Något tyst men betydelsefullt hände inom enterprise-mjukvara det senaste året. De stora plattformsleverantörerna - Microsoft, AWS, Google, Salesforce, SAP, ServiceNow - enades om ett gemensamt sätt för AI-agenter att prata med varandra. Konkurrerande förslag slogs ihop till ett. I praktiken är standarden etablerad.
På ytan är det goda nyheter. Det betyder att en agent som finansavdelningen bygger kan överlåta arbete till en agent som inköp byggt, som i sin tur kan nå en agent som körs hos en av era leverantörer. Ingen skräddarsydd integration för varje par. De hittar varandra, utbyter uppgifter och sätter igång.
Om du ansvarar för säkerhet eller teknik i organisationen bör det sista stycket göra dig lite ill till mods. Inte för att tekniken är dålig - utan för att den besvarar en fråga du inte var orolig för samtidigt som en större fråga ligger helt öppen.
Interoperabilitet löser “kan de prata.” Den löser inte “ska de.”
Den nya standarden är mycket bra på att låta agenter koppla ihop sig. Den säger nästan ingenting om styrning. När agenter från olika team, olika leverantörer och olika molntjänster fritt kan nå varandra måste någon kunna svara på tre frågor när som helst:
- Vem får ringa vem?
- Vilken data får varje agent röra när den gör det?
- Vem dokumenterade att det hände?
Det är inte frågor protokollet besvarar. Det är frågor ni besvarar - eller inte. Och i samma ögonblick som era agenter kan nå utanför era egna fyra väggar blir “eller inte” en revisionsanmärkning som väntar på att hända.
En konkret version av problemet
Här är scenariot som gör det verkligt, utan tekniska detaljer.
En agent dyker upp och presenterar sig för era system som agenten tillhörande en av era betrodda leverantörer. Den kommer med credentials - pappersarbete, i praktiken - som säger “jag är den jag utger mig för att vara.” Era agenter är konfigurerade att lita på den leverantören. Så den nya agenten får delta: den kan få uppgifter, be om data, agera.
Frågan som avgör om ni har ett säkerhetsprogram eller ett ansvar är enkel: verifierar ert system faktiskt att pappersarbetet utfärdades av leverantören - eller tar ni agentens ord för det?
För en falsk introduktion är enkel. En angripare kan presentera en agent som påstår sig vara er leverantör och själv leverera credentials som stödjer påståendet. Ett naivt system kontrollerar att pappersarbetet är internt konsistent, ser att det är det, och släpper igenom agenten. Bedragaren är nu inne i ert flöde, betrodd, och agerar på riktig data.
Ett system byggt för styrning gör tvärtom. Det behandlar varje extern agent som obevisad tills identiteten verifierats mot den part den påstår sig representera - inte mot credentials som agenten själv överlämnat. Den riktiga leverantörens agent släpps in. Bedragaren stoppas vid dörren, och avvisningen skrivs till en logg ni kan visa en revisor.
Skillnaden - att verifiera identitet mot den påstådda källan, inte mot den som påstår sig själv - är hela skillnaden mellan ett öppet agentnätverk och en öppen dörr. Den är oglamorös, osynlig när den fungerar, och det är det de flesta team inte byggt ännu.
”Kan vi inte bara använda vår molntjänstleverantörs agentplattform?”
Det kan ni. Flera erbjuder nu agenthantering med styrning inbyggd, och för en organisation som lever helt inom ett moln och en AI-modell kan det räcka.
De flesta organisationer lever inte så. Era agenter kommer att köras i mer än ett moln. De byggs på mer än en AI-modell - för att den bästa modellen för en uppgift sällan är den bästa för nästa, och för att satsa hela er agentstrategi på en enda AI-leverantör är den typ av beroende ni kan äta upp resten av karriären med att ångra. Och allt oftare behöver era agenter interagera med agenter utanför er organisation.
Ett styrningslager som bara fungerar innanför en leverantörs väggar kan inte se något av det. Det styr agenterna som leverantören hostar, på leverantörens modell, och blir blindt i samma ögonblick som en agent kliver ut. Det är inte styrning - det är ett staket runt ett fält medan hjorden vandrar över tre.
Styrningslagret som faktiskt skyddar er måste vara neutralt: oberoende av vilket moln agenten körs i, oberoende av vilken AI-modell den byggts på, och kapabelt att tillämpa samma identitetskontroller, åtkomstregler och revisionsspår på varje agent oavsett var den kom ifrån. Neutralitet är inte en funktion här. Det är förutsättningen för att hela satsningen ska vara värd något.
Det här är inte er brand idag. Det blir det snart.
Var ärliga med er själva om timing. Om organisationen har tre agenter och alla körs på samma ställe har ni inte problemet ännu. Den som säger att huset brinner säljer något.
Men riktningen är inte tvivelaktig. Standarden är etablerad, varje stor leverantör levererar stöd för den, och antalet agenter i ett typiskt företag går bara åt ett håll. Team som tänker identitet, åtkomst och revision innan spridningen tar en eftermiddag. Team som väntar spenderar ett kvartal på att reda ut det, troligen efter att något gått fel.
Styrning är dramatiskt billigare att installera innan ni har fyrtio agenter än efter. Det är hela argumentet. Inte rädsla - ordning.
Vad ni ska fråga
Ni behöver inte förstå protokollet för att ställa rätt frågor till den som äger er agentstrategi:
- När en extern agent presenterar sig för våra system, hur verifierar vi att den är vad den påstår sig vara - och verifierar vi mot källan, eller litar vi på dess egna credentials?
- Om vi behövde visa en revisor varje agent som rört en given dataset, skulle vi kunna det?
- Fungerar vår agentstyrning över våra molntjänster och AI-modeller - eller bara inom en leverantör?
- Kan vi svara på allt ovan idag, eller bara i en presentation?
Om svaren är solida ligger ni före de flesta. Om inte är goda nyheten att jobbet är betydligt mindre nu än om ett år.
Agenterna kommer börja prata med varandra oavsett. Det enda valet ni har är om någon kollar ID vid dörren.
Behöver ni ett neutralt styrningslager för agenter över molntjänster, modeller och leverantörer? Berätta om er miljö i formuläret nedan - vi går igenom identitet, åtkomst och revision utifrån er egen arkitektur.