Wyobraź sobie agenta który obsługuje zapytania klientów. Działa sprawnie — odpowiada na pytania, kwalifikuje leady, zbiera dane. Pewnego dnia, bez żadnej złośliwości, wysyła ofertę na 40 000 złotych do klienta który pytał tylko o cennik. Agent miał dostęp do szablonów ofert. Miał dane klienta. Miał uprawnienia do wysyłki maili. Nie miał jednej rzeczy — punktu w którym ktoś powinien powiedzieć: tu zatrzymaj się i zapytaj.
To nie jest historia o złym agencie. To jest historia o braku human-in-the-loop.
Czym jest human-in-the-loop
Human-in-the-loop (HITL) to model nadzoru nad agentami AI, w którym człowiek zatwierdza kluczowe decyzje zanim zostaną wykonane. Nie chodzi o to żeby człowiek siedział przy każdym kroku agenta — to odbierałoby automatyzacji sens. Chodzi o świadome zaprojektowanie punktów kontrolnych tam gdzie konsekwencje błędu są trudne do cofnięcia, wartość transakcji przekracza akceptowalny próg autonomii, albo decyzja dotyka czegoś czego agent nie potrafi ocenić — relacji, kontekstu, wyjątku od reguły.
W ekosystemie Agentic Web HITL nie jest funkcją bezpieczeństwa. Jest decyzją architektoniczną którą podejmuje się przy projektowaniu agenta, nie po pierwszym incydencie.
Spektrum autonomii
HITL nie jest wyłącznikiem — to suwak. Na jednym końcu agent pyta o potwierdzenie przy każdej akcji. Na drugim działa w pełni autonomicznie. Oba ekstrema mają swoje koszty.
Agent który pyta o wszystko przestaje być agentem — staje się interfejsem który tylko udaje automatyzację. Agent który nie pyta o nic przenosi całe ryzyko na właściciela systemu — i działa dokładnie jak zaprojektowany, produkując skutki których nikt nie przewidział, bo nikt nie zadał pytania co się stanie gdy dwie właściwości systemu zetkną się w nieprzewidziany sposób.
Dobrze zaprojektowany HITL wyznacza progi. Agent obsługujący klientów może samodzielnie odpowiadać na powtarzalne pytania i zbierać dane — ale czeka na zatwierdzenie przed wysłaniem oferty powyżej określonej wartości. Agent zarządzający treścią może tworzyć szkice i planować publikacje — ale nie publikuje bez potwierdzenia. Agent realizujący zakupy przez Instant Checkout może porównywać oferty i dodawać do koszyka — ale finalizuje transakcję dopiero gdy użytkownik powie „tak”.
HITL a Agent permissions — dwa różne mechanizmy
Łatwo je pomylić bo oba dotyczą kontroli nad agentem. Ale działają na różnych warstwach.
Agent permissions definiują co agent może zrobić technicznie — do jakich zasobów ma dostęp, jakie akcje może wywołać, co leży w granicach jego możliwości. HITL definiuje kiedy powinien zapytać zanim to zrobi — nawet jeśli technicznie ma pełne uprawnienia.
Można mieć agenta z szerokim zakresem permissions i wąskim HITL. Można mieć agenta z ograniczonymi permissions i szerokim HITL. Projektowanie tego balansu — gdzie kończy się autonomia a zaczyna nadzór — jest jedną z kluczowych decyzji przy wdrożeniu agenta w środowisku produkcyjnym.
Dlaczego to ważne teraz
Raporty bezpieczeństwa z 2026 roku wskazują konsekwentnie ten sam wzorzec: większość incydentów związanych z agentami AI nie wynika z błędów modeli ani z ataków z zewnątrz. Wynika z nadmiernej autonomii przy niewystarczającym nadzorze. Agent który autonomicznie wykonuje operacje finansowe, przetwarza polecenia z niezaufanych źródeł, albo podejmuje decyzje w imieniu firmy bez żadnego punktu kontrolnego — robi dokładnie to do czego został zaprojektowany. Problem leży w projekcie, nie w wykonaniu.
Human-in-the-loop jest odpowiedzią na tę klasę problemów zanim staną się incydentami.