У корпоративному світі генеративного AI з’явився новий клас проблем: не як створити агентів, а як ними керувати. На подкасті IBM Mixture of Experts інженери IBM — зокрема головний архітектор watsonx Orchestrate Міхай Кріветі, директор з AgentOps Акаш Срівастава та інженерка Олівія Бужек — обговорюють, як компанії вже потопають у «випадкових актах AI» і чому IBM відповідає на це розробкою watsonx agentic control plane, контрольної площини для агентів.
Коли «випадкові акти AI» стають системною загрозою
Сценарій, який описують інженери IBM, дедалі частіше виглядає однаково. Велика організація за рік‑два експериментів накопичує десятки, а іноді й сотні агентів: чат‑боти для підтримки клієнтів, внутрішні помічники для юристів, автоматизовані аналітики для фінансів, агенти для DevOps, маркетингу, HR.
Кожен підрозділ запускає свої пілоти, часто на різних платформах, з різними моделями, різними підходами до безпеки й логування. У результаті, за оцінками IBM, типова велика компанія вже має від 60 до 200 агентів, які працюють «у дикому полі» — без єдиного управління, без централізованої ідентичності, без узгоджених політик доступу до даних, без повної спостережуваності.
На цьому тлі починає тиснути регулятор. Європейський AI Act, який поступово набирає чинності, прямо вимагає від організацій прозорості, керованості та можливості аудиту AI‑систем. Для компаній, які не можуть навіть точно сказати, скільки агентів у них запущено і де вони працюють, це перетворюється на реальну юридичну й репутаційну загрозу.
До цього додається ще один фактор — вартість. Коли кожен підрозділ самостійно піднімає агентів на різних хмарах і моделях, рахунки за інференс і доступ до API починають неконтрольовано зростати. Без єдиного шару обліку й політик важко навіть зрозуміти, де саме «горять» гроші.
Усе це створює типову картину: будувати агентів виявилося відносно легко, але керувати ними на рівні підприємства — надзвичайно складно. Саме цю прірву IBM намагається закрити за допомогою watsonx agentic control plane.
Kubernetes для агентів: як виглядає контрольна площина
Щоб пояснити, що таке контрольна площина для агентів, IBM апелює до знайомого прецеденту — Kubernetes. На початку ери контейнерів компанії масово запускали Docker‑контейнери де завгодно: на окремих серверах, у різних хмарах, без єдиної системи оркестрації. Ніхто точно не знав, де що крутиться, як це захищено, як оновлюється і що станеться при відмові вузла.
Kubernetes розв’язав цю проблему, розділивши світ на дві площини: control plane і data plane. Control plane зберігає знання про те, які сервіси мають існувати, які політики до них застосовуються, як вони масштабуються й оновлюються. Data plane — це власне виконання контейнерів на вузлах кластера.
IBM пропонує застосувати той самий підхід до AI‑агентів. У їхній архітектурі watsonx agentic control plane виконує роль «мозку», який:
- визначає ідентичність кожного агента та його права доступу;
- застосовує політики безпеки й відповідності;
- забезпечує спостережуваність і аудит;
- керує життєвим циклом агентів — від розгортання до виведення з експлуатації.
Data plane, своєю чергою, — це місце, де агенти фактично працюють: виконують LLM‑запити, викликають інструменти, звертаються до протоколів на кшталт MCP, формують структуровані результати. Контрольна площина не «крутить» ці навантаження, а координує їх, накладає правила й збирає «вихлоп» для аналізу.
Такий поділ дозволяє зберегти гнучкість на рівні реалізації агентів (вони можуть бути побудовані на різних фреймворках, працювати в різних середовищах), але водночас підпорядкувати їх єдиному набору корпоративних вимог до безпеки, вартості, якості та відповідності регуляціям.
Проблема ймовірнісної поведінки: чому контроль — не тимчасовий костиль
Класичне корпоративне ПЗ є детермінованим: за однакових вхідних даних воно дає однаковий результат. Це дозволяє будувати навколо нього звичний SDLC — юніт‑тести, CI/CD, регресійне тестування, формальні верифікації критичних компонентів.
Агенти на базі LLM працюють інакше. Вони є ймовірнісними: одна й та сама інструкція може дати різні відповіді, залежно від температури, контексту, внутрішнього стану. Це не означає повний хаос, але означає, що поведінка системи розподілена, а не фіксована.
IBM прямо називає агентів «ймовірнісним програмним забезпеченням» і стверджує, що це не тимчасова особливість «недорозвинених» моделей, а фундаментальна риса цього класу систем. Навіть якщо моделі стануть значно кращими, вони не перетворяться на повністю передбачувані автомати. А отже, потреба в контрольованому, аудиторованому доступі до даних і в керованому маршрутизаційному шарі залишиться постійною.
Це має два важливі наслідки для архітектури підприємства.
По‑перше, контрольна площина не може бути просто «тимчасовим костилем», який зникне, коли моделі «подорослішають». Вона стає постійним елементом інфраструктури, так само як системи IAM чи SIEM. Її завдання — не виправити недоліки моделей, а створити безпечний і керований контекст, у якому ймовірнісні компоненти можуть працювати з критичними даними.
По‑друге, самі агенти не можуть бути єдиними «охоронцями» власної поведінки. Навіть якщо частина логіки контролю буде делегована іншим агентам, має існувати детермінований, неагентний шар, який задає незмінні обмеження. Інакше виникає класична проблема «хто стежить за наглядачами».
Саме тут IBM робить акцент на тому, що в контрольній площині закладаються жорсткі, не підконтрольні агентам механізми — від фільтрації персональних даних до обмеження витрат.
Детерміновані «kill switch» і політики: що саме не можна віддати агентам
Один із ключових елементів дизайну watsonx agentic control plane — чітке розмежування того, що може бути агентним і ймовірнісним, і того, що має залишатися детермінованим і політично керованим.
На рівні взаємодії з користувачем IBM готова робити інтерфейс контрольної площини частково агентним. Це означає, що самі агенти можуть допомагати операторам аналізувати телеметрію, пропонувати оптимізації, автоматично генерувати звіти чи навіть пропонувати зміни в конфігурації.
Але є категорії функцій, які принципово не можна віддавати на відкуп ймовірнісним системам. Серед них IBM виділяє:
Фільтрація PII та PHI. У спостережуваності за агентами збирається величезний обсяг «вихлопу» — промпти, відповіді, проміжні виклики інструментів. Якщо цей потік без фільтрації потрапляє в системи моніторингу, до нього отримують доступ люди, які не повинні бачити персональні чи медичні дані. Тому в контрольній площині закладається детермінований шар фільтрації PII/PHI, який не може бути обійдений агентами.
Жорсткі обмеження витрат. Вартість викликів LLM і зовнішніх інструментів може швидко вийти з‑під контролю, якщо агенти почнуть «галюцинувати» довгі ланцюжки запитів. Контрольна площина має забезпечувати детерміновані ліміти — як на рівні окремого агента, так і на рівні підрозділу чи всієї організації. Агенти можуть пропонувати оптимізації, але не можуть самостійно знімати чи обходити ці обмеження.
Політики доступу до даних. Хто і за яких умов може читати чи змінювати певні набори даних — це питання відповідності регуляціям і внутрішнім нормам. Тут потрібні чіткі, формально визначені політики, які застосовуються незалежно від того, як саме агент формулює свій запит. Контрольна площина виступає єдиною точкою, де ці політики реалізуються й логуються.
Kill switches. У разі аномальної поведінки агента — наприклад, масового розсилання листів, некоректних транзакцій чи спроби доступу до заборонених ресурсів — має існувати можливість негайно й детерміновано зупинити його роботу. Цей механізм не може бути агентним чи ймовірнісним; це має бути простий, перевірений шлях відключення, який підкоряється лише людським операторам і формальним правилам.
Усі ці елементи разом формують «несучу конструкцію» контрольної площини. На неї вже можна навішувати більш гнучкі, агентні компоненти, але сам каркас залишається жорстким і прозорим для аудиту.
Регуляції як каталізатор: роль EU AI Act у формуванні нової інфраструктури
Якщо перша хвиля впровадження агентів у бізнесі була переважно технологічно й бізнес‑орієнтованою («що ми можемо автоматизувати?»), то друга хвиля дедалі більше визначається регуляторними вимогами.
IBM прямо вказує на EU AI Act як один із головних драйверів попиту на контрольні площини. Європейське законодавство вимагає від організацій:
- розуміти, де й як саме використовується AI;
- мати можливість пояснити прийняті системою рішення;
- забезпечувати захист персональних даних;
- демонструвати наявність процесів управління ризиками.
У світі, де агенти розгорнуті фрагментовано й без єдиної системи управління, виконати ці вимоги практично неможливо. Контрольна площина, навпаки, за своєю природою створює те, чого вимагає регулятор: централізовану картину того, які агенти існують, які дані вони використовують, які політики до них застосовуються, які логи й метрики збираються.
Це не лише питання уникнення штрафів. Для багатьох великих компаній відповідність стає умовою участі в глобальних ланцюгах постачання: партнери й замовники вимагають підтвердження того, що AI‑системи керовані й безпечні. Наявність контрольної площини перетворюється на конкурентну перевагу, яка дозволяє масштабувати використання агентів без страху перед регуляторними наслідками.
Водночас IBM не подає це як чисто «юридичну» історію. Регуляторний тиск лише підсвічує те, що й так є технічною необхідністю: без централізованого контролю й аудиту ймовірнісні агенти в корпоративному середовищі залишаються джерелом системних ризиків.
Висновок: агенти не зникнуть, тож має з’явитися інфраструктура для них
Корпоративний ландшафт AI‑агентів уже сформувався: десятки й сотні систем, розгорнутих у різних підрозділах, на різних платформах, із різним рівнем зрілості. Повернутися до «додагентної» епохи неможливо, а спроба просто «заборонити» ініціативи знизу лише штовхне їх у тінь.
IBM фактично пропонує інший шлях: прийняти, що агенти — це новий клас ймовірнісного програмного забезпечення, і побудувати для нього таку саму інфраструктуру, яку свого часу побудували для контейнерів і мікросервісів. watsonx agentic control plane у цій картині виступає аналогом Kubernetes‑control plane: не місцем, де відбувається вся робота, а мозком, який знає, що існує, як це має поводитися, які обмеження й політики застосовуються, і як усе це спостерігати й вимірювати.
Регуляторний тиск, зокрема EU AI Act, лише прискорює неминуче: без контрольної площини агенти залишаються «випадковими актами AI», які важко масштабувати, важко аудіювати й важко захищати. З нею вони можуть стати керованим, хоч і ймовірнісним, шаром корпоративного ПЗ — із чіткими межами, детермінованими запобіжниками й прозорим слідом для аудиту.
У найближчі роки саме такі інфраструктурні рішення, а не окремі «розумні» агенти, ймовірно, визначатимуть, які організації зможуть перетворити експерименти з AI на стійку, безпечну й відповідну до регуляцій практику.
Джерело
Agent control planes & OpenAI model solves Erdős — IBM Technology