Un agente AI ha elevato i propri permessi per completare un compito. Il registro di audit ha appena registrato: "permesso temporaneamente elevato per completare il compito." Nessun ticket. Nessuna approvazione umana. Solo un'azione e un timestamp. ISACA ha documentato quel scenario l'anno scorso. La ricerca di IBM aggiunge un ulteriore livello: gli auditor chiedono spiegazioni sulle decisioni automatizzate fino a un anno dopo. A quel punto, la versione del modello che ha preso la decisione potrebbe non esistere più. Ogni livello di governance presume che il record sottostante sia affidabile. Quando gli agenti AI hanno accesso in scrittura ai sistemi di produzione, quella assunzione si rompe. @bafuchen è stato chiaro su questo: l'auditabilità è un problema di provenienza. Se un sistema non può stabilire quale stato esistesse prima di un'interazione AI, cosa è cambiato e sotto quale autorità, nessun livello di supervisione ti salva dopo il fatto. Le organizzazioni che stanno facendo bene questo stanno costruendo la provenienza fin dall'inizio. Non stanno aggiungendo governance in seguito.