Większość zestawień narzędzi do budowy agentów AI liczy integracje i mierzy, jak szybko postawisz pierwszego bota. Raport Andrew Greena z drugiego kwartału 2026 patrzy inaczej: pyta, czy agenta da się bezpiecznie uruchomić w firmie, która naprawdę przetwarza dane klientów. Odpowiedź? Rynek umie budować agentów. Bronić ich, póki co, prawie nie umie.
Ta różnica kosztuje. Agent, który sam pisze i odpala kod, bez sandboxa zamienia się w otwartą furtkę do twojej infrastruktury. A właśnie sandbox okazał się jedną z najrzadszych funkcji na całym badanym rynku.
Czym różni się platforma dla firmy od zabawki dla solopreneura
Platforma do budowy agentów AI klasy enterprise to taka, w której poświadczenia podaje nie tylko człowiek logujący się do panelu, ale też sam agent sięgający po cudze usługi. Pierwsze to konta, SSO i MFA. Drugie to klucze API, tokeny JWT albo mTLS, którymi agent dowodzi, że ma prawo wykonać daną akcję.
Greenowi chodzi właśnie o ten drugi wymiar, i słusznie. Solopreneur może oddać kalendarz oraz skrzynkę w pełni autonomicznemu agentowi; firma obracająca danymi klientów takiego luksusu nie ma. Tu pojawia się pierwszy haczyk. Prompt z prośbą, żeby model „nie ujawniał wrażliwych danych”, nie jest zabezpieczeniem. To życzenie.
Różnica między życzeniem a regułą wygląda tak:
- Reguła deterministyczna: wzorzec wykrywa numer PESEL i zamienia go na gwiazdki, zanim cokolwiek opuści system.
- Reguła „miękka”: jeden model ocenia, czy w odpowiedzi jest PESEL, a drugi model decyduje (niedeterministycznie), czy go nie pokazać.
- Brak reguły: liczysz na to, że agent posłucha instrukcji w prompcie.
Tylko pierwszy wariant przejdzie audyt w banku albo szpitalu. Trzeci to proszenie się o wyciek.
Sandbox: największa dziura na całym rynku
Sandbox to izolowane środowisko, w którym platforma uruchamia kod wygenerowany przez model, zanim wpuści go na produkcję. Bez niego agent piszący własne skrypty działa na zaufanie. W teście tylko część platform daje w ogóle wykonywanie kodu, a sandbox ma jeszcze mniejsza ich liczba.
Z tych, które izolują kod, większość nie buduje własnego sandboxa: podpina E2B. CrewAI poszło o krok dalej i wycofało własną usługę wykonywania kodu, odsyłając klientów wprost do E2B jako wyspecjalizowanego środowiska. Część platform nie daje klasycznego mikro-VM ani wirtualnego jądra, tylko izolację procesów w konfiguracji self-hosted. To różnica jak między sejfem a szufladą zamykaną na haczyk.
Brak sandboxa nie skreśla od razu każdej platformy. Jeśli twój agent nie pisze i nie odpala własnego kodu, problem cię nie dotyczy. Ale gdy tylko dajesz modelowi swobodę pisania skryptów (a robi to coraz więcej zespołów, bo agent potrafi sam napisać Pythona do połączenia dwóch źródeł danych), izolacja przestaje być opcją. Staje się warunkiem wejścia.
Tożsamość agenta prawie nie istnieje
Marketing większości platform robi pewną sztuczkę. Zrównuje zdanie „agent używa klucza API, żeby zadzwonić do Anthropic” ze zdaniem „agent podaje własne poświadczenia, gdy sięga do cudzej usługi”. To nie to samo. Pierwsze opisuje rachunek za model. Drugie opisuje, czy ktokolwiek autoryzował agenta do działania.
Liczby są bezlitosne. Uwierzytelnianie samego agenta punktuje natywnie sześć platform: Google, Langflow, Workato, CrewAI, Sim.ai i Gumloop. Lineage, czyli powiązanie konkretnej akcji agenta z konkretnym człowiekiem, na rynku praktycznie nie istnieje: punkty zgarniają tylko Google, Workato i Gumloop. Zarządzanie sekretami wygląda podobnie cienko; dwójkę dostają jedynie Google, Sim.ai oraz Gumloop, a Make i Retool po jednym punkcie.
Zauważ, kto powtarza się w każdym z tych zestawień. Google i Gumloop były jedynymi platformami, które naprawdę podeszły do tematu poważnie: filtrowanie i firewall na proxy, definiowanie polityk, ABAC na narzędziach, uwierzytelnianie, lineage, sekrety. Reszta łata pojedyncze elementy.
Warto rozumieć, jak liczona jest ta punktacja. Dwójka nie znaczy, że funkcja jest dobra. Znaczy tylko, że istnieje natywnie, choćby w najprostszej formie. Zero to brak albo cisza w dokumentacji; jeden to wersja częściowa lub dostępna przez zewnętrzną integrację. Innymi słowy: nawet ci „najlepsi” nie są bezpieczni, są po prostu mniej dziurawi.
MCP wszędzie, A2A tylko u nielicznych
Czy podłączanie narzędzi do agentów wciąż jest problemem? Już nie bardzo. Funkcja MCP Host/Client, w której agent korzysta z zewnętrznych serwerów MCP, jest dziś chlebem powszednim. Wystawianie samej platformy jako serwera MCP, żeby wołały ją inne agenty, też się upowszechniło. Z perspektywy 2022 roku, gdy każdy integrował się przez API ręcznie, to spora zmiana: teraz to klient MCP sam decyduje, kiedy i jak pogada z serwerem.
Inaczej wygląda protokół agent-do-agenta od Google. A2A obsługuje garstka: Google (rzecz jasna), CrewAI, Retool i Sim.ai. MCP brzmi jak standard na lata, choć jakość jego obsługi różni się platforma od platformy. To wciąż młoda warstwa. W polskich materiałach o MCP jest na dodatek niemal pusto, więc jeśli budujesz w tym temacie, dokumentację czytasz po angielsku.
Które platformy naprawdę wchodzą w grę na polskim rynku
Jeśli prowadzisz firmę na 50-500 osób bez własnego zespołu ML, droga w 2026 prowadzi przez n8n. Reszta to warianty dla konkretnych potrzeb, nie domyślny start.
| Platforma | Charakter | Dla kogo | Słaby punkt |
|---|---|---|---|
| n8n | low-code, fair-code, self-host | firmy bez devów, szybkie MVP | sandbox i tożsamość agenta dopiero raczkują |
| Make | no-code, chmura | proste automatyzacje, start | płytka warstwa bezpieczeństwa agenta |
| Zapier | no-code, chmura | masowe integracje aplikacji | mało funkcji stricte pod agentów |
| CrewAI | framework Python, multi-agent | zespoły z developerami | wycofany własny sandbox (odsyła do E2B) |
| LangChain / LangGraph | framework Python | pełna kontrola w kodzie | bezpieczeństwo w całości po twojej stronie |
| Google (Vertex / ADK) | enterprise | duże organizacje | złożoność i próg wejścia |
Dlaczego akurat n8n? Od wersji 1.30+ ma natywny węzeł AI Agent, a w chmurze startuje od mniej więcej 20 EUR miesięcznie. Self-hosting omija limity naliczane za operacje i trzyma dane u ciebie, co przy RODO bywa decydujące. Do tego ponad 400 gotowych integracji plus węzeł HTTP Request do dowolnego API. Budujesz agenta obok reszty firmowych automatyzacji, w tym samym edytorze.
Masz developerów Python? Dołóż CrewAI albo LangGraph jako warstwę logiki wołaną przez węzeł HTTP. n8n świetnie radzi sobie z prostymi i średnimi agentami. Ale przy naprawdę rozbudowanych systemach wieloagentowych (kilka agentów gadających ze sobą) wychodzisz poza to, co robi komfortowo. Takie konstrukcje potraktuj jako cel na za pół roku, nie na pierwszy tydzień.
O co zapytać sprzedawcę, zanim podpiszesz umowę
Demo zawsze wygląda gładko. Prawda wychodzi przy pięciu pytaniach, których handlowiec nie lubi:
- Czy agent ma własne poświadczenia przy sięganiu do zewnętrznych usług, czy tylko klucz do modelu?
- Gdzie uruchamia się kod pisany przez model? W sandboxie, czy wprost na produkcji?
- Czy powiążę akcję agenta z konkretnym człowiekiem? Pytasz o lineage, dostaniesz albo „tak”, albo zmianę tematu.
- Jak trzymane są sekrety i klucze? Vault, czy zmienna środowiskowa w pliku?
- Jest killswitch i limit zapytań? Bo agent w pętli potrafi spalić budżet na tokeny w godzinę.
Jeśli na trzy z pięciu pada wymijająca odpowiedź, masz przed sobą produkt dla solopreneura w opakowaniu dla firmy.
Najczęściej zadawane pytania
Czym agent AI różni się od zwykłej automatyzacji?
Automatyzacja wykonuje z góry ustaloną sekwencję kroków. Agent AI sam decyduje, które narzędzie wywołać i kiedy skończyć, działając w pętli: dostaje zadanie, analizuje opcje, wybiera akcję, ocenia wynik. Większość zadań w firmie to wciąż zwykły workflow, nie agent.
Czy n8n nadaje się do produkcji w firmie?
Tak, przy prostych i średnich agentach n8n jest jednym z najlepszych startów na rynku. Na produkcji trzymaj człowieka na punktach ryzyka (Human-in-the-Loop), ustaw limit iteracji i pamiętaj, że sandbox dla kodu agenta jest tu wciąż słabą stroną.
Co to jest sandbox agenta i po co go potrzebuję?
Sandbox to izolowane środowisko, w którym uruchamia się kod napisany przez model, zanim trafi na produkcję. Potrzebujesz go w momencie, gdy dajesz agentowi prawo pisania i odpalania własnych skryptów. Bez sandboxa taki kod działa bezpośrednio na twojej infrastrukturze.
Czym jest MCP w kontekście agentów AI?
MCP (Model Context Protocol) to standard podłączania narzędzi do agentów. Agent jako klient MCP sam decyduje, kiedy odpytać dany serwer; platforma może też wystawić siebie jako serwer MCP dla innych agentów. W 2026 to już funkcja powszechna, nie wyróżnik.
Ile kosztuje start z agentami AI w n8n?
Wersja chmurowa n8n zaczyna się od około 20 EUR miesięcznie, a koszt rośnie wraz z liczbą aktywnych przepływów i operacji. Self-hosting omija te limity, ale dokłada pracę przy utrzymaniu serwera. Do tego dochodzi rachunek za tokeny modelu, który agent zużywa na każdym kroku rozumowania.
Czy potrzebuję programisty, żeby zbudować agenta?
Do prostego agenta w n8n czy Make nie. Przeciągasz węzeł, podłączasz model i narzędzia, piszesz prompt systemowy. Schody zaczynają się przy systemach wieloagentowych i własnej logice, gdzie znajomość Pythona lub JavaScriptu zaczyna się realnie przydawać.
Co z RODO i AI Act przy agentach AI?
Self-hosting (np. n8n na własnym serwerze) pozwala trzymać dane wewnątrz firmy, co upraszcza zgodność z RODO. AI Act dokłada wymóg nadzoru nad systemami AI, więc Human-in-the-Loop na decyzjach o wyższym ryzyku przestaje być dobrą praktyką, a staje się obowiązkiem. Bezpieczeństwo agenta liczy się tu podwójnie.
Która platforma jest najbezpieczniejsza według testu?
W teście Andrew Greena z drugiego kwartału 2026 najpełniejszą warstwę bezpieczeństwa agenta miały Google i Gumloop. Były jedynymi, które łączyły filtrowanie na proxy, polityki, ABAC na narzędziach, uwierzytelnianie, lineage i zarządzanie sekretami. Reszta rynku łatała pojedyncze obszary.
Co to zmienia w twoim sposobie wybierania platformy
Kupujący wciąż pytają o liczbę integracji i wygląd canvasu. Pytania, które realnie chronią firmę, brzmią inaczej: gdzie odpala się kod, kto autoryzował agenta, jak szybko go wyłączę. Bezpieczeństwo agenta nie jest cechą modelu, którego używasz. To cecha platformy, na której go stawiasz. Tam, gdzie platforma jej nie daje, dokładasz ją sam albo świadomie godzisz się na ryzyko. Trzeciej drogi w teście nie znaleziono.
Źródła i dalsze informacje
- Andrew Green. „A Re-evaluation of Workflow-based AI Agent Development Tools.” n8n.io, II kwartał 2026.
- n8n.io. Dokumentacja platformy i węzła AI Agent.
- E2B. Sandbox do uruchamiania kodu generowanego przez LLM.
