Elég csapatba kötni néhány AI-ágenst, és máris 7–29%-os PII-szivárgás keletkezik (PII: személyazonosításra alkalmas adat) — nem támadás nyomán, hanem magából az architektúrából. A többágensű memória kormányzási hiánya a következő vállalati válság, és 2026. augusztus 2. az a határidő, amelyet szinte senki nem tart számon.
A kísérlet, amely átírta a kérdést
Egy kutatócsoport a lehető legegyszerűbb többágensű kísérletet állította össze: négy nagy nyelvi modellt teljes gráffá kapcsoltak, hogy egy közös feladatról üzeneteket váltsanak. Semmi ellenséges prompt. Semmi adatkiszivárogtatási kísérlet. Csak négy ágens, amint együttműködik.
Már az első két-három beszélgetési körön belül az egyik ágensnek átadott személyes adatok 29%-a visszakereshetővé vált a többiek számára. A ritkább topológiákban — láncokban, fákban, csillag alakzatokban — a szám csökkent, de sosem 7% alá. A szivárgást előrejelző tényező pedig nem a modell volt, nem a prompt, nem a biztonsági finomhangolás. Hanem a gráf alakja.
Ez a MAMA-keretrendszer — Measuring and Addressing Multi-Agent Privacy Leakage —, amelyet Liu és munkatársai tettek közzé 2025 végén: az első módszeres kísérlet arra, hogy számszerűsítse, mi történik a magáninformációval, amikor AI-ágensek osztoznak a memórián. A felismerés megtévesztően egyszerű: minél sűrűbben kapcsoltak az ágenseink, annál többet szivárogtatnak.
A szervezetünk szinte biztosan épít, vásárol vagy értékel valamilyen többágensű AI-rendszert épp ebben a pillanatban. Ez az írás azt a kérdést teszi fel, amit az architektúra ritkán: mi lesz a memóriával, ha az ágensek egyszer elkezdtek osztozni rajta?
Nem azért szivárognak az ágensek, mert elromlottak. Hanem mert pontosan úgy működnek, ahogy megterveztük őket.
A három fázis, amelyet minden tudásrendszer bejár
Minden terület, amely valaha nagy léptékben halmozott fel intézményi tudást — a könyvtárak, az orvoslás, a pénzügy, a jog, az ellátási láncok —, ugyanazon a három fázison haladt át.
Első fázis: a felhalmozás. Az első ösztön mindig a gyűjtés. Minél több, minél kevesebb veszteséggel. Iratszekrények. Lapos adatbázisok. Teljes szövegű indexek. A mérce a mennyiség.
Második fázis: a hatékony visszakeresés. A mennyiség maga termeli ki a saját válságát — egyszer csak nem találunk semmit. A rendszer visszakereső infrastruktúrát épít: indexeket, keresést, kategorizálást, rangsorolást. A mérce a relevancia.
Harmadik fázis: a tárolt tudás kormányzása. A hatékony visszakeresés felszínre hozza, hogy a tár tele van ellentmondásokkal, elavult tényekkel, jogosulatlan bejegyzésekkel és rég törlendő adatokkal. A rendszer kormányzási infrastruktúrát épít: eredetkövetést, hozzáférés-szabályozást, audit-nyomvonalakat, időbeli aktualitást, igazolt felejtést. A mérce a bizalom.
Az orvoslás a bizonyítékokon alapuló gyakorlattal és a klinikai vizsgálatok nyilvántartásával lépte át a harmadik fázis küszöbét. A pénzügy a kettős könyvvitellel és a SOX-szabályozással. És minden esetben nem az előrelátás hajtotta az átmenetet, hanem a válság.
Az AI-memória ma a kései második fázisban jár. A szakma nagyon jól megtanulta a visszakeresést — RAG, vektoradatbázisok, hibrid tudásgráfok, rétegzett epizodikus és szemantikus tárak. A hosszú kontextusú memóriafeladatokon a teljesítmény 67–73% körül mozog. A kormányzás viszont szinte teljesen hiányzik. És épp most fogjuk megtudni, mi történik, amikor egy második fázisú rendszer felskálázódik millió párhuzamos ágensre.
Kilenc kormányzási alapelem, amely sehol sincs meg
A harmadik fázis nem egyetlen funkció. Kormányzási alapelemek együttese — olyan képességek, amelyeket egy memóriarendszernek nyújtania kell, mielőtt intézményi léptékben megbízhatnánk benne. Egyetlen mai keretrendszer sem nyújtja mind a kilencet:
- Írási jogosultság — ki adhat egyáltalán hozzá a memóriatárhoz, és milyen feltételekkel.
- Eredetkövetés (provenance) — minden memória-elem magával hordozza, ki hozta létre, milyen forrásból és mikor.
- Olvasási hatókör — a memória-hozzáférést szerep, projekt, besorolás vagy szervezeti egység határolja.
- Visszagörgetés — a memóriatár korábbi állapotának visszaállítása, amikor szennyeződést észlelünk.
- Törlés utáni ellenőrzés — annak bizonyítása, hogy egy memória-elemet valóban eltávolítottunk.
- Időbeli aktualitás — minden ténynél nyomon követhető, mettől meddig tekinthető aktuálisnak.
- Hozzáférési napló — feljegyzés arról, ki mit olvasott, mikor, és milyen döntést alapozott rá.
- Szennyeződés-észlelés — annak felismerése, amikor az egyik ágens kimenete megrontotta egy másik ágens memóriáját.
- Ágensek közötti elszigetelés — annak biztosítása, hogy az egyik ágens feladatkontextusa ne szivárogjon át a másik gondolkodásába.
Ezek nem egzotikus követelmények. A pénzügy a legtöbbjüket a kettős könyvvitel óta ismeri. Az orvoslás a klinikai vizsgálati nyilvántartások óta. Az AI-memóriának 2026-ban gyakorlatilag egyik sincs a birtokában.
A halmozódás lavinája
Korábbi írásunk arról, hogy a szervezetek AI-ja észrevétlenül árnyemlékeket gyűjt, azt járta körül, mi történik, amikor az egyes AI-fiókok láthatatlanul halmozzák fel a szervezeti tudást. A harmadik fázis problémája az, amikor mindezt megszorozzuk az ágensek számával — és össze is kötjük őket.
Három egymástól független kutatás számszerűsítette azóta a felhalmozódó kockázatot:
- 7–29% PII-visszanyerés a többágensű rendszerekben, a gráf topológiájától függően (MAMA-keretrendszer, Liu et al. 2025).
- 57–71% felhasználók közötti átszennyeződés jóindulatú, közös állapotú többágensű feladatokban (UCC, Mazhar et al. 2026) — a hibás válaszok 84%-a helyesnek látszott.
- 68,9% teljes információkiszivárgás a többágensű rendszerekben az egyágensűhöz képest; a kimeneti auditok a tényleges szivárgás 42%-át elvétik (AgentLeak, 2026).
Az egyik ágens megromlott kimenete a másik ágens kiindulópontja lesz.
A szennyeződés csendben halmozódik, mert nincs kormányzási réteg, amely észlelné. Az egyik ágens elcsúszott következtetése bekerül a közös memóriába, a következő ágens megbízható tényként olvassa ki, ráépíti a saját válaszát, és továbbadja a harmadiknak. Egyetlen ponton sem szólal meg vészjelzés — mert nincs, ami megszólaltassa. A hibának nem kell nagynak lennie ahhoz, hogy végigfusson a láncon; elég, ha senki nem méri.
A támadási felület már tárva-nyitva áll
Az OWASP Foundation Top 10 az ágensalapú alkalmazásokhoz (2026) listája a memória- és kontextusmérgezést (ASI06) elsőrendű kockázatként sorolja be:
- PoisonedRAG (USENIX, 2025): 90–97%-os támadási sikerráta a GPT-4 ellen.
- MINJA (2025): több mint 95%-os befecskendezési siker, 70–95%-os támadási sikerráta a legfejlettebb modelleken.
- EchoLeak (CVE-2025-32711): kattintás nélküli memóriamérgezés a Microsoft 365 Copilot rendszerében.
- Ágens-járvány terjedése: féregszerűen, a közös kontextuson át terjedő memóriamérgezés.
A Microsoft 60 nap alatt több mint 50 ajánlásmérgező kampányt észlelt, amelyek AI-memóriarendszereket céloztak 31 vállalatnál. A támadások pontosan a harmadik fázis vákuumát használják ki.
A többágensű kudarcok 37%-a valójában memóriaprobléma
A MAST-taxonómia (UC Berkeley és IBM Research, NeurIPS 2025) 1642 annotált végrehajtási nyomvonalat elemzett hét jelentős többágensű keretrendszerben. Az összes kudarc 36,9%-a az ágensek közötti összehangolatlanságból ered — abból, hogy az ágensek ellentmondó, szennyezett vagy elavult közös állapoton dolgoznak.
Vagyis valahányszor a többágensű rendszerünk elbukik, az esetek több mint harmadában azért bukik, mert az ágensek nem értenek egyet abban, mi a valóság — és nincs kormányzási réteg, amely döntőbíró lehetne.
Egyetlen mai keretrendszer sem oldja meg a harmadik fázist
| Keretrendszer | A megosztott memória modellje | A kormányzási hiány |
|---|---|---|
| LangGraph | Típusos állapot, ellenőrzőpontok | A kormányzás egyedi fejlesztés, nem beépített |
| CrewAI | Szerep-alapú csapatmemória | Nincs csapatok közötti kormányzási réteg |
| AutoGen (AG2) | Központosított átirat | Dagadó átirat, semmi eredetkövetés |
| OpenAI Agents SDK | Múlékony kontextusváltozók | Alig van tartós vagy megosztott memória |
| Claude Projects | Tartós munkaterek | Kevés natív többágensű kormányzás |
| Enterprise Context Layer | Kormányzott, eredetkövetett | A legközelebbi — de ritka és egyedi |
Az Enterprise Context Layer minta (Atlan) 20%-os pontosságjavulást és 39%-kal kevesebb eszközhívást mutatott fel — de tudatos, egyedi mérnöki munkát igényel.
2026. augusztus 2. — a határidő, amelyet senki nem tart számon
Az EU AI Act magas kockázatú rendszerekre vonatkozó kötelezettségei 2026. augusztus 2-án válnak teljes körűen kikényszeríthetővé. A bírságok elérhetik a globális éves árbevétel 3%-át vagy a 15 millió eurót.
A többágensű AI-memória több sajátos kérdést is felvet:
- Naplózás és nyilvántartás (12. és 19. cikk): az egyes ágensek bemenetei, kimenetei, döntései és a hozzájárulásuk eredete — a legtöbb architektúra nem naplóz ilyen részletességgel.
- Telepítés utáni alkalmazkodás: a tartós többágensű memória a természeténél fogva alkalmazkodó — a megfelelőségi kérdés az, hogy a sodródás kézben tartható és auditálható-e.
- A GDPR-metszéspont: a spanyol adatvédelmi hatóság (AEPD) 2026 februárjában 71 oldalnyi útmutatót adott ki az ágensalapú AI memóriájáról; a holland adatvédelmi hatóság párhuzamos figyelmeztetéseket tett közzé — mindkettő magas kockázatú megfelelőségi felületként kezeli a tartós ágensmemóriát.
A többágensű láncok bonyolítják a felelősség kérdését: amikor A ágens memóriája megfertőzi B ágens gondolkodását, amely aztán C ágens kimenetét adja — ki a felelős?
Milyen valójában a harmadik fázis
A harmadik fázis egy architekturális réteg, amely a következőket nyújtja:
- Szereplőhöz kötött eredet: minden memóriaírás magával hordozza a létrehozó kilétét és a forrását.
- Típusos kapcsolatok: az emlékeket kifejezett viszonyok kötik össze, amelyek függést és felülírást kódolnak.
- Időbeli aktualitási ablakok: a lejárt tényeket a rendszer visszakereséskor megjelöli, nem szolgálja ki némán, elavultan.
- Igazolt felejtés: bizonyíthatóan teljes törlés, nem pusztán puha megjelölés.
- Megváltoztathatatlan audit-nyomvonal: hozzáfűzésen alapuló, manipulációt kimutató nyilvántartás.
- Hatókörhöz kötött hozzáférés: szerep, projekt vagy szervezet szerint határolt memórialáthatóság.
- Szennyeződés-észlelés: a jogosulatlan, ágensek közötti memóriaátvétel felismerése.
Ezek nem spekulatív képességek. Egyenként léteznek minden szabályozott iparág érett tudásrendszereiben. A gyakorlatból írjuk le őket, nem elméletből. A hiány az, hogy még senki sem állította össze belőlük egyetlen, összefüggő memóriakormányzási réteget a többágensű AI számára — de ez a hiány záródóban van. Azoknak a szervezeteknek, amelyek elsőként építik meg vagy vezetik be ezt a réteget, egyedül lesz védhető válaszuk, amikor a szabályozó megkérdezi: honnan tudjuk, mire emlékeznek az ágenseink, és miért?
Három hónapunk maradt
A szakadék aközött, ahol a szervezetünk többágensű memóriája ma tart, és ahová 2026. augusztus 2-ra el kellene jutnia, pontosan a harmadik fázis. A hiány nem a tudásé — a kutatás létezik. Nem a technológiáé — az alapelemeket ismerjük. A hiány architekturális: az a döntés, hogy a memóriakormányzást infrastruktúrának tekintjük-e, nem pedig utólagos ráadásnak.
Minden tudásterület, amely valaha nagy léptékben halmozott fel intézményi emlékezetet, előbb-utóbb átlépte a harmadik fázis küszöbét. Az egyetlen változó az volt, hogy tudatosan lépte-e át, vagy a válság lökte át rajta.