#56 — Zapomniane klauzule

Pierwszą rzeczą, która zatrzyma program agentowy, może być zapis w umowie licencyjnej.

Drogi Czytelniku,

Dwa ostatnie numery poświęciliśmy temu, co dzieje się, gdy agent AI zaczyna działać samodzielnie: roli człowieka, którą projektujemy z powrotem w systemie, oraz śladowi, jaki system po sobie zostawia. W tym numerze cofamy się do bardziej podstawowego pytania. Czy w ogóle wolno nam „dołożyć” agenta do oprogramowania, z którego firma już korzysta? Dla rosnącej liczby systemów odpowiedź brzmi „nie” — i nie ma to podłoża technicznego.

Zablokowane na etapie logowania

Wyobraźmy sobie agenta, którego zakres zadań obejmuje realną pracę: uzgadnianie faktur, pobieranie akt spraw, aktualizowanie danych w trzech różnych narzędziach wewnętrznych. W środowisku developerskim jego rozumowanie przebiega bez zarzutu. Problem pojawia się przy testach integracyjnych. Agent napotyka monity uwierzytelniania wieloskładnikowego stworzone dla człowieka, wygasające tokeny sesji i systemy wykrywania botów, które zainstalowano lata temu w celu ochrony przed scraperami. Jeden z niedawnych raportów branżowych dobrze to ujął: agenty dla przedsiębiorstw grzęzną na etapie logowania, a nie na poziomie rozumowania (TechTimes).

Część z tych problemów da się rozwiązać na poziomie technicznym. Z umową jest inaczej: większość licencji na oprogramowanie udzielonych przed 2024 rokiem zawiera klauzulę zabraniającą dostępu „zautomatyzowanego”, „bez udziału człowieka” lub „przez boty”. Były to zapisy wymierzone w screen-scrapery, stworzone na długo, zanim ktokolwiek pomyślał o sprzedaży agentów AI. Czytane dzisiaj, opisują dokładnie to, czym jest agent: zautomatyzowanym bytem, który bez udziału człowieka używa poświadczeń pracownika, by wykonać za niego pracę w systemie. Nikt nie pisał tej klauzuli z myślą o agentach, mimo to jest ona wiążąca.

Teraz dostawcy zaczynają mówić o tym wprost. LexisNexis, którego narzędzia do researchu prawnego są wykorzystywane w wielu firmach z branż regulowanych, dodał zapis zabraniający klientom używania „jakiegokolwiek autonomicznego agenta AI, systemu agentowego AI… w celu uzyskania dostępu, logowania się, nawigowania, zadawania zapytań lub wchodzenia w jakąkolwiek inną interakcję z Usługami Online… bez uprzedniej, wyraźnej pisemnej zgody LN” (LexisNexis General Terms). Unity poszło o krok dalej i wskazało konkretne mechanizmy, zakazując dostępu „za pomocą jakiegokolwiek agenta AI, autonomicznego lub półautonomicznego systemu oprogramowania, dużego modelu językowego… klienta lub serwera MCP (model-context-protocol), frameworku agentowego”, chyba że klient wykupi oddzielny, wyższy pakiet dostępu (Unity Terms of Service). To sformułowanie wywołało na początku lipca na tyle duże oburzenie, że firma musiała wyjaśnić, iż klauzula dotyczy jej usług chmurowych i marketplace, a nie maszyny samego dewelopera. To wyjaśnienie jest jednak mniej istotne niż sam kierunek zmian. Dostawcy właśnie teraz, na swoją korzyść, na nowo wytyczają granice dla agentów.

Dlaczego ta granica przesuwa się właśnie teraz

To jest ruch biznesowy ukryty pod płaszczykiem troski o bezpieczeństwo. Gartner wycenił to, przed czym bronią się dostawcy: do 2030 roku zagrożone są wydatki na aplikacje dla przedsiębiorstw o wartości do 234 miliardów dolarów, ponieważ według jego prognoz jeden agent będzie w stanie wykonać w kilku systemach pracę, którą wcześniej wykonywała cała grupa licencjonowanych użytkowników. Gartner nazywa to zjawisko „arbitrażem agentowym”. Jego wiceprezes, George Brocklehurst, ujął tę zmianę tak: „Oprogramowanie kupuje się już nie tylko dla ludzi; coraz częściej kupuje się je dla agentów”. Jeśli model cenowy opiera się na liczbie stanowisk, a agent zastępuje stanowisko, to model przychodowy dostawcy się załamuje. To spojrzenie, które według mnie można scharakteryzować jako znajdujące się na samym szczycie „inflated expectations”. Faktyczna automatyzacja nie będzie w najbliższych latach moim zdaniem postępować aż tak bardzo i niedługo znajdziemy się w dolinie rozczarowania. Niemniej jednak samo zjawisko jest realne.

Dlatego dostawcy zamiast całkowitego zakazu wybierają liczniki. ServiceNow, SAP i Workday kierują teraz zewnętrzne agenty przez warstwy integracyjne z opłatą za użycie, zanim te uzyskają dostęp do danych klienta. HubSpot przeszedł w przypadku swojego agenta do obsługi klienta z ryczałtu na stawkę 50 centów za każdą przeprowadzoną rozmowę. Nawet OpenAI rozlicza swoje własne agenty do zastosowań biurowych za każde uruchomienie — zmiana ta weszła w życie 6 lipca. Klauzula blokująca i licznik to dwie formy tego samego działania: jedna uniemożliwia agentowi dostęp, druga go wpuszcza, ale uruchamia licznik, którego stawkę ustala vendor. To jest dodatkowy koszt, który trzeba uwzględnić budując rozwiązania agentowe w przedsiębiorstwie, poza samą inferencją, infrastrukturą, czy kosztem dostosowania procesów i budowy kompetencji.

Lock-in wpisywany w odnowienia umów

Pod kwestiami cenowymi kryje się wolniej narastające zagadnienie, które warto obserwować. Agent działający w ramach operacji firmy gromadzi w trakcie pracy kontekst: firmowe workflow, wyjątki od reguły, niepisane zasady. Istnieje pokusa, by traktować to jako koszt zmiany dostawcy przy założeniu, że nowy kontrakt oznacza start od zera, ale przeważnie tak nie jest. Agent przechowuje ten kontekst poza modelem, w plikach pamięci i bazach do wyszukiwania (retrieval stores), które znajdują się we własnych systemach firmy i mogą być przenoszone; przykładowo narzędzie pamięci od Anthropic działa po stronie klienta i nie zapisuje niczego w modelu (Anthropic). Jedynym prawdziwym wyjątkiem jest model, na którym dostawca przeprowadził fine-tuning na danych firmy: zamknięty model po fine-tuningu istnieje wyłącznie jako hostowany endpoint dostawcy, a nie jako plik z wagami modelu, który można pobrać. Poważniejsze ryzyko jest jednak inne. Aby działać, agent korzystający z hostowanego modelu wysyła ten kontekst do dostawcy: procesy firmy, wyjątki od reguł, a czasami prawdziwe tajemnice handlowe. Większość umów na poziomie enterprise stanowi, że dostawcy nie będą na tych danych trenować swoich modeli: warunki handlowe Anthropic mówią, że firma „nie może trenować modeli na Treściach Klienta", a OpenAI i Azure zobowiązują się do tego samego w planach typu business (Anthropic, OpenAI). Ochrona ta ma jednak charakter umowny, nie techniczny. Oczywiście to samo zjawisko występuje w SaaS, jednak tam rozdzielenie danych należących do poszczególnych klientów jest prostsze i w pełni deterministyczne.

Pytanie, na które musi odpowiedzieć umowa, brzmi zatem: kto jest właścicielem tej wiedzy operacyjnej, którą buduje agent? Jeżeli umowa pozwala dostawcy zachować te dane i trenować na nich model, wiedza operacyjna firmy może posłużyć do ulepszenia współdzielonego modelu, z którego korzysta również konkurencja. Gartner przewiduje, że do 2030 roku 85% wydatków na agentowe AI będzie częścią odnawianych umów na istniejące oprogramowanie SaaS (wzrost z 55% w 2025 roku). Warunki określające, kto jest właścicielem wiedzy zdobywanej przez agenty, są wpisywane do umów odnawianych w tym roku. W numerze 13 argumentowałem, że API to zobowiązanie, które się na siebie bierze, a nie tylko funkcja, którą się kupuje. Agentowa wersja tego zobowiązania jest zapisana w odnawianej umowie.

Co w tej sytuacji powinno zrobić przedsiębiorstwo z branży regulowanej

Dla polskiego banku, ubezpieczyciela czy firmy farmaceutycznej taka klauzula to kwestia nie tylko handlowa, ale i nadzorcza. Rozporządzenie DORA, obowiązujące od stycznia 2025 roku i egzekwowane w Polsce przez KNF, już teraz wymaga prowadzenia rejestru umów z zewnętrznymi dostawcami ICT oraz udokumentowanej strategii wyjścia dla każdego z nich, jeśli wspiera on funkcję krytyczną lub ważną. Agent, który prowadzi triage roszczeń lub weryfikuje zdolność kredytową przez płatną warstwę integracyjną dostawcy, ucząc się przy tym operacji firmy, jest dokładnie takim przypadkiem. Jeśli plan wyjścia nie określa, co stanie się z agentem i całą jego zdobytą wiedzą w dniu wygaśnięcia umowy, to ma lukę, której zamknięcia DORA już oczekuje. Agent jest tu zazwyczaj nienazwanym uczestnikiem łańcucha przetwarzania, pominiętym, bo nie istniał w momencie podpisywania umowy.

Wniosek jest mało efektowny. Zanim zaplanujemy wdrożenie agentowe, przeczytajmy umowy na oprogramowanie, które już posiadamy. Rzeczą, która najprawdopodobniej zatrzyma ten program, nie są zdolności modelu ani obowiązki wynikające z AI Act w odniesieniu do systemów wysokiego ryzyka, których wdrożenie odroczono do 2 grudnia 2027 roku. Jest nią klauzula. To jest to samo due diligence, o które apelowałem w numerze 11 przy zakupie AI, tylko skierowane w stronę zasobów kupionych lata temu, do których rzadko się od tamtej pory wraca. Prawdziwe negocjacje mają charakter handlowy i prawny: kto może uruchomić agenta, według jakiego licznika i kto jest właścicielem tego, czego agent się nauczy. Firma, która jeszcze przed wdrożeniem agentów przejrzy swoje umowy na oprogramowanie pod kątem prawnym, zyskuje przewagę nad tą, która odkrywa klauzulę już po zbudowaniu agenta. Żadna polska firma nie opublikowała jeszcze, w jaki sposób traktuje umowy z dostawcami jako problem z obszaru governance agentów. Jest pole, by być pierwszym.

Briefing

Na początku lipca, w ciągu zaledwie dwóch dni, trzy z największych laboratoriów udostępniły publicznie nowe modele frontier: GPT-5.6 od OpenAI, Grok 4.5 od SpaceXAI oraz Muse Spark 1.1 od Meta zadebiutowały 8-9 lipca (Business Insider). Kiedy czołowe modele pojawiają się w odstępie kilku dni i z każdą premierą wymieniają się na pozycji lidera, sama wydajność modelu przestaje być źródłem przewagi. Warstwę modeli należy traktować jako wymienną, a wysiłek projektowy inwestować w te części stosu technologicznego, które nimi nie są — czyli w coraz większym stopniu w dane, integracje i otaczające je umowy.

Europejska Rada ds. Ryzyka Systemowego ostrzegła 7 lipca, że modele frontier są już w stanie znajdować luki w oprogramowaniu i przeprowadzać cyberataki na pełną skalę w tempie maszynowym, a Europejski Bank Centralny nakazał bankom przedstawienie nadzorcom planów działania w zakresie cyberbezpieczeństwa związanego z AI do 31 października (Regulation Tomorrow). W finansach zegar nadzorczy już wyprzedza harmonogram AI Act, przewidziany na 2027 rok. Firma nadzorowana przez KNF powinna spodziewać się podobnych wymagań, niezależnie od kalendarza samego rozporządzenia.

Pytania dla zarządu

  1. Czy w przypadku kluczowych systemów, z którymi będą wchodzić w interakcję nasze pierwsze agenty, ktoś przeczytał aktualne warunki świadczenia usług pod kątem klauzul dotyczących dostępu zautomatyzowanego, realizowanego bez udziału człowieka lub przez agenty? Co mówi każda z nich?
  2. Kiedy vendor rozlicza dostęp agenta za każdą wykonaną akcję, kto w firmie odpowiada za tę linię w budżecie i czy nasz business case dla wdrożenia agenta zakładał, że ten dostęp będzie darmowy?
  3. Kto jest właścicielem wiedzy, którą nasze agenty zdobywają na temat naszych procesów operacyjnych? Gdybyśmy w przyszłym roku zmienili dostawcę, co stracilibyśmy bezpowrotnie, bo nie da się tego wyeksportować?
  4. Czy w ramach DORA nasza strategia wyjścia dla krytycznych usług ICT uwzględnia agenta i posiadaną przez niego wiedzę operacyjną, czy kończy się na samych danych?

Podsumowanie

Zanim agent będzie mógł zadziałać, musi dostać się do systemu, a to staje się coraz trudniejsze. Umowy często wprost zabraniają zautomatyzowanego dostępu, używając szablonowych zapisów stworzonych lata temu przeciwko scraperom, które teraz przypadkowo obejmują również agenty. Dostawcy zaczynają formułować ten zakaz wprost, wymieniając z nazwy agenty AI i klientów MCP. Powód jest biznesowy: pojedynczy agent zastępujący kilka stanowisk niszczy model oparty na licencjach per-seat, który Gartner wycenia na 234 miliardy dolarów zagrożonych wydatków. Dlatego tam, gdzie dostawcy nie zakazują dostępu agentom, wprowadzają nowe modele licencjonowania. Głębszy problem to lock-in: kto jest właścicielem wiedzy o operacjach firmy, którą zdobywa agent. Ten warunek jest wpisywany do odnowień umów i często pozostaje niezauważony. Dla firmy np. nadzorowanej przez KNF jest to też kwestia zgodności z DORA w zakresie zależności od stron trzecich i strategii wyjścia. Rozwiązanie jest proste, ale żmudne — należy przeczytać umowy, które już zostały podpisane, zanim zbuduje się coś, czego mogą one zabraniać.

Zachowaj równowagę, Krzysztof

Krzysztof Goworek jest założycielem Quintant — firmy doradczej, która prowadzi przedsiębiorstwa od eksperymentów AI do realnej, mierzalnej wartości.