Shadow agents — najliczniejsza flota w Twojej firmie to ta, o której nie wiesz

przez Łukasz | lip 8, 2026

Shadow agents to agenci AI uruchamiani przez pracowników poza wiedzą i kontrolą działu IT — zwykle jednym kliknięciem w narzędziach SaaS, które firma legalnie opłaca. Omijają wszystko, co opisaliśmy w tym hubie: nie mają tożsamości, nie figurują w rejestrze floty, nie mają karty ani właściciela — a działają na prawdziwych danych, z prawdziwymi uprawnieniami.

To ostatnia z „ciemnych” gałęzi huba — i celowo ostatnia, bo shadow agents unieważniają każdą z poprzednich stron z osobna. Można mieć wzorową politykę tożsamości, żywy rejestr i karty agentów — i równolegle drugą, większą flotę, której to wszystko nie dotyczy, bo nikt jej nie widzi.

Dlaczego to nie jest shadow IT 2.0 — tylko coś gorszego

Shadow IT znamy od dekady: pracownik zakłada konto w nieautoryzowanej aplikacji, wrzuca tam firmowe pliki, IT dowiaduje się przy audycie. Problem realny, ale w gruncie rzeczy bierny — dane leżą w złym miejscu. Nieautoryzowany dysk w chmurze nie wstaje w nocy, żeby coś z tymi danymi zrobić.

Shadow agent jest aktywny. Nie tylko przechowuje dane poza kontrolą — działa na nich: czyta skrzynkę, odpisuje kontrahentom, przenosi pliki, aktualizuje rekordy w CRM. I robi to z uprawnieniami pracownika, który go założył — czyli, jak wiemy ze strony o tożsamości, z uprawnieniami zwykle szerszymi, niż ktokolwiek świadomie by nadał.

Do tego dochodzi paradoks zaufanego środowiska, który odróżnia to zjawisko od klasycznego shadow IT najmocniej: shadow agent nie żyje w podejrzanej aplikacji z internetu. Żyje w pakiecie biurowym, komunikatorze albo CRM-ie, który firma kupiła, zatwierdziła i któremu ufa. Narzędzia bezpieczeństwa nie podniosą alarmu, bo ruch idzie przez legalne, firmowe kanały. Z perspektywy każdego systemu monitoringu shadow agent wygląda jak wyjątkowo pracowity Kowalski.

I jeszcze jedno, o czym pisaliśmy przy flocie: shadow IT wymagało decyzji o obejściu firmy — założenia konta gdzieś na zewnątrz. Shadow agent nie wymaga nawet tego. Przycisk „utwórz agenta” jest wewnątrz narzędzi, w których pracownik i tak spędza dzień. Granica między „używam narzędzia” a „powołałem autonomiczny byt z moimi uprawnieniami” stała się jednym kliknięciem — i większość klikających nie wie, że ją przekroczyła.

Kto zakłada shadow agents i dlaczego to nie są sabotażyści

Warto to powiedzieć wyraźnie, bo od tego zależy cała strategia reakcji: shadow agents zakładają najlepsi pracownicy.Ci, którym się chce. Handlowiec, który zautomatyzował follow-upy, bo ręczne wysyłanie go wykańczało. Księgowa, która spięła agenta z fakturami, bo końcówka miesiąca to było piekło. Analityk, który ma agenta streszczającego raporty, bo nikt nie da mu na to etatu.

Żadna z tych osób nie obchodzi zabezpieczeń dla zabawy. Każda rozwiązuje realny problem, którego organizacja nie rozwiązała — szybciej, niż organizacja umiałaby w ogóle o nim porozmawiać. To jest ta sama siła, która napędzała shadow IT, tylko z niższym progiem wejścia: innowacja oddolna wyprzedzająca procedury.

Z tego wynika niewygodna prawda o źródle zjawiska, którą postawiliśmy już przy cyklu życia i powtórzymy tu z pełną mocą: objętość szarej strefy agentów jest miarą tarcia oficjalnej drogi. Jeśli legalne powołanie agenta trwa trzy tygodnie i wymaga formularza, a nielegalne pięć minut i zero pytań — wynik tej konkurencji jest przesądzony niezależnie od liczby szkoleń z bezpieczeństwa. Shadow agents nie są problemem dyscypliny. Są informacją zwrotną o procesie.

Co konkretnie może pójść źle

Cztery scenariusze, uporządkowane od najczęstszego:

Cichy wyciek przez dobre intencje. Agent streszczający korespondencję wysyła jej fragmenty do zewnętrznego modelu, którego polityka danych nie przewiduje firmowych tajemnic. Nikt niczego nie „ukradł” — dane wyszły w ramach normalnej pracy agenta, którego nikt nie zweryfikował.

Sierota po pracowniku. Autor shadow agenta odchodzi z firmy. Jego konto zostaje wyłączone — agent umiera razem z nim (odkrywany, gdy przestaje działać proces, o którym wiedział tylko on) albo gorzej: agent żyje dalej na tokenach, które przetrwały offboarding, i działa w imieniu człowieka, który już nie istnieje w organizacji.

Incydent bez czterech odpowiedzi. Shadow agent robi coś kosztownego — i organizacja odkrywa, że żadne z czterech pytań incydentu nie ma odpowiedzi: nie ma logów przypisanych agentowi, nie ma trajektorii, nie ma zatwierdzonych uprawnień, nie ma właściciela. Jest za to pracownik, który działał w dobrej wierze, i zarząd, który dowiaduje się o istnieniu agenta z raportu o szkodzie.

Furtka dla ataku. Agent czytający treści z zewnątrz (maile, strony, dokumenty) i mający uprawnienia do działania to podręcznikowy cel prompt injection — złośliwej instrukcji ukrytej w treści, którą agent przetwarza. Dla agentów oficjalnych istnieją na to zabezpieczenia i nadzór; shadow agent staje naprzeciw tej klasy ataków sam, skonfigurowany przez entuzjastę. Katalog tych zagrożeń prowadzi cyberflux.pl — tu wystarczy odnotować, że shadow agent łączy najgorsze: pełne uprawnienia, zero nadzoru, kontakt z niezaufaną treścią.

Strategia reakcji: amnestia, nie polowanie

Odruch pierwszy — zakazać i ścigać — jest dokładnie tym, który zjawisko wzmacnia. Zakaz nie usuwa potrzeby, która agentów rodzi; usuwa tylko widoczność. Flota zejdzie piętro niżej, na konta prywatne i narzędzia spoza firmy, gdzie nie sięgnie już żadna inwentaryzacja.

Sekwencja, która działa, jest odwrotna:

Krok 1: amnestia i spis. Ogłoszenie wprost: przez najbliższy miesiąc każdy zgłoszony agent zostaje zalegalizowany bez konsekwencji dla autora — dostaje tożsamość, wpis do rejestru i kartę, a autor zostaje jego oficjalnym właścicielem. To ostatni element spisu z natury: bez amnestii policzysz tylko agentów oficjalnych.

Krok 2: legalna droga szybsza niż boczna. Docelowy proces powołania agenta ma mieścić się w dniach, nie tygodniach — z lekką ścieżką dla agentów niskiego ryzyka (czytających, nie działających). Dopóki boczne drzwi są wygodniejsze od frontowych, będą używane; to nie jest teza moralna, tylko obserwacja mechaniki.

Krok 3: widoczność zamiast zakazu. Techniczne wykrywanie agentów w narzędziach SaaS, które firma opłaca — od przeglądu, kto w tych narzędziach ma włączone funkcje agentowe, po narzędzia klasy control plane inwentaryzujące agentów automatycznie, jak opisywany przy flocie Agent 365. Wykrywanie po to, by rejestrować, nie by karać — inaczej wracamy do kroku zero.

Krok 4: czerwone linie zamiast pełnej wolności. Amnestia nie znaczy „wszystko wolno”. Znaczy: wszystko, co zgłoszone, jest legalne — ale kilka rzeczy jest zakazanych dla każdego agenta, oficjalnego czy nie: dostęp do określonych kategorii danych, działania nieodwracalne bez progów, wysyłanie danych do niezatwierdzonych modeli. Krótka lista, komunikowana prosto, egzekwowana zawsze.

Miara sukcesu, która wydaje się nielogiczna

Na koniec rzecz przewrotna: rosnąca liczba agentów w rejestrze to dobry znak. Organizacja, która po amnestii i uproszczeniu procesu widzi skok z dwunastu zarejestrowanych agentów do sześćdziesięciu, nie przeżyła inwazji — zobaczyła flotę, którą miała od dawna. Niepokoić powinno co innego: rejestr, który od roku pokazuje te same dwanaście pozycji, podczas gdy dostawcy SaaS raportują firmie rosnące użycie funkcji agentowych.

Szara strefa nie znika przez zaprzeczanie. Znika przez to, że przestaje być potrzebna.

Tym zamykamy „ciemną” część huba. Kolejne gałęzie wychodzą z wnętrza jednej firmy na rynek: ekosystem poza Microsoftem — kto jeszcze buduje infrastrukturę Agentic Enterprise i czym różnią się ich punkty wyjścia — oraz Frontier Firm, czyli jak wygląda organizacja, która przeszła całą tę drogę.