W tekście o Moltbooku problemem nie był tylko wyciek kluczy API ani prompt injection. Ciekawsze było coś innego: platforma dla agentów bardzo szybko pokazała, co dzieje się, gdy agentów jest więcej niż nadzoru. To prowadzi do kolejnego pytania, znacznie ważniejszego niż sam case startupu: kim właściwie jest agent w systemie? Jeśli rynek zaczyna mówić o „agent identity”, to znaczy, że agent przestaje być traktowany jak funkcja w aplikacji, a zaczyna jak osobny byt wykonawczy, którego trzeba odkryć, uwierzytelnić, ograniczyć i w razie potrzeby wyłączyć. Okta mówi dziś o agentach wprost jako o nowej klasie nieludzkich tożsamości, a Microsoft buduje dla nich odrębny model w Entra Agent ID.
To jest moment, w którym język rynku zaczyna zdradzać większą zmianę. Przez lata tożsamość w systemach enterprise dotyczyła głównie trzech kategorii: ludzi, aplikacji i kont technicznych. Agent AI nie mieści się wygodnie w żadnej z nich. Nie jest człowiekiem, ale działa w jego imieniu. Nie jest zwykłą aplikacją, bo potrafi podejmować decyzje, korzystać z narzędzi i uruchamiać workflow. Nie jest też klasycznym service accountem, bo jego zachowanie bywa częściowo dynamiczne, kontekstowe i zależne od celu. Właśnie dlatego Okta stawia dziś trzy pytania: gdzie są moje agenty, z czym mogą się łączyć i co mogą robić.
I to jest bardzo cyberfluxowe, bo dobrze domyka wcześniejsze wątki o permission injection i o tym, że prawdziwy problem zaczyna się tam, gdzie agent może działać. W tamtych tekstach problemem były uprawnienia, narzędzia i wykonanie. Agent identity dodaje kolejną warstwę: jak w ogóle rozpoznać wykonawcę i objąć go polityką zaufania. Microsoft pisze wprost, że każdy nowy agent wnosi nowe tożsamości, uprawnienia i ścieżki dostępu, a Entra Agent ID ma służyć właśnie do budowania, odkrywania, nadawania zasad i ochrony takich tożsamości na skalę organizacji.
Agent przestaje być funkcją. Staje się uczestnikiem systemu
Najprościej można to ująć tak: agent identity to chwila, w której rynek przyznaje, że agent nie jest już tylko „sprytną funkcją AI”. Jest nowym uczestnikiem systemu. A każdy nowy uczestnik systemu bardzo szybko staje się problemem bezpieczeństwa.
W klasycznym świecie aplikacja robiła to, do czego została napisana. Można było przypisać jej konto, zestaw scopes i przewidywalny model działania. Agent działa inaczej. Ma cel, kontekst, narzędzia, pamięć i często pewien zakres autonomii. Microsoft opisuje agent identities jako wyspecjalizowany typ tożsamości reprezentowany przez service principal z własnym cyklem życia i własnymi uprawnieniami. To już nie jest ozdobnik architektoniczny. To przyznanie, że agent musi być traktowany jak coś więcej niż biblioteka czy feature flag.
To ma ogromne znaczenie praktyczne. Jeśli agent potrafi wykonywać zadania, uruchamiać workflow, sięgać do zasobów albo reprezentować użytkownika, to trzeba wiedzieć:
- kto go utworzył,
- z jakich tokenów korzysta,
- jaki ma zakres działania,
- gdzie jest widoczny,
- i jak go odciąć, gdy zacznie działać nie tak.
To właśnie jest sedno agent identity. Nie chodzi o „profil dla bota”, tylko o próbę wpisania sprawczości agentów w znaną logikę IAM: identyfikacja, uwierzytelnienie, autoryzacja, widoczność, ograniczenia i cykl życia. Okta reklamuje tę warstwę wprost jako sposób na wykrywanie „shadow AI agents” i przejęcie kontroli nad całą „AI workforce”.
Po co to Mecie
To pytanie jest kluczowe, bo łatwo odczytać cały wątek jako kolejną modę branżową. Tymczasem z punktu widzenia dużej platformy agent identity ma bardzo praktyczny sens. Jeśli Meta zakłada, że agenci będą działać masowo, komunikować się między usługami i wykonywać realne zadania, to sama zdolność modelu do odpowiadania na pytania nie wystarczy. Potrzebna jest warstwa, która powie: który agent jest który, komu można ufać, co wolno mu zrobić i jak odróżnić legalnego agenta od podszycia. TechRadar sugeruje właśnie taki powód zainteresowania Moltbookiem: nie sam „social graph dla agentów”, ale infrastruktura weryfikacji tożsamości agentów i komunikacji agent–agent na dużą skalę.
Najuczciwiej trzeba jednak dodać, że intencja Mety nie jest publicznie opisana w formie oficjalnego manifestu. Nie mamy dokumentu „kupiliśmy to dokładnie po to”. Mamy raczej mocne przesłanki: relacje o wartości infrastruktury agentowej, równoległy zwrot rynku IAM w stronę agent identities oraz coraz częstsze traktowanie agentów jako „digital workers”, których trzeba wdrażać, ograniczać i w razie czego zatrzymywać. The Verge opisuje tę zmianę językiem bardzo prostym: agent może stać się nową, ogromną kategorią tożsamości, być może nawet większą niż tożsamość ludzi.
Moltbook pokazuje problem, agent identity pokazuje odpowiedź
To jest chyba najlepszy sposób, żeby spiąć oba teksty. Moltbook pokazuje, co się dzieje, gdy agentowy ekosystem rośnie szybciej niż nadzór nad nim. Agent identity pokazuje, jak rynek próbuje na to odpowiedzieć.
Moltbook ujawniło chaos:
- wyciek kluczy API,
- problemy z prompt injection,
- słabe rozróżnienie między autonomią a wcześniej ustawionym zachowaniem,
- i ogólny brak dojrzałej warstwy kontroli dla agentów.
Z kolei Okta i Microsoft próbują nadać agentom ramę znaną z klasycznego bezpieczeństwa:
- wykrywalność,
- centralny nadzór,
- zasady least privilege,
- unikalną tożsamość,
- cykl życia,
- oraz możliwość reagowania, gdy agent staje się problemem.
To nie znaczy, że rynek ma już gotowe rozwiązanie. To znaczy raczej, że przestał udawać, iż agent to tylko kolejny przyjemny interfejs do modelu. Skoro buduje się dla niego osobną warstwę tożsamości, to znaczy, że agent wszedł do tej samej ligi co użytkownicy, aplikacje uprzywilejowane i konta techniczne. A to oznacza również, że od teraz będzie oceniany nie tylko przez pryzmat jakości odpowiedzi, ale przez pryzmat kontroli, rozliczalności i ryzyka.
Agent jako nowa tożsamość uprzywilejowana
I tu pojawia się najciekawsza teza całego tematu: agent AI staje się nową tożsamością uprzywilejowaną.
Nie dlatego, że każdy agent od razu jest adminem. Tylko dlatego, że z definicji działa na styku zaufania, narzędzi i wykonania. Jeśli może czytać dane, korzystać z konektorów, uruchamiać workflow, komunikować się z innymi agentami albo reprezentować użytkownika, to jego tożsamość ma znaczenie dużo większe niż zwykły identyfikator techniczny. Microsoft opisuje tę warstwę jako zintegrowaną z ochroną dostępu, audytem i standardowymi protokołami. Okta opisuje ją jako sposób na odkrywanie agentów, kontrolę połączeń i ograniczanie tego, co agent może robić w środowisku.
To dobrze łączy się z wcześniejszymi analizami Cyberfluxa. Jeśli permission injection mówiło: problemem są możliwości działania, a secrets sprawl: problemem jest paliwo wykonania, to agent identity dodaje trzeci element: kim jest byt, który w ogóle dostał te możliwości i to paliwo. Bez tej warstwy zarządzanie agentami szybko zmienia się w zarządzanie cieniem. I właśnie dlatego Okta już dziś używa pojęcia „shadow AI agents” — bo dobrze rozumie, że agenci mogą rozlać się po organizacji dokładnie tak, jak wcześniej rozlewały się shadow IT i niekontrolowane integracje SaaS.
Dlaczego to ważne właśnie teraz
Bo właśnie teraz agentic AI przechodzi z etapu demonstracji do etapu wdrożeń operacyjnych. A wraz z tym ruchem kończy się komfort myślenia o agencie jak o czymś tymczasowym, eksperymentalnym i „jeszcze nie do końca prawdziwym”. Microsoft pisze wprost, że każda nowa AI tool lub agent wprowadza nowe tożsamości, uprawnienia i ścieżki dostępu. To bardzo ważne zdanie, bo pokazuje, że problem nie dotyczy wyłącznie modeli. Dotyczy całej infrastruktury wokół nich.
I właśnie dlatego agent identity nie jest niszowym tematem dla działów IAM. To może być jedna z kluczowych warstw przyszłego bezpieczeństwa AI. Jeżeli agent ma stać się trwałym uczestnikiem systemu, trzeba go w końcu potraktować jak uczestnika systemu — a nie jak gadżet, który po prostu „pomaga użytkownikowi”. Moltbook pokazało, jak wygląda świat bez tej warstwy porządku. Rynek tożsamości próbuje teraz zbudować coś, co ten brak ma zasypać.
Podsumowanie
Moltbook pokazało, że agentowy ekosystem bez porządnej warstwy kontroli bardzo szybko zamienia się w chaos. Agent identity pokazuje, że rynek zaczyna traktować ten chaos jak realny problem infrastrukturalny, a nie dziwną cechę wczesnych produktów AI.
Jeśli agent potrzebuje własnej tożsamości, to znaczy, że przestaliśmy mówić o „pomocniku AI”, a zaczęliśmy mówić o nowym uczestniku systemu. A każdy nowy uczestnik systemu prędzej czy później staje się problemem bezpieczeństwa.
Źródła
TechRadar — o Moltbooku, wycieku kluczy API, prompt injection i wartości projektu dla Mety.
Okta — o „Okta for AI Agents”, pytaniach: gdzie są moje agenty, z czym mogą się łączyć i co mogą robić.
Microsoft Entra — o agent identities jako specjalizowanym konstrukcie tożsamości dla agentów AI.
The Verge — o strategicznym zakładzie O kta na agent identity i traktowaniu agentów jak „digital workers”.
