasięg potencjalnych szkód, nigdy nie widząc mapy. Analitycy mają nazwę dla tego zjawiska — rozrost agentów — a leżąca u jego podstaw luka w zarządzaniu jest mierzalna.
Spośród organizacji, które ucierpiały z powodu naruszenia związanego z AI, około 97% nie posiadało odpowiednich mechanizmów kontroli dostępu AI (IBM Cost of a Data Breach 2025, Ponemon). To nie jest opowieść o dojrzałości narzędzi; to brak powierzchni kontroli. Jednocześnie Gartner oczekuje, że ponad 40% projektów agentowej AI zostanie anulowanych do końca 2027 roku, oraz prognozuje, że „agenci strażniczy” będą stanowić 10–15% rynku agentowej AI do 2030 roku (Gartner, materiały prasowe) — rynek wycenia fakt, że nienadzorowani agenci nie przetrwają zderzenia z rzeczywistym przeglądem bezpieczeństwa.
Wzorzec ten jest szerszy niż zespoły ds. bezpieczeństwa. We wstępnym, jeszcze nierecenzowanym badaniu, około 95% pilotaży GenAI nie wykazało mierzalnego wpływu na rachunek zysków i strat (P&L), a narzędzia kupowane zewnętrznie osiągały sukces około dwa razy częściej niż rozwiązania budowane wewnętrznie (MIT „GenAI Divide”, projekt NANDA, za Fortune, sierpień 2025 — wstępne). Niezależnie od przyczyny, środowisko pełne agentów, za których nikt nie może odpowiadać, to dokładnie ten warunek, w którym kumulują się zarówno ryzyko naruszenia, jak i ryzyko zmarnowanego pilotażu.
To czysto odwzorowuje się na ujęcie AI TRiSM — zarządzanie zaufaniem, ryzykiem i bezpieczeństwem AI — w którym zarządzanie i inspekcja w czasie wykonywania występują jako odrębne warstwy. Olivares AI został zbudowany, aby być tą warstwą, która wykrywa, obserwuje i zarządza dostępem agentów, i jest uczciwy co do tego, gdzie to się kończy.
Co Olivares AI daje liderowi ds. bezpieczeństwa
Typowana mapa dostępu odczyt/zapis jako powierzchnia kontroli
Mapa dostępu modeluje każdego agenta jako węzeł oraz każdy zasób, do którego może on dotrzeć — bazy danych, magazyny obiektowe, serwery MCP, API, kolejki — jako węzeł, gdzie każda krawędź jest typowana R (odczyt) lub RW (odczyt-zapis). To typowanie R kontra RW jest sednem sprawy: odejście od zasady najmniejszych uprawnień (least-privilege drift) oraz zasięg szkód w razie incydentu są funkcjami dostępu do zapisu, a nie samej łączności, a płaska lista „ma dostęp” ukrywa dokładnie to. To rozpoznanie dla obrońców — ta sama mapa, której chciałby atakujący, zbudowana dla ludzi broniących środowiska.
Odczytanie pełnego grafu jest celowo czynnością uprzywilejowaną, ograniczoną do zakresu najemcy (tenant) i w pełni audytowaną, ponieważ kompletna mapa tego, do czego może dotknąć każdy agent, sama w sobie jest planem rozpoznania. Mapa przechowuje relację — punkt początkowy, zasób, R/RW, źródło sygnału, poziom ufności, znaczniki czasu — i nigdy nie przechowuje ładunków, treści zapytań SQL, sekretów ani danych osobowych (PII), które przepłynęły przez krawędź. To, co nie jest przechowywane, nie może wyciec.
Uprawnione kontra zaobserwowane: różnica, która staje się ustaleniem
Każda krawędź niesie dwa niezależne fakty: czy dostęp jest uprawniony (zezwala na to nadanie lub zasada) oraz czy został zaobserwowany (telemetria i natywny audyt pokazują, że to się dzieje). Różnica między tymi dwiema warstwami jest sygnałem kontrolnym:
- Nieoczekiwany dostęp — zaobserwowany, lecz nieuprawniony. Agent dotknął czegoś, czego nie obejmuje żadne nadanie. To jest istotny z punktu widzenia bezpieczeństwa nagłówek.
- Niewykorzystane nadania — uprawnione, lecz nigdy niezaobserwowane. Twoja konkretna lista do oczyszczenia wedle zasady najmniejszych uprawnień, a nie mgliste przypomnienie „przejrzyj swój IAM”.
Różnica jest celowo zachowawcza. Tam, gdzie platforma nie może jeszcze pewnie
powiązać działającego poświadczenia z agentem, dla którego napisano nadanie,
krawędź jest oznaczana jako reconciliation_pending — uczciwa niepewność, nigdy
zmyślone naruszenie. Zobacz uprawnione kontra
zaobserwowane, aby poznać pełny kontrakt
uzgadniania.
Wierność, która nie blefuje
Narzędzie bezpieczeństwa, które przecenia to, co wie, jest gorsze niż jego brak.
Każda krawędź niesie dwie uczciwe osie. Pokrycie klasyfikacji R/RW jest
warstwowane clean | lossy | opaque — clean tam, gdzie natywny audyt czyni to
jednoznacznym (Postgres przez pgAudit, magazyn obiektowy przez CloudTrail,
hurtownie danych, plus zabezpieczenie awaryjne na poziomie jądra oparte na eBPF),
aż po magazyny opaque (Redis, SQLite, D1), gdzie tryb jest oznaczany jako
unknown, a nie zgadywany. Atrybucja jest firm tam, gdzie sygnał tożsamości
przypisany do konkretnego agenta rozwiązuje dostęp do jednego agenta, oraz
approximate tam, gdzie współdzielone konto usługowe ukrywa, który agent
zadziałał. Krawędź clean/firm i krawędź słabo obserwowana nigdy nie są
przedstawiane jako równie pewne — przeczytaj model
wierności.
Zarządzanie w modelu domyślnej odmowy, podwójna kontrola i wyłącznik awaryjny
Zarządzanie jest oparte na odczycie i działa w modelu domyślnej odmowy. Rdzeń autoryzacji domyślnie odmawia i jest ograniczony do zakresu najemcy (tenant), z założenia zamykając klasy podatności typu confused deputy oraz IDOR. Każda zasada oparta na atrybutach, którą podłączysz na wierzchu, może jedynie dalej ograniczać — kompozycja jest przecięciem, więc zasada nigdy nie może rozszerzyć nadania.
Tam, gdzie produkt bramkuje czynność, pętla wygląda tak: powierzchnia prezentuje
(dryf, ustalenie) → uprawniony operator decyduje → decyzja jest rejestrowana.
Silnik zatwierdzania egzekwuje rozdzielenie obowiązków (wnioskodawca nie może
zdecydować o własnym wniosku) oraz zabezpieczenie przed powtórnym decydentem,
oparte na stabilnej tożsamości człowieka — token systemowy nie ma tożsamości i nie
może decydować. Czynność critical niesie obowiązkowy próg dwóch osób
zaczerpnięty z NIST SP 800-53 AC-3(2), egzekwowany zarówno przy tworzeniu, jak i
ponownie wyprowadzany przy decydowaniu, tak aby nawet zasada operatora obniżająca
poziom nie mogła sprawić, że czynność krytyczna stanie się jednoosobowa.
Audytowany zawór break-glass istnieje na wypadek incydentu o 03:00 — z
założenia głośny, wymagający podniesionego uwierzytelnienia sprzętowego,
ograniczony czasowo i wymuszający przegląd po fakcie.
Wyłącznik awaryjny to bramka odmowy obejmująca całe środowisko. Włączenie jest celowo tanie (poziom administratora, powód, brak kworum), ponieważ zatrzymanie, które czeka na konsensus, nie jest zatrzymaniem; każda zarządzana bramka uruchomienia konsultuje wiersz zatrzymania na żywo i zawodzi w stronę zamknięcia w razie błędu odczytu. Ponowne włączenie nigdy nie jest jednostronne — jest bramkowane świeżym zatwierdzeniem w trybie podwójnej kontroli i nie ma ścieżki break-glass, ponieważ „środowisko pozostaje zatrzymane” jest stanem bezpiecznym.
Dowody odporne na manipulacje
Każda czynność modyfikująca jest dołączana do dziennika audytu tylko do dopisywania, łączonego skrótami (hash-chained) w tej samej transakcji co zmiana, z rzeczywistym podmiotem działającym; wrażliwe odczyty same się audytują w zatwierdzonym zapisie. Przepisanie historii jest wykrywalne, a dziennik nigdy nie zawiera danych osobowych (PII). Moduł zgodności odwzorowuje te dowody z czasu wykonywania na ramy kontrolne, tak aby ocena była zasilana zaobserwowaną rzeczywistością, a nie kwestionariuszem.
Czym to jest — a czym nie jest
- Hostowane samodzielnie i suwerenne. Warstwa kontroli działa na Twojej własnej infrastrukturze i może działać w trybie air-gapped. Olivares AI to otwarta, hostowana samodzielnie platforma (AGPL-3.0). Zobacz model bezpieczeństwa i architekturę.
- Domyślnie detekcyjne; w modelu domyślnej odmowy tam, gdzie działa. Obserwuje i zarządza szeroko; nie uruchamia szeroko. Tam, gdzie może podjąć czynność, ta powierzchnia jest na żywo, na żądanie lub stanowi zadeklarowane spojenie — a katalog modułów wskazuje, które. Brak egzekwowania jest zwykle zamierzony.
- Wersja przed 1.0, z opublikowanym katalogiem 23 modułów (około 20 podłączonych obecnie). Nie wszystko jest aktywne; mówimy, co jest czym, zamiast sugerować pełne pokrycie.
- Air-gap dotyczy warstwy kontroli Olivares, a nie Twoich modeli. Hostowany model, taki jak Claude, nigdy nie działa w trybie air-gapped; tylko modele hostowane samodzielnie (vLLM, Ollama) działają offline. Olivares zarządza dostępem w obu przypadkach.
- Bez certyfikatu. Olivares AI jest projektowany pod kątem SOC 2, ISO/IEC 42001 oraz EU AI Act; nie posiada żadnego certyfikatu i nie rościmy sobie do niego prawa.
Środowiska szkolnictwa wyższego i badawcze mają równoległą wersję tego problemu — szerokie wykorzystanie AI wśród kadry naukowej i personelu, podczas gdy formalne zarządzanie AI oraz pokrycie zasad akceptowalnego użytkowania pozostaje w tyle (badania EDUCAUSE, 2025). Jeśli to Twój kontekst, zobacz szkolnictwo wyższe; zespoły platformowe prowadzące infrastrukturę powinny zacząć od inżynierii platformy.
Dokąd dalej
- Mapa dostępu — typowany graf R/RW oraz nakładka uprawnione kontra zaobserwowane na rzeczywistym przechwyceniu.
- Wyłącznik awaryjny — bramka odmowy obejmująca całe środowisko w ujęciu produktowym.
- Zgodność — odporne na manipulacje dowody odwzorowane na ramy kontrolne.
- Koncepcje zarządzania — oparte na odczycie, domyślna odmowa, podwójna kontrola.
- Porównanie — jak Olivares zestawia się z bramami, obserwowalnością i wieżami kontroli.
- Rozpocznij — zobacz mapę na demonstracyjnym środowisku.