Firmy tworzą agentów AI szybciej, niż potrafią ich rejestrować, nadzorować i zabezpieczać. Microsoft podaje, że ponad 80% firm z listy Fortune 500 używa aktywnych agentów AI zbudowanych w Copilot Studio lub Agent Builder (Microsoft Cyber Pulse, luty 2026), ale liczba ta nie mówi tego, co większość czytelników z niej wyciąga.
To nie jest komunikat o dojrzałości rynku. To sygnał, że agenci weszli do operacji firmy szybciej niż struktury, które miały nimi zarządzać. W tym samym raporcie Microsoft podaje, że 29% pracowników korzysta z nieautoryzowanych agentów AI do zadań służbowych. Decydent, który na podstawie tych danych zatwierdza wdrożenie agentów, popełnia ten sam błąd, który prowadzi do shadow IT od dwóch dekad: liczy zasięg, nie liczy kontroli.
Kluczowe wnioski dla decydenta
- Adopcja jest szybsza niż governance. Microsoft potwierdza to telemetrią, Gartner prognozą: do końca 2027 ponad 40% projektów agentic AI zostanie anulowanych z powodu kosztów, niejasnej wartości biznesowej lub braku kontroli ryzyka (Gartner, czerwiec 2025).
- Liczba „80% Fortune 500″ wymaga rozbicia. Mierzy ona tylko agentów zbudowanych w narzędziach Microsoftu w ostatnich 28 dniach listopada 2025. Nie obejmuje LangChain, CrewAI, AutoGen ani agentów OpenAI.
- Shadow AI to nie metafora, lecz pomiar. 29% pracowników (n=1725, ankieta Hypothesis Group dla Microsoftu, lipiec 2025) deklaruje używanie nieautoryzowanych agentów. Dane są deklaratywne i sponsorowane, ale skala jest spójna z innymi badaniami rynkowymi.
- Regulator już mówi o agentach. Komisja Europejska wskazuje, że poziom autonomii i tool use modelu mogą decydować o uznaniu go za GPAI z ryzykiem systemowym (AI Office, FAQ AI Act, 2025). Egzekwowanie obowiązków dla systemów wysokiego ryzyka rusza 2 sierpnia 2026.
- Najczęstszy błąd: brak rejestru. Bez centralnego inwentarza agentów nie ma odpowiedzialności, nie ma audytu, nie ma reakcji na incydent.
Czym jest aktywny agent AI
Aktywny agent AI to system oparty na modelu językowym, który po wdrożeniu produkcyjnym wykonuje zadania samodzielnie lub w odpowiedzi na zapytania użytkownika i wykazuje rzeczywistą aktywność w określonym oknie czasowym (Microsoft Cyber Pulse, 2026; definicja operacyjna: minimum jeden kontakt z użytkownikiem dla agenta asystującego lub jedno autonomiczne uruchomienie dla agenta autonomicznego w ostatnich 28 dniach).
To definicja ważna z dwóch powodów. Po pierwsze, oddziela agentów aktywnych od projektów porzuconych w sandbox, których w organizacjach jest więcej niż się sądzi. Po drugie, ujawnia różnicę, którą Gartner nazywa agentwashing: większość systemów reklamowanych jako „agenci AI” to w praktyce asystenci, czyli narzędzia działające wyłącznie w odpowiedzi na prompt człowieka, bez zdolności do autonomicznego działania (Gartner, sierpień 2025).
Z perspektywy zarządczej kluczowe jest jedno rozróżnienie:
- Agent asystujący: działa w odpowiedzi na zapytanie użytkownika; ryzyko ograniczone do interakcji.
- Agent autonomiczny: wykonuje zadania samodzielnie, według reguł lub celów; ryzyko zwielokrotnione przez liczbę uruchomień.
Im większa autonomia, tym większa potrzeba nadzoru, i tym mniej osób w organizacji to widzi.
Dlaczego „80% Fortune 500″ nie jest dowodem dojrzałości
Liczba „80% Fortune 500 używa aktywnych agentów AI” mierzy zasięg jednej rodziny narzędzi w jednym oknie czasowym, nie penetrację agentów AI w przedsiębiorstwie. Microsoft podaje wprost w sekcji metodologicznej: dane pochodzą z telemetrii first-party Copilot Studio i Agent Builder z ostatnich 28 dni listopada 2025 (Microsoft Cyber Pulse, luty 2026).
Co ta liczba pokazuje, a czego nie pokazuje:
| Co liczba pokazuje | Czego liczba nie pokazuje |
|---|---|
| Skalę adopcji narzędzi Microsoftu w Fortune 500 | Adopcji agentów zbudowanych w LangChain, CrewAI, AutoGen, AutoGPT |
| Aktywność w jednym 28-dniowym oknie | Stabilności wdrożeń i retention agentów |
| Obecności co najmniej jednego aktywnego agenta | Liczby agentów na firmę i ich krytyczności operacyjnej |
| Faktu, że agent „działa” | Czy agent dostarcza wartość biznesową lub ROI |
| Adopcji low-code/no-code | Adopcji agentów custom build i agentów kodowanych przez deweloperów |
Dla porównania, niezależne prognozy Gartnera są ostrożniejsze: 40% aplikacji enterprise będzie zintegrowanych z task-specific AI agents do końca 2026, w porównaniu z poniżej 5% w 2025 (Gartner, sierpień 2025). 33% aplikacji enterprise będzie zawierać agentic AI do 2028, z poniżej 1% w 2024 (Gartner, czerwiec 2025). Ponad 40% projektów agentic AI zostanie anulowanych do końca 2027 z powodu kosztów, niejasnej wartości lub braku kontroli ryzyka (Gartner, czerwiec 2025).
Te trzy liczby razem rysują obraz inny niż „80%”. Gartner mówi o aplikacjach (nie firmach), o końcu 2026 (nie listopadzie 2025) i o realnej liczbie projektów, które nie przeżyją własnego ROI. Microsoft mierzy aktywność, Gartner mierzy trwałość; to są dwa różne pomiary tego samego rynku.
Shadow AI: pracownicy szybciej niż IT
Shadow AI to praktyka tworzenia i używania agentów AI przez pracowników bez wiedzy i kontroli działu IT lub bezpieczeństwa. W ankiecie zleconej przez Microsoft firmie Hypothesis Group (n=1725 specjalistów ds. bezpieczeństwa danych, lipiec–sierpień 2025) 29% pracowników deklarowało korzystanie z nieautoryzowanych agentów AI w pracy (Microsoft Cyber Pulse, 2026).
Dane są deklaratywne, sponsor jest stroną zainteresowaną wynikiem. Mimo to skala jest spójna z innymi obserwacjami rynkowymi. Gartner w styczniu 2025 ankietował 3412 uczestników webinaru i 19% deklarowało znaczące inwestycje w agentic AI, 42% inwestycje konserwatywne, 31% taktykę „poczekajmy i zobaczmy” (Gartner, czerwiec 2025). Dystans między „chcemy wdrożyć” na poziomie zarządu a „już używam” na poziomie pracownika tworzy lukę, w której pojawia się shadow AI.
Mechanizm jest znany od czasów wczesnego SaaS, ale w kontekście agentów dochodzi nowy element: agent dziedziczy uprawnienia tożsamości, w której został uruchomiony. Pracownik z dostępem do CRM, który tworzy agenta w narzędziu low-code, daje temu agentowi pełen dostęp do danych klientów. Z perspektywy systemu nie ma różnicy między człowiekiem a jego agentem; z perspektywy ryzyka różnica jest istotna, bo agent działa ciągle i powtarzalnie.
W regulowanych branżach (banki, ubezpieczenia, ochrona zdrowia, sektor publiczny) ten mechanizm zderza się bezpośrednio z obowiązkami nadzorczymi. W sektorze finansowym taki agent może wejść w obszar obowiązków dotyczących zarządzania ryzykiem ICT, dokumentacji procesów i kontroli dostępu; wymogi te wynikają między innymi z rozporządzenia DORA (Digital Operational Resilience Act, obowiązujące od 17 stycznia 2025) oraz z wytycznych krajowych nadzorców. Agent zbudowany przez analityka w Copilot Studio i wpięty w bazę CRM może nie pojawić się w rejestrze systemów ICT ani w mapie ryzyka operacyjnego, choć formalnie powinien.
Agent jako nie-ludzki użytkownik: uprawnienia, dane, odpowiedzialność
Agent AI musi być traktowany jak nie-ludzki użytkownik z własną tożsamością, zakresem uprawnień, właścicielem biznesowym i ścieżką audytu. Brak tej zasady prowadzi do trzech błędów wdrożeniowych, które obserwuje się od początków masowej adopcji agentów w 2025 roku.
Błąd 1: Agent działa pod tożsamością człowieka. To najtańsza ścieżka wdrożeniowa i najgorsza z perspektywy bezpieczeństwa. Każde działanie agenta w logach wygląda jak działanie konkretnego pracownika; po zwolnieniu pracownika agent przestaje działać lub działa dalej z osieroconymi uprawnieniami. Microsoft odpowiada na to produktem Entra Agent ID, który nadaje agentom odrębne tożsamości, ale wymaga to świadomej decyzji architekta.
Błąd 2: Agent dziedziczy zbyt szerokie uprawnienia. Zasada najmniejszych uprawnień (least privilege) jest fundamentem Zero Trust od dekady, ale w przypadku agentów łamie się ją systematycznie, bo low-code platformy oferują uproszczone profile dostępu. Agent zbudowany w 15 minut nie ma analizy zakresu danych, którą ma system kupowany na 12 miesięcy.
Błąd 3: Brak właściciela biznesowego. Agent powstaje w dziale sprzedaży, ale formalnym właścicielem jest IT. Albo odwrotnie. W rezultacie nikt nie odpowiada za jakość outputu, nikt nie aktualizuje promptów po zmianie procesów, nikt nie wycofuje agenta po zakończeniu projektu. Agent staje się długiem operacyjnym.
ENISA Threat Landscape 2025 wprost wskazuje, że ataki na narzędzia AI w środowisku deweloperskim (model poisoning, slopsquatting, „Rules File Backdoor” w GitHub Copilot i Cursor) to nie spekulacja, lecz odnotowane incydenty (ENISA, październik 2025). Agent z nadmiarowym dostępem to wektor ataku, który już został wykorzystany w realnych przypadkach.
Governance vs security: dlaczego to dwa różne plany
Governance i security agentów AI są powiązane, ale nie wymienne. Governance odpowiada na pytanie „kto za to odpowiada”, security odpowiada na pytanie „jak to zabezpieczamy”. Mylenie jednego z drugim prowadzi do dwóch typowych dysfunkcji: governance bez security (są procedury, brak egzekwowania) oraz security bez governance (są narzędzia, brak właścicieli).
Różnica w praktyce wygląda tak:
| Wymiar | Governance | Security |
|---|---|---|
| Pytanie | Kto jest właścicielem? Kto akceptuje? Kto odpowiada? | Jak chronimy? Jak wykrywamy? Jak reagujemy? |
| Owner organizacyjny | Compliance, prawnicy, zarząd, biznes | CISO, SOC, IT |
| Główne dokumenty | Polityki, RACI, rejestr agentów, mapa ryzyka | Kontrole techniczne, monitoring, IR playbook |
| Pytanie audytowe | Czy mamy zatwierdzony proces? | Czy kontrole działają? |
| Najważniejsze ramy | NIST AI RMF, ISO/IEC 42001, EU AI Act | Zero Trust, OWASP, ENISA, MITRE ATLAS |
| Skutek braku | Niepewność prawna, kara regulatora | Incydent, wyciek danych |
NIST opublikował w lipcu 2024 Generative AI Profile dla AI RMF (NIST AI 600-1), który operacjonalizuje cztery funkcje frameworka (GOVERN, MAP, MEASURE, MANAGE) dla generatywnej AI (NIST, lipiec 2024). Sam NIST i społeczność (Cloud Security Alliance) przyznają, że Profile nie pokrywa w pełni agentów autonomicznych z dostępem do narzędzi. W październiku 2025 ukazała się propozycja Agentic Profile, która łączy NIST RMF z MAESTRO (CSA), AIVSS (OWASP) i SSVC (SEI) dla agentów (Cloud Security Alliance, październik 2025).
Z polskiej perspektywy decydenta liczy się jedno rozróżnienie: EU AI Act jest egzekwowany prawnie i etapowo (egzekwowanie obowiązków dla systemów wysokiego ryzyka rusza 2 sierpnia 2026), a NIST AI RMF i ISO/IEC 42001 to dobrowolne ramy zarządcze, które mogą pełnić rolę pomocniczych narzędzi w przygotowaniu organizacji do zgodności. Razem tworzą praktyczny zestaw odniesień, ale to AI Act wyznacza twardy termin i ryzyko sankcji.
Pięć pytań, które zarząd powinien zadać o każdego agenta AI
Każdy agent AI w organizacji powinien dać się opisać przez odpowiedź na pięć pytań zarządczych. Jeśli na choć jedno z nich nie ma odpowiedzi, agent jest długiem operacyjnym, nie aktywem.
| Pytanie zarządcze | Dlaczego ważne |
|---|---|
| Ilu agentów działa w firmie? | Bez rejestru nie ma kontroli; nie można zarządzać tym, czego nie widać. |
| Kto jest właścicielem biznesowym agenta? | Bez właściciela nie ma odpowiedzialności za jakość, koszty i wycofanie. |
| Do jakich danych i systemów ma dostęp? | Agent dziedziczy uprawnienia tożsamości; nadmiarowy dostęp to gotowy wektor ataku. |
| Czy działa autonomicznie czy tylko asystująco? | Im większa autonomia, tym większe wymagania na monitoring i human-in-the-loop. |
| Jak jest monitorowany i jak długo żyją logi? | Bez logów nie ma audytu, bez audytu nie ma incident response, bez IR nie ma zgodności. |
Te pytania nie wymagają technicznej wiedzy o promptach ani modelach. Wymagają decyzji organizacyjnej, kto i jak ma na nie odpowiadać; to jest właściwy poziom abstrakcji dla zarządu.
Minimalna checklista wdrożeniowa
Zanim w organizacji powstanie pierwszy produkcyjny agent zbudowany w Copilot Studio, Agent Builder lub równoważnym narzędziu low-code, powinno działać sześć kontroli minimalnych:
- Rejestr agentów: pojedyncze źródło prawdy — właściciel biznesowy, cel, zakres uprawnień, status (pilot / produkcja / wycofany), data ostatniej rewizji.
- Polityka tożsamości: agenci mają odrębne tożsamości (np. Entra Agent ID lub równoważne), nie dziedziczą tożsamości człowieka.
- Polityka uprawnień: domyślnie najmniejsze uprawnienia, zakres czasowy (time-bound access), przegląd kwartalny.
- Monitoring i logi: każde uruchomienie agenta jest logowane, logi są przechowywane minimum tak długo, jak wymaga tego ramy regulacyjne sektora (dla finansów w PL: minimum 5 lat dla wybranych operacji).
- Klasyfikacja ryzyka: przed wdrożeniem agent jest mapowany na ryzyka EU AI Act (limited risk / high risk) i NIST AI RMF (GOVERN/MAP funkcje).
- Procedura wycofania: każdy agent ma zdefiniowany trigger wycofania (zmiana procesu, koniec projektu, brak aktywności przez X dni) i odpowiedzialnego.
To nie jest pełna ramka governance. To minimum, poniżej którego organizacja nie powinna wdrażać agentów produkcyjnych.
Kiedy nie warto jeszcze tworzyć agentów AI
Nie każda organizacja i nie każdy proces dojrzały jest do wdrożenia agentów. Trzy sytuacje, w których odroczenie projektu jest decyzją racjonalną:
Sytuacja 1: Brak rejestru aktualnych systemów IT i ich uprawnień. Jeśli organizacja nie wie, jakie systemy posiada i kto ma do nich dostęp, dodanie agentów AI nie rozwiąże problemu, lecz zwielokrotni go. Agent dziedziczy chaos, którego nie ma kto zmapować.
Sytuacja 2: Brak właściciela biznesowego procesu, który ma zostać zautomatyzowany. Jeśli proces sprzedażowy, finansowy lub operacyjny nie ma jednoznacznego właściciela odpowiedzialnego za jego jakość i wynik, agent w tym procesie też go nie znajdzie. Agent automatyzuje to, co już działa; nie naprawia tego, co nie działa.
Sytuacja 3: Sektor regulowany bez przygotowania compliance. Banki, ubezpieczenia, podmioty medyczne i podmioty publiczne, które nie zaczęły jeszcze prac nad mapowaniem na EU AI Act (egzekwowanie od 2 sierpnia 2026 dla wysokiego ryzyka) i nad procedurą oceny zgodności, nie powinny wdrażać agentów w procesach klientowskich. Koszt wycofania niezgodnego agenta przed audytem jest wyższy niż koszt opóźnienia projektu o kwartał.
Gartner formułuje to bezpośrednio: większość propozycji agentic AI w 2025 roku nie ma istotnej wartości lub ROI, ponieważ obecne modele nie mają dojrzałości i agencji, by autonomicznie realizować złożone cele biznesowe (Anushree Verma, Gartner, czerwiec 2025). Z 1300+ vendorów reklamujących się jako agentic AI, według estymacji Gartnera, prawdziwych jest około 130. Reszta to agentwashing.
Czego ten tekst nie twierdzi
Ten tekst nie twierdzi, że każdy agent AI jest ryzykiem ani że firmy powinny zatrzymać wdrożenia. Problemem nie jest samo używanie agentów, lecz brak rejestru, właściciela, kontroli uprawnień i audytu. Agent zbudowany w Copilot Studio z jasno zdefiniowanym właścicielem biznesowym, polityką najmniejszych uprawnień i logowaniem operacji jest aktywem operacyjnym; ten sam agent bez tych elementów jest długiem.
Tekst nie twierdzi też, że Microsoft, Gartner czy ENISA mają monopol na opis tego rynku. Każde z tych źródeł ma własną perspektywę i własne ograniczenia metodologiczne. Wartość polega na ich zestawieniu, nie na bezkrytycznym przyjmowaniu którejkolwiek liczby.
I wreszcie tekst nie twierdzi, że EU AI Act jest panaceum. Egzekwowanie zacznie się etapowo, standardy harmonizujące jeszcze powstają, a interpretacja w odniesieniu do agentów autonomicznych jest na etapie wstępnym (komunikacja Komisji Europejskiej, AI Office, 2025). To są realne ograniczenia ramy regulacyjnej, nie powód do jej ignorowania.
Podsumowanie
Adopcja agentów AI w przedsiębiorstwach jest faktem mierzonym przez Microsoft, Gartnera, IDC i Forrestera. Nie jest faktem ich dojrzałość operacyjna, jakość governance ani gotowość na egzekwowanie EU AI Act od 2 sierpnia 2026. To są dwa różne pomiary, których nie należy mylić.
Liczba „80% Fortune 500″ jest mocna i prawdziwa, ale opisuje skalę narzędzi Microsoftu, nie skalę agentów AI w firmie. Liczba „29% pracowników używa nieautoryzowanych agentów” jest deklaratywna i sponsorowana, ale spójna z innymi obserwacjami shadow AI. Liczba „40% projektów anulowanych do końca 2027″ pochodzi od Gartnera i pokazuje rewers tej samej medali: adopcja jest szybka, retention nie nadąża.
Dla decydenta w polskiej firmie wniosek jest praktyczny: zacząć od rejestru agentów, polityki tożsamości i klasyfikacji ryzyka, zanim podejmie się decyzję o skali wdrożenia. Pięć pytań zarządczych z tabeli powyżej daje szkielet rozmowy z biznesem, IT, security i compliance bez wchodzenia w szczegóły techniczne. Sześć kontroli minimalnych daje szkielet decyzji wdrożeniowej.
Ograniczenie tego artykułu: część kluczowych statystyk pochodzi z raportów sponsorowanych (Microsoft, Hypothesis Group). Niezależne dane Gartnera, ENISA i NIST stanowią warstwę triangulacyjną, lecz nie zastępują pełnego, niezależnego pomiaru rynku. Taki pomiar dla agentów AI w 2026 roku jeszcze nie istnieje. To jest informacja sama w sobie.
Źródła
- Microsoft Security, „80% of Fortune 500 use active AI Agents”, 10 lutego 2026, link
- Microsoft, Cyber Pulse Report Issue 1, luty 2026, link
- Gartner, „40% of Enterprise Apps Will Feature Task-Specific AI Agents by 2026″, 26 sierpnia 2025, link
- Gartner, „Over 40% of Agentic AI Projects Will Be Canceled by End of 2027″, 25 czerwca 2025, link
- ENISA, „Threat Landscape 2025″, październik 2025, link
- NIST, „AI Risk Management Framework: Generative AI Profile (NIST AI 600-1)”, 26 lipca 2024, link
- European Commission, AI Office, „FAQ on the AI Act”, 2025, link
- European Commission, „AI Act timeline and implementation”, 2025, link
- Cloud Security Alliance, „NIST AI RMF: Agentic Profile v1″, 2025, link
