Gartner waarschuwt dat het toepassen van dezelfde governance-regels op alle AI-agenten kan leiden tot het mislukken van veel bedrijfsprojecten. Het bedrijf stelt dat organisaties een fout maken door deze systemen te behandelen alsof ze allemaal hetzelfde niveau van autonomie, dezelfde machtigingen en hetzelfde operationele risico hebben.
De prognose is duidelijk: tegen 2027 zal 40% van de bedrijven autonome AI-agenten deïnstalleren of verwijderen vanwege governance-tekorten die na incidenten in productie werden vastgesteld. Volgens Gartner ontstaat het probleem vaak wanneer niet wordt onderscheiden tussen de capaciteit van de agent om te handelen en de daadwerkelijke toegangsrechten die worden verleend.
De fout van het gelijk behandelen van alle agenten
De uitrol van AI-agenten is in veel bedrijven versneld, maar het interne beheer evolueert niet altijd gelijktijdig. Gartner wijst erop dat sommige organisaties een zwart-wit aanpak hanteren: ofwel worden de agenten te sterk geblokkeerd, ofwel worden ze te veel vertrouwd.
Beide uitersten brengen problemen met zich mee. Als eenvoudige agenten te streng worden beperkt, verliezen de teams wendbaarheid, vertraagt het projectverloop en ontstaan er mogelijk parallel ontwikkelde systemen buiten het officiële toezicht om. Als er te veel vrijheid wordt gegeven aan autonome agenten, neemt het operationele, beveiligings- en compliance-risico toe.
Shiva Varma, senior analist bij Gartner, vat de kern samen door te stellen dat agenten opereren met verschillende mate van autonomie en binnen verschillende vertrouwenlimieten. Daarom zouden dezelfde regels niet zonder discriminatie toegepast moeten worden.
De sleutel ligt in het classificeren van agenten op basis van wat ze kunnen doen, welke systemen ze benaderen en welke gevolgen een fout kan hebben. Een assistent die documenten samenvat vormt een ander risico dan een agent die configuraties kan wijzigen, communicatie kan versturen of aanpassingen kan doorvoeren in productiesystemen.
Vier niveaus van autonomie
Gartner stelt een proportioneel model voor dat verdeeld is over vier niveaus. Het eerste is observatie: hier heeft de agent alleen leesrechten op specifieke data en zijn resultaten zijn zichtbaar voor de gebruiker die de aanvraag deed. Dit wordt bijvoorbeeld gebruikt voor het samenvatten van documenten, internal knowledge ophalen of code uitleggen.
Op dit niveau moeten de controles licht maar duidelijk zijn: gebruikersauthenticatie, beperkt datatoegang, gebruiksregistratie en basisveiligheids- en werkingstests. Het grootste risico ligt in het blootstellen van informatie en de nauwkeurigheid van de antwoorden.
Het tweede niveau is advisering: de agent genereert aanbevelingen, concepten of voorstellen, maar voert geen acties uit. Een mens beoordeelt de output en beslist of deze wordt gebruikt. Dit type agent wordt gebruikt voor het opstellen van e-mails, rapporten, codegeneratie of besluitondersteuning.
Hoewel de menselijke gebruiker de eindcontrole behoudt, waarschuwt Gartner voor een veelvoorkomend risico: het overschatten van de betrouwbaarheid van automatische antwoorden. Daarom wordt aanbevolen om precisietests uit te voeren, hallucinaties te evalueren, kwaliteit te controleren per domein en gebruikers te trainen zodat ze weten wanneer ze op de agent moeten vertrouwen en wanneer ze die beter kritisch moeten bekijken.
Wanneer de agent begint te handelen
Het derde niveau betreft acties met goedkeuring. Hier kan de agent data schrijven, berichten versturen of configuraties wijzigen, maar elke actie vereist vooraf expliciete menselijke toestemming.
Dit model lijkt veilig, maar Gartner waarschuwt dat menselijke goedkeuring alleen effectief is als het een echte controle blijft. Als de processen verwarrend zijn, er geen traceerbaarheid is, of als goedkeuringen worden gegeven uit gemak of vermoeidheid, wordt de controle een formaliteit zonder waarde. Voor dit niveau zijn sterke beveiligingstests, goed gedefinieerde goedkeuringsprocessen, auditing en incidentresponsplannen noodzakelijk.
Het vierde niveau is het meest delicaat: agenten die autonoom handelen binnen vastgestelde grenzen. In deze situatie controleren mensen niet elke actie apart, maar wel uitzonderingen, logs en samengevoegde resultaten.
Bij operationele schaalbaarheid kunnen agenten handelingen uitvoeren met een snelheid die de menselijke supervisie overstijgt. Gartner adviseert strengere controles zoals continue monitoring, automatische barrières, snelle rollback-mechanismen, stopknoppen bij overschrijding van bepaalde drempels en duidelijk toegewezen verantwoordelijken voor het gedrag van de agent.
De waarschuwing komt op een moment dat veel organisaties willen overgaan van gecontroleerde tests naar volledige integratie van agenten in operationele processen. Gartner’s boodschap is duidelijk: autonomie moet verdiend worden met proportionele controles, niet standaard worden toegekend.
Veelgestelde vragen
Welke risico’s ziet Gartner bij AI-agenten?
Het grootste risico is het toepassen van dezelfde governance op agenten met verschillende niveaus van autonomie en toegang, wat kan leiden tot onnodige blokkades of incidenten in productie.
Wat zijn de door Gartner voorgestelde niveaus van autonomie?
Gartner onderscheidt vier niveaus: observeren, adviseren, handelen met menselijke goedkeuring en autonoom handelen binnen grenzen.
Waarom is het niet genoeg dat iemand de acties van een agent goedkeurt?
Omdat goedkeuring waardeloos kan worden zonder traceerbaarheid, heldere criteria of echte controle. Gartner waarschuwt voor het risico van goedkeuringsmoeheid bij repetitieve taken of onder druk.
vía: gartner