Pokazuję zespołowi technicznego dyrektora w firmie infrastrukturalnej, jak działa Claude Code. Agentic workflow — model czyta kod, analizuje kontekst, proponuje zmiany, uruchamia testy. Dyrektor kiwa głową i mówi: "Fajne. My to potrafimy zrobić sami."
Trzy miesiące później dzwoni do mnie ktoś z tej samej firmy. Nie dyrektor — ktoś z zespołu. Chce porozmawiać, bo "jest problem z bezpieczeństwem". Okazuje się, że ich wewnętrzny zespół zaczął "wdrażać AI" — wysyłając dane produkcyjne klientów do zewnętrznych modeli przez API, bez sandboxingu, bez klasyfikacji danych, bez żadnego governance. Kod, który generowali z pomocą AI, wchodził na produkcję bez code review. Bez testów. Bez stagingu.
"Potrafimy sami" zamieniło się w wyciek danych i kod, którego nikt nie rozumie.
Problem nie w ambicji — w procesie
Nie mam nic przeciwko ambicji. Wręcz ją szanuję. Problem polega na tym, że wiele polskich firm IT — szczególnie tych zajmujących się infrastrukturą, nie software — nie ma fundamentalnych procesów wytwórczych, które są warunkiem koniecznym do bezpiecznej pracy z AI.
Mówię o SDLC — Software Development Life Cycle. O code review. O testach automatycznych. O środowiskach testowych oddzielonych od produkcji. O klasyfikacji danych i governance. O tym, że zanim cokolwiek trafi na produkcję, przechodzi przez kilka par oczu i zautomatyzowane kontrole.
Te procesy nie są formalnością. To jest infrastruktura bezpieczeństwa. A model AI jest dokładnie tak dobry, jak proces, w którym pracuje.
Czego nie wiedzą firmy, które "potrafią same"
Z moich obserwacji wynika, że firmy infrastrukturalne, które deklarują gotowość do samodzielnego wdrożenia AI, najczęściej nie wiedzą kilku rzeczy:
Jak modele AI są trenowane i na jakich krokach procesu SDLC opierają swoje działanie. Narzędzia takie jak Copilot, Claude Code czy Cursor nie generują kodu w próżni. Ich skuteczność zależy od kontekstu — od struktury repozytorium, od jakości kodu, od tego, czy istnieje dokumentacja techniczna i testy. Bez tego generują śmieci, a firma nie ma narzędzi, żeby to zweryfikować.
Gdzie kończą się dane firmowe, gdy trafiają do modelu. Brak data governance oznacza, że nikt nie wie, które dane są poufne, które mogą opuścić organizację, a które nie powinny trafić nawet do wewnętrznego modelu. Widziałem sytuacje, w których dane klientów — wrażliwe, objęte umowami NDA — były wysyłane do publicznych API bez żadnej kontroli.
Że "działa" to nie to samo co "jest bezpieczne". Kod wygenerowany przez AI może działać. Może przechodzić podstawowe testy manualne. Ale bez code review, bez analizy statycznej, bez testów regresji — jest bombą zegarową. Dziś działa. Za miesiąc eksploduje na produkcji.
"Zrobimy sami" — najdroższe zdanie w polskim IT
Nie twierdzę, że zewnętrzny konsultant jest zawsze potrzebny. Twierdzę, że jeśli firma nie ma dojrzałego procesu wytwórczego, to wdrażanie AI bez nadzoru jest ryzykiem biznesowym, nie innowacją.
Firmy, które nigdy nie miały dyscypliny procesów SDLC, nagle dostają do ręki narzędzia, które generują kod z prędkością, jakiej żaden programista nie osiągnie. To brzmi jak przyspieszenie. W praktyce to przyspieszenie w kierunku ściany — bo nikt nie kontroluje jakości tego, co powstaje.
Rynek mówi "demokratyzacja AI — każdy może!". I to prawda — każdy może zacząć. Ale nie każdy potrafi zrobić to bezpiecznie i z sensem. Szczególnie firmy, które nie odróżniają staging od produkcji.
Co powinno być pierwsze
Zanim firma zacznie wdrażać AI w swoje produkty i usługi, powinna odpowiedzieć na kilka pytań:
- Czy mamy zdefiniowany proces wytwórczy (SDLC) i czy go stosujemy?
- Czy mamy klasyfikację danych i wiemy, co może opuścić organizację?
- Czy każdy kod — niezależnie od tego, czy napisał go człowiek, czy wygenerowała maszyna — przechodzi code review i testy?
- Czy mamy oddzielone środowiska deweloperskie, testowe i produkcyjne?
- Czy ktoś w firmie rozumie, jak działają modele AI i jakie są ich ograniczenia?
Jeśli na którekolwiek z tych pytań odpowiedź brzmi "nie" lub "nie wiem" — to nie jest moment na "zrobimy sami". To jest moment na audyt gotowości i uczciwe zmierzenie się z tym, czego brakuje.
Współpraca, nie ego
Najlepsze wdrożenia AI, które widziałem, łączyły ambicję firmy z zewnętrznym nadzorem nad procesem. Nie dlatego, że firma była głupia. Dlatego, że ktoś z zewnątrz widzi blind spoty, których wewnętrzny zespół nie zauważa — bo jest zbyt blisko.
AI nie jest przestrzenią, w której warto udowadniać, że "potrafimy sami". Jest przestrzenią, w której warto udowodnić, że potrafimy współpracować — bezpiecznie, z procesem, z odpowiedzialnością za dane i za jakość.
Droga Czytelniczko/Drogi Czytelniku. Jeśli rozpoznajesz te wzorce w swojej firmie lub u swoich vendorów — porozmawiajmy. Zapraszam do kontaktu — Leszek Giza.