# A harmadik fázis problémája: amikor az AI-ágensek osztozni kezdenek egymás árnyemlékein

**Sorozat**: Az amnézia probléma (B.6)
**Megjelent**: 2026-05-05
**Szerző**: Peres Levente
**Olvasási idő**: ~8 perc
**Nyelv**: EN / HU (kétnyelvű)

---

Elég csapatba kötni néhány AI-ágenst, és máris 7–29%-os PII-szivárgás keletkezik (PII: személyazonosításra alkalmas adat) — nem támadás nyomán, hanem magából az architektúrából. A többágensű memória kormányzási hiánya a következő vállalati válság, és 2026. augusztus 2. az a határidő, amelyet szinte senki nem tart számon.

## A kísérlet, amely átírta a kérdést

Egy kutatócsoport a lehető legegyszerűbb többágensű kísérletet állította össze: négy nagy nyelvi modellt teljes gráffá kapcsoltak, hogy egy közös feladatról üzeneteket váltsanak. Semmi ellenséges prompt. Semmi adatkiszivárogtatási kísérlet. Csak négy ágens, amint együttműködik.

Már az első két-három beszélgetési körön belül az egyik ágensnek átadott **személyes adatok 29%-a** visszakereshetővé vált a többiek számára. A ritkább topológiákban — láncokban, fákban, csillag alakzatokban — a szám csökkent, de sosem 7% alá. A szivárgást előrejelző tényező pedig nem a modell volt, nem a prompt, nem a biztonsági finomhangolás. Hanem a gráf alakja.

Ez a MAMA-keretrendszer — *Measuring and Addressing Multi-Agent Privacy Leakage* —, amelyet Liu és munkatársai tettek közzé 2025 végén: az első módszeres kísérlet arra, hogy számszerűsítse, mi történik a magáninformációval, amikor AI-ágensek osztoznak a memórián. A felismerés megtévesztően egyszerű: minél sűrűbben kapcsoltak az ágenseink, annál többet szivárogtatnak.

A szervezetünk szinte biztosan épít, vásárol vagy értékel valamilyen többágensű AI-rendszert épp ebben a pillanatban. Ez az írás azt a kérdést teszi fel, amit az architektúra ritkán: mi lesz a memóriával, ha az ágensek egyszer elkezdtek osztozni rajta?

> Nem azért szivárognak az ágensek, mert elromlottak. Hanem mert pontosan úgy működnek, ahogy megterveztük őket.

## A három fázis, amelyet minden tudásrendszer bejár

Minden terület, amely valaha nagy léptékben halmozott fel intézményi tudást — a könyvtárak, az orvoslás, a pénzügy, a jog, az ellátási láncok —, ugyanazon a három fázison haladt át.

**Első fázis: a felhalmozás.** Az első ösztön mindig a gyűjtés. Minél több, minél kevesebb veszteséggel. Iratszekrények. Lapos adatbázisok. Teljes szövegű indexek. A mérce a mennyiség.

**Második fázis: a hatékony visszakeresés.** A mennyiség maga termeli ki a saját válságát — egyszer csak nem találunk semmit. A rendszer visszakereső infrastruktúrát épít: indexeket, keresést, kategorizálást, rangsorolást. A mérce a relevancia.

**Harmadik fázis: a tárolt tudás kormányzása.** A hatékony visszakeresés felszínre hozza, hogy a tár tele van ellentmondásokkal, elavult tényekkel, jogosulatlan bejegyzésekkel és rég törlendő adatokkal. A rendszer kormányzási infrastruktúrát épít: eredetkövetést, hozzáférés-szabályozást, audit-nyomvonalakat, időbeli aktualitást, igazolt felejtést. A mérce a bizalom.

Az orvoslás a bizonyítékokon alapuló gyakorlattal és a klinikai vizsgálatok nyilvántartásával lépte át a harmadik fázis küszöbét. A pénzügy a kettős könyvvitellel és a SOX-szabályozással. És minden esetben nem az előrelátás hajtotta az átmenetet, hanem a válság.

Az AI-memória ma a **kései második fázisban** jár. A szakma nagyon jól megtanulta a visszakeresést — RAG, vektoradatbázisok, hibrid tudásgráfok, rétegzett epizodikus és szemantikus tárak. A hosszú kontextusú memóriafeladatokon a teljesítmény 67–73% körül mozog. A kormányzás viszont szinte teljesen hiányzik. És épp most fogjuk megtudni, mi történik, amikor egy második fázisú rendszer felskálázódik millió párhuzamos ágensre.

## Kilenc kormányzási alapelem, amely sehol sincs meg

A harmadik fázis nem egyetlen funkció. Kormányzási alapelemek együttese — olyan képességek, amelyeket egy memóriarendszernek nyújtania kell, mielőtt intézményi léptékben megbízhatnánk benne. Egyetlen mai keretrendszer sem nyújtja mind a kilencet:

1. **Írási jogosultság** — ki adhat egyáltalán hozzá a memóriatárhoz, és milyen feltételekkel.
2. **Eredetkövetés (provenance)** — minden memória-elem magával hordozza, ki hozta létre, milyen forrásból és mikor.
3. **Olvasási hatókör** — a memória-hozzáférést szerep, projekt, besorolás vagy szervezeti egység határolja.
4. **Visszagörgetés** — a memóriatár korábbi állapotának visszaállítása, amikor szennyeződést észlelünk.
5. **Törlés utáni ellenőrzés** — annak bizonyítása, hogy egy memória-elemet valóban eltávolítottunk.
6. **Időbeli aktualitás** — minden ténynél nyomon követhető, mettől meddig tekinthető aktuálisnak.
7. **Hozzáférési napló** — feljegyzés arról, ki mit olvasott, mikor, és milyen döntést alapozott rá.
8. **Szennyeződés-észlelés** — annak felismerése, amikor az egyik ágens kimenete megrontotta egy másik ágens memóriáját.
9. **Ágensek közötti elszigetelés** — annak biztosítása, hogy az egyik ágens feladatkontextusa ne szivárogjon át a másik gondolkodásába.

Ezek nem egzotikus követelmények. A pénzügy a legtöbbjüket a kettős könyvvitel óta ismeri. Az orvoslás a klinikai vizsgálati nyilvántartások óta. Az AI-memóriának 2026-ban gyakorlatilag egyik sincs a birtokában.

## A halmozódás lavinája

Korábbi írásunk arról, hogy [a szervezetek AI-ja észrevétlenül árnyemlékeket gyűjt](/blog/shadow-memories/), azt járta körül, mi történik, amikor az egyes AI-fiókok láthatatlanul halmozzák fel a szervezeti tudást. A harmadik fázis problémája az, amikor mindezt megszorozzuk az ágensek számával — és össze is kötjük őket.

Három egymástól független kutatás számszerűsítette azóta a felhalmozódó kockázatot:

- **7–29% PII-visszanyerés** a többágensű rendszerekben, a gráf topológiájától függően (MAMA-keretrendszer, Liu et al. 2025).
- **57–71% felhasználók közötti átszennyeződés** jóindulatú, közös állapotú többágensű feladatokban (UCC, Mazhar et al. 2026) — a hibás válaszok 84%-a helyesnek látszott.
- **68,9% teljes információkiszivárgás** a többágensű rendszerekben az egyágensűhöz képest; a kimeneti auditok a tényleges szivárgás 42%-át elvétik (AgentLeak, 2026).

Az egyik ágens megromlott kimenete a másik ágens kiindulópontja lesz.

::: callout Amikor a hiba igazsággá válik
A szennyeződés csendben halmozódik, mert nincs kormányzási réteg, amely észlelné. Az egyik ágens elcsúszott következtetése bekerül a közös memóriába, a következő ágens megbízható tényként olvassa ki, ráépíti a saját válaszát, és továbbadja a harmadiknak. Egyetlen ponton sem szólal meg vészjelzés — mert nincs, ami megszólaltassa. A hibának nem kell nagynak lennie ahhoz, hogy végigfusson a láncon; elég, ha senki nem méri.
:::

## A támadási felület már tárva-nyitva áll

Az OWASP Foundation **Top 10 az ágensalapú alkalmazásokhoz** (2026) listája a memória- és kontextusmérgezést (ASI06) elsőrendű kockázatként sorolja be:

- **PoisonedRAG** (USENIX, 2025): 90–97%-os támadási sikerráta a GPT-4 ellen.
- **MINJA** (2025): több mint 95%-os befecskendezési siker, 70–95%-os támadási sikerráta a legfejlettebb modelleken.
- **EchoLeak** (CVE-2025-32711): kattintás nélküli memóriamérgezés a Microsoft 365 Copilot rendszerében.
- **Ágens-járvány terjedése**: féregszerűen, a közös kontextuson át terjedő memóriamérgezés.

A Microsoft 60 nap alatt több mint 50 ajánlásmérgező kampányt észlelt, amelyek AI-memóriarendszereket céloztak 31 vállalatnál. A támadások pontosan a harmadik fázis vákuumát használják ki.

## A többágensű kudarcok 37%-a valójában memóriaprobléma

A MAST-taxonómia (UC Berkeley és IBM Research, NeurIPS 2025) **1642 annotált végrehajtási nyomvonalat** elemzett hét jelentős többágensű keretrendszerben. **Az összes kudarc 36,9%-a az ágensek közötti összehangolatlanságból ered** — abból, hogy az ágensek ellentmondó, szennyezett vagy elavult közös állapoton dolgoznak.

Vagyis valahányszor a többágensű rendszerünk elbukik, az esetek több mint harmadában azért bukik, mert az ágensek nem értenek egyet abban, mi a valóság — és nincs kormányzási réteg, amely döntőbíró lehetne.

## Egyetlen mai keretrendszer sem oldja meg a harmadik fázist

| Keretrendszer | A megosztott memória modellje | A kormányzási hiány |
|---------------|-------------------------------|---------------------|
| **LangGraph** | Típusos állapot, ellenőrzőpontok | A kormányzás egyedi fejlesztés, nem beépített |
| **CrewAI** | Szerep-alapú csapatmemória | Nincs csapatok közötti kormányzási réteg |
| **AutoGen (AG2)** | Központosított átirat | Dagadó átirat, semmi eredetkövetés |
| **OpenAI Agents SDK** | Múlékony kontextusváltozók | Alig van tartós vagy megosztott memória |
| **Claude Projects** | Tartós munkaterek | Kevés natív többágensű kormányzás |
| **Enterprise Context Layer** | Kormányzott, eredetkövetett | A legközelebbi — de ritka és egyedi |

Az Enterprise Context Layer minta (Atlan) 20%-os pontosságjavulást és 39%-kal kevesebb eszközhívást mutatott fel — de tudatos, egyedi mérnöki munkát igényel.

## 2026. augusztus 2. — a határidő, amelyet senki nem tart számon

Az EU AI Act magas kockázatú rendszerekre vonatkozó kötelezettségei 2026. augusztus 2-án válnak teljes körűen kikényszeríthetővé. A bírságok elérhetik a globális éves árbevétel **3%-át vagy a 15 millió eurót**.

A többágensű AI-memória több sajátos kérdést is felvet:

- **Naplózás és nyilvántartás** (12. és 19. cikk): az egyes ágensek bemenetei, kimenetei, döntései és a hozzájárulásuk eredete — a legtöbb architektúra nem naplóz ilyen részletességgel.
- **Telepítés utáni alkalmazkodás**: a tartós többágensű memória a természeténél fogva alkalmazkodó — a megfelelőségi kérdés az, hogy a sodródás kézben tartható és auditálható-e.
- **A GDPR-metszéspont**: a spanyol adatvédelmi hatóság (AEPD) 2026 februárjában 71 oldalnyi útmutatót adott ki az ágensalapú AI memóriájáról; a holland adatvédelmi hatóság párhuzamos figyelmeztetéseket tett közzé — mindkettő magas kockázatú megfelelőségi felületként kezeli a tartós ágensmemóriát.

A többágensű láncok bonyolítják a felelősség kérdését: amikor A ágens memóriája megfertőzi B ágens gondolkodását, amely aztán C ágens kimenetét adja — ki a felelős?

## Milyen valójában a harmadik fázis

A harmadik fázis egy architekturális réteg, amely a következőket nyújtja:

- **Szereplőhöz kötött eredet**: minden memóriaírás magával hordozza a létrehozó kilétét és a forrását.
- **Típusos kapcsolatok**: az emlékeket kifejezett viszonyok kötik össze, amelyek függést és felülírást kódolnak.
- **Időbeli aktualitási ablakok**: a lejárt tényeket a rendszer visszakereséskor megjelöli, nem szolgálja ki némán, elavultan.
- **Igazolt felejtés**: bizonyíthatóan teljes törlés, nem pusztán puha megjelölés.
- **Megváltoztathatatlan audit-nyomvonal**: hozzáfűzésen alapuló, manipulációt kimutató nyilvántartás.
- **Hatókörhöz kötött hozzáférés**: szerep, projekt vagy szervezet szerint határolt memórialáthatóság.
- **Szennyeződés-észlelés**: a jogosulatlan, ágensek közötti memóriaátvétel felismerése.

Ezek nem spekulatív képességek. Egyenként léteznek minden szabályozott iparág érett tudásrendszereiben. A gyakorlatból írjuk le őket, nem elméletből. A hiány az, hogy még senki sem állította össze belőlük egyetlen, összefüggő memóriakormányzási réteget a többágensű AI számára — de ez a hiány záródóban van. Azoknak a szervezeteknek, amelyek elsőként építik meg vagy vezetik be ezt a réteget, egyedül lesz védhető válaszuk, amikor a szabályozó megkérdezi: *honnan tudjuk, mire emlékeznek az ágenseink, és miért?*

## Három hónapunk maradt

A szakadék aközött, ahol a szervezetünk többágensű memóriája ma tart, és ahová 2026. augusztus 2-ra el kellene jutnia, pontosan a harmadik fázis. A hiány nem a tudásé — a kutatás létezik. Nem a technológiáé — az alapelemeket ismerjük. A hiány architekturális: az a döntés, hogy a memóriakormányzást infrastruktúrának tekintjük-e, nem pedig utólagos ráadásnak.

Minden tudásterület, amely valaha nagy léptékben halmozott fel intézményi emlékezetet, előbb-utóbb átlépte a harmadik fázis küszöbét. Az egyetlen változó az volt, hogy tudatosan lépte-e át, vagy a válság lökte át rajta.

---

**Sorozat**: [Az újrafelfedezés adója (B.1)](/blog/the-rediscovery-tax/) → [Miért nem emlékezet a RAG (B.2)](/blog/why-rag-isnt-memory/) → [A bizalmi lánc problémája (B.4)](/blog/the-trust-chain-problem/) → A harmadik fázis problémája (B.6). Ha egy szervezet többágensű AI-rendszereket épít, és szüksége van a memóriakormányzási rétegre, örömmel beszélünk róla — és lehet, hogy van is mit mutatnunk.
**Kapcsolódó**: [Tervezés minden intelligenciának (C.3)](/blog/designing-for-all-intelligences/) · [A partnerségi paradigma (C.1)](/blog/the-partnership-paradigm/)

*Peres Levente, 2026. ICS - Sheridan. https://sheridan.hu/blog/the-phase-3-problem/*
