Trzy pierwsze filary agent-readiness dotyczyły czegoś, co miało jedną wspólną cechę — agent był w nich czytelnikiem. Czytelnikiem o szczególnych wymaganiach, ale wciąż kimś, kto odwiedzał stronę, żeby zrozumieć, co na niej jest, i wrócić z tą wiedzą do użytkownika. Mówiliśmy o czytelności, o danych strukturalnych, o sygnałach — wszystko to były warstwy informacji, które strona przekazuje agentowi, żeby ten mógł dobrze ją przeczytać.
Filar czwarty jest jakoÅ›ciowo inny. Dotyczy momentu, w którym agent przestaje być czytelnikiem, a zaczyna być kimÅ›, kto wykonuje akcje w twojej stronie. WypeÅ‚nia formularz. SkÅ‚ada zamówienie. Rezerwuje termin. Pyta o dostÄ™pność. Umawia spotkanie. Zapisuje siÄ™ na newsletter. I robi to nie jako test, nie w swojej wÅ‚asnej sandbox’ie — tylko bezpoÅ›rednio na twojej stronie, w twoim sklepie, w twoim systemie, w imieniu kogoÅ›, kto mu to zleciÅ‚.
Ta różnica jest ogromna i trzeba ją nazwać wprost. Dopóki agent tylko czyta, jest kimś w rodzaju gościa, który chodzi po twojej witrynie, ogląda wystawę, notuje. Kiedy zaczyna działać, staje się pracownikiem, który wchodzi za ladę i wykonuje operacje w twoim imieniu. Z jedną różnicą — nie masz z tym pracownikiem kontraktu, nie wiesz kto go przysłał, nie masz jasnych procedur co wolno, a co nie. I prawdopodobnie sam jeszcze nie podjąłeś decyzji, czy chcesz, żeby tacy pracownicy w ogóle działali u ciebie.
W tym wpisie rozbiję to na trzy części. Pierwsza — gdzie dokładnie biegnie granica między gościem a pracownikiem, bo nie jest ona tak wyraźna jak się wydaje. Druga — trzy drogi, którymi strona pozwala agentowi-pracownikowi działać, i co każda z nich wymaga od ciebie jako właściciela. Trzecia — pytania, które warto sobie zadać zanim wpuścisz pracownika, którego nie znasz.
Gdzie biegnie granica między gościem a pracownikiem
Intuicyjnie wydaje siÄ™, że różnica jest prosta. Agent czytajÄ…cy twój blog, żeby odpowiedzieć użytkownikowi na pytanie — to gość. Agent klikajÄ…cy „złóż zamówienie” na twoim sklepie — to pracownik. Ale w praktyce granica jest rozmyta, i wÅ‚aÅ›nie ta rozmytość jest źródÅ‚em wiÄ™kszoÅ›ci problemów w tej warstwie.
Rozważmy kilka przypadków pośrednich.
Agent czytający twój formularz kontaktowy, żeby powiedzieć użytkownikowi, jakie pola trzeba wypełnić — gość czy pracownik? Jeszcze gość. Niczego nie robi, tylko relacjonuje.
Agent wypeÅ‚niajÄ…cy ten formularz w imieniu użytkownika, po wpisaniu danych przez czÅ‚owieka, ale przed naciÅ›niÄ™ciem „wyÅ›lij” — gość czy pracownik? Wchodzi w szarÄ… strefÄ™. Już nie tylko czyta. Ale jeszcze nie wysÅ‚aÅ‚.
Agent, który po krótkiej rozmowie z użytkownikiem („Zarezerwuj mi stolik w sobotÄ™ na 19:00 na dwie osoby”) wchodzi na twojÄ… stronÄ™ restauracji, wypeÅ‚nia formularz rezerwacji i klika „potwierdź” — to już pracownik. WykonaÅ‚ akcjÄ™, której skutki istniejÄ… w twoim systemie. KtoÅ› w twojej restauracji dostaÅ‚ powiadomienie o rezerwacji. Stolik jest zablokowany.
Agent ChatGPT-Users odwiedzający twój sklep, żeby sprawdzić cenę i dostępność produktu — gość czy pracownik? Teoretycznie gość, tylko czyta. Praktycznie — w logu serwera wygląda jak zwykły ruch, ale ten ruch nie jest człowiekiem. Nie kliknie w reklamę, nie przeczyta rekomendacji, nie da się upsellować. Obciąża twój serwer, ale nie generuje żadnej z metryk, na których zbudowałeś model biznesowy. Cicha forma pracownika, który robi jedną rzecz — pobiera dane.
Ta ostatnia warstwa jest zresztÄ… centralnym argumentem w sporze Amazona z Perplexity, o którym pisaÅ‚em w poprzednim wpisie. Agent, który „tylko czyta” twojÄ… stronÄ™ zakupowÄ…, jest dla modelu biznesowego tej strony zupeÅ‚nie inny niż czÅ‚owiek, który czyta tÄ™ samÄ… stronÄ™. A kiedy agent dodatkowo zaczyna klikać — przechodzi do koszyka, wybiera opcjÄ™ wysyÅ‚ki, finalizuje zakup — staje siÄ™ peÅ‚noprawnym pracownikiem, który wykonaÅ‚ caÅ‚y proces zakupowy, omijajÄ…c wszystkie punkty, na których sklep miaÅ‚ okazjÄ™ zarobić dodatkowo.
Granica wiÄ™c nie biegnie w miejscu „czy agent kliknÄ…Å‚”. Biegnie w miejscu, w którym jego wizyta pozostawia Å›lad w twoim systemie. Rezerwacja. Zamówienie. Zapis do newslettera. WysÅ‚ana wiadomość kontaktowa. Każda z tych rzeczy jest dziaÅ‚aniem, i każda wymaga od ciebie jako wÅ‚aÅ›ciciela strony innej decyzji niż tylko „jak sprawić, żeby agent zrozumiaÅ‚, co tu mam”.
Trzy drogi, którymi strona pozwala agentowi działać
Kiedy już wiesz, że chcesz (albo nie chcesz) pozwolić agentowi-pracownikowi działać na twojej stronie, następne pytanie to jak to zrobić dobrze. W 2026 są trzy drogi, i każda z nich ma inny profil dojrzałości, inne wymagania i inne konsekwencje.
Droga pierwsza — interakcja z UI. Najstarsza, najbardziej powszechna, najbardziej chaotyczna. Agent działa na twojej stronie tak jak człowiek — widzi przycisk, klika go. Widzi formularz, wypełnia go. Widzi link, podąża za nim. Jest to domyślny scenariusz dla większości agentów w 2026, bo nie wymaga od strony żadnej dodatkowej pracy. Strona nie musi nic wiedzieć o agencie — po prostu dostaje żądania HTTP, tak jak od każdej innej przeglądarki.
Dla wÅ‚aÅ›ciciela strony ta droga jest najmniej kontrolowalna. Agent może zachować siÄ™ nieprzewidywalnie — kliknąć nie to, co trzeba, wypeÅ‚nić źle formularz, zinterpretować niejednoznaczne elementy inaczej niż ty zakÅ‚adaÅ‚eÅ›. JeÅ›li twoja strona ma na tej drodze jakieÅ› krytyczne operacje (np. zakup produktu droższego niż 1000 zÅ‚), opieranie siÄ™ na „agent dobrze kliknie” jest ryzykiem. Dlatego najbardziej odpowiedzialni wÅ‚aÅ›ciciele stron już teraz dodajÄ… w tej warstwie kroki potwierdzenia, które wymagajÄ… decyzji czÅ‚owieka — email confirmation, 2FA, ekrany z opóźnieniem.
Dobra wiadomość jest taka, że jakość tej drogi zależy głównie od rzeczy, które i tak warto mieć w ramach dostępności i semantyki — o czym pisałem szeroko w poprzednich wpisach serii i w serii o semantyce. Poprawne etykiety formularzy, sensowne anchory linków, logiczne struktury — wszystko to jednocześnie pomaga czytnikowi ekranu i agentowi. Więc jeśli robisz to dobrze dla dostępności, robisz to dobrze dla agentów-pracowników.
Droga druga — API. Starsza niż może się wydawać, bo API dla sklepów internetowych istnieje od dekad. Ale w kontekście agentów nabiera nowego znaczenia. Jeśli twój sklep ma REST API, twoja platforma rezerwacji ma endpoint do rezerwacji, twoja usługa ma endpoint do wyceny — agent może to wywołać bezpośrednio, omijając UI.
Jest to zdecydowanie bardziej kontrolowalna droga niż UI. Agent nie może przypadkiem kliknąć nie tego guzika, bo nie ma guzików — ma tylko wywołania funkcji z jasno określonymi parametrami. Strona może (i powinna) sprawdzać autoryzację, rate-limiting, poprawność parametrów przed wykonaniem akcji. Agent, który wywołuje API, musi się tam uwierzytelnić, i to uwierzytelnienie jest cyfrowym śladem, który zostaje w logach.
Ale droga API ma koszty. Trzeba je udostępnić, udokumentować, zabezpieczyć. Trzeba utrzymywać. Trzeba zdecydować, kto ma dostęp, na jakich zasadach, za jakie stawki. Dla większości małych i średnich stron w Polsce API jest dziś czymś, czego nie ma, nawet jeśli byłoby korzystne. Sklepy WooCommerce mają natywne REST API, ale rzadko jest ono udokumentowane publicznie z myślą o agentach.
Droga trzecia — wystawione narzędzia. Najnowsza, najbardziej ambitna, najbardziej eksperymentalna. W tej drodze strona jawnie deklaruje, jakie akcje agent może wykonać, z jakimi parametrami, w jaki sposób. Agent nie zgaduje po UI, nie odkrywa API metodą prób i błędów — dostaje oficjalny katalog narzędzi, których może użyć.
Konkretnym wcieleniem tej drogi w 2026 jest WebMCP — proponowany standard Chrome, udostÄ™pniony w lutym 2026 we wczesnym preview. Strona może przez WebMCP powiedzieć: „oto narzÄ™dzie zarezerwuj_stolik z parametrami data, liczba_osob, godzina; oto narzÄ™dzie sprawdz_dostepnosc_produktu z parametrem sku„. Agent, zamiast klikać po formularzach, wywoÅ‚uje te narzÄ™dzia strukturalnie, z gwarancjÄ… poprawnoÅ›ci parametrów.
Jest to droga, której dziś jeszcze się nie wdraża produkcyjnie na masową skalę — WebMCP jest w early preview, inne standardy są jeszcze młodsze. Ale jest to kierunek, w którym zmierza najambitniejsza część rynku. Dla właściciela strony WebMCP oznacza największą kontrolę nad tym, co agent może zrobić — bo sam decydujesz, jakie narzędzia wystawiasz, z jakimi parametrami, z jakimi ograniczeniami.
Krótki hub tematyczny — jeśli interesuje cię ekosystem protokołów agentic commerce (UCP, ACP, AP2) i konkretne implementacje dla sklepów, w hubie Universal Commerce Protocol jest cały materiał o tej warstwie z perspektywy WooCommerce i agentic commerce.
Pytania, które warto sobie zadać zanim wpuścisz pracownika
Dotarliśmy do sedna. Jeśli agent przestaje być gościem i staje się pracownikiem, a ty decydujesz się go wpuścić — w którejś z trzech dróg albo we wszystkich trzech — musisz odpowiedzieć na kilka pytań, których do tej pory na twojej stronie prawdopodobnie nikt nie zadawał.
Kto ma prawo wykonywać akcje w moim systemie? Odpowiedź „każdy, kto wejdzie na stronÄ™” byÅ‚a akceptowalna w Å›wiecie, w którym stronÄ™ odwiedzaÅ‚ czÅ‚owiek-użytkownik. W Å›wiecie, w którym co trzecia wizyta może być agentem dziaÅ‚ajÄ…cym w imieniu kogoÅ›, koncept „każdy” przestaje wystarczać. Musi być warstwa autoryzacji, która odróżnia ruch autoryzowany od nieautoryzowanego. Dla najprostszych stron wystarczy stare dobre logowanie użytkownika — agent, który skÅ‚ada zamówienie, musi być zalogowany na konto użytkownika, którego reprezentuje. Dla bardziej wymagajÄ…cych przypadków trzeba rozważyć kryptograficznÄ… weryfikacjÄ™ tożsamoÅ›ci agenta, federacjÄ™ zaufanych dostawców, rejestry typu tego, który zaczyna budować Meta po zakupie Moltbook. To jest warstwa, którÄ… dokÅ‚adniej rozwijam na CyberFlux.pl w tekÅ›cie o nowej tożsamoÅ›ci uprzywilejowanej — agenty w firmowych Å›rodowiskach to dziÅ› problem klasy IAM, a nie problem UX.
Jak zapewniam, że agent robi to, czego chce użytkownik, a nie czego chce ktoÅ› inny? To jest pytanie o prompt injection i permission injection. Agent, który czyta twojÄ… stronÄ™ i na jej podstawie wykonuje akcje, może paść ofiarÄ… ukrytych instrukcji umieszczonych w treÅ›ci strony — w opisie produktu, w komentarzu, w recenzji. PisaÅ‚em szerzej o tym na CyberFluxie w kontekÅ›cie architektury agentów. JeÅ›li twoja strona pozwala agentom na akcje, musisz traktować każdÄ… treść, którÄ… agent widzi jako potencjalne polecenie. Nie ma prostego rozwiÄ…zania — sÄ… warstwy mitygacji: sanityzacja treÅ›ci od użytkowników, limity rate’u, wymóg potwierdzenia przed akcjami nieodwracalnymi, izolacja kontekstów.
Jakie akcje sÄ… odwracalne, a jakie nie? To jest pytanie o gradacjÄ™ ryzyka. Zapis do newslettera — odwracalny (można siÄ™ wypisać). Rezerwacja stolika — prawie odwracalna (można anulować). Zakup produktu za 5000 zÅ‚ z opcjÄ… „fast checkout bez potwierdzenia” — praktycznie nieodwracalny. W warstwie, w której agent dziaÅ‚a w twoim imieniu, każda akcja powinna mieć Å›wiadomie okreÅ›lony poziom ryzyka i odpowiednio dobranÄ… warstwÄ™ potwierdzenia. Nieodwracalne akcje powinny zawsze wymagać potwierdzenia czÅ‚owieka, niezależnie od tego, kto wykonaÅ‚ żądanie. Agent, który może finalizować transakcjÄ™ za 5000 zÅ‚ bez żadnego potwierdzenia, to jest ryzyko, którego nie powinno siÄ™ akceptować — nawet jeÅ›li agent jest zaufany.
Jak zauważę, że coś poszło nie tak? Pytanie o audyt i monitoring. W świecie, w którym akcje wykonują agenci, klasyczne metody śledzenia ruchu nie wystarczą. Musisz mieć logi, które rozróżniają ruch ludzki od agentowego, ruch autoryzowany od nieautoryzowanego, akcje udane od nieudanych, wzorce normalnego zachowania od anomalii. To nie jest temat na dzisiejszy wpis — ale warto mieć świadomość, że każda droga pozwalająca agentowi działać wymaga warstwy obserwowalności, którą trzeba zbudować, zanim pojawi się pierwszy problem.
Jakie są moje limity — ekonomiczne i techniczne? Agent, który odwiedza twoją stronę co dziesięć sekund, bo prosi go o to tysiąc użytkowników dziennie, generuje ruch, którego twój hosting może nie wytrzymać. Agent, który próbuje składać zamówienia w tempie, które sugeruje automatyzację, może wyczerpać twoje stany magazynowe w ciągu minut. Rate limiting, quoty, limity transakcji — to są narzędzia, które w świecie ludzkich użytkowników były pomocnicze, a w świecie agentów stają się niezbędne. Wpuszczenie agentów bez limitów to jest zaproszenie do operacyjnego chaosu — niezależnie od dobrych intencji tych konkretnych agentów.
Co z tego wynika praktycznie
Filar działania w agent-readiness jest momentem, w którym z warstwy SEO-owej przechodzimy do warstwy, która z klasycznym SEO nie ma nic wspólnego. To jest warstwa architektoniczna — dotyczy tego, jak twoja strona jest zaprojektowana jako system, a nie jak jest zoptymalizowana dla wyszukiwarki.
Dobra wiadomość: nie musisz dziś rozwiązywać wszystkich tych problemów naraz. Jeśli twoja strona nie ma krytycznych akcji (jesteś blogiem, portalem informacyjnym, stroną firmową bez sprzedaży), filar 4 dotyczy cię tylko w części — zapewnienie, że formularze są dostępne i nie podatne na oczywiste nadużycia, wystarczy. Jeśli twoja strona ma akcje o średnim znaczeniu (formularz kontaktowy, newsletter), warto zainwestować w warstwę autoryzacji i odwracalności.
Jeśli natomiast prowadzisz sklep, platformę usługową, system rezerwacji, cokolwiek gdzie agent mógłby wykonać akcję o realnej wadze — filar 4 jest dziś najważniejszą warstwą agent-readiness, w której warto inwestować czas. Bo pierwszy incydent, w którym agent zrobił u ciebie coś niezamierzonego, będzie kosztować więcej niż cała praca zapobiegawcza. W agentic commerce świecie, który rozpisujemy w hubie UCP, ta warstwa będzie decydować o tym, które sklepy przetrwają przejście na nowy model zakupowy, a które staną się ostrzegawczymi przykładami w branżowych analizach.
Następny wpis — towarzysz w serii Agent-ready Divi — pokaże konkretnie, jak te zasady przekładają się na formularze w Divi 5, integracje WooCommerce, wtyczki rezerwacyjne. Gdzie są domyślne dziury, co można naprawić łatwo, a co wymaga architektonicznych decyzji.
Zasada, która wraca we wszystkich filarach tej serii, wraca i tu. Agent nie wymyślił nowej dyscypliny — architektura bezpieczeństwa systemów webowych istnieje od dekad. Różnica polega na tym, że do tej pory w warstwie działania mieliśmy dwóch aktorów: zalogowanego użytkownika (któremu ufamy częściowo) i botów (których staramy się wyeliminować). Agent wprowadza trzeciego aktora — autoryzowanego pośrednika działającego w imieniu użytkownika. To jest kategoria, której klasyczne architektury stron nie znały. I budowa pod nią poprawnych schematów autoryzacji, audytu, limitów, odwracalności — to jest praca, która przed nami, nie za nami.