Ang agentic AI sa banking ngayon ay isang problemang pang-engineering na nagkukunwaring problemang AI. Mapapalitan ang modelo; ang control plane ay hindi. Ang hamon para sa 2026 ay hindi adoption — inilalagay na iyan ng Cambridge CCAF sa 52% — ito ay kung kayang pumasa ng mga autonomous na sistemang pinapatakbo ng iyong bangko ngayon sa isang SR 11-7 examination sa susunod na quarter. Karamihan ay hindi makakapasa.
Executive Summary / Mga Pangunahing Punto
- Tigilan ang pagtawag sa kanila bilang chatbot. Ang production unit ay isang bounded workflow na may mahigpit na tool-call na pahintulot. Ang trabaho ay nangyayari sa loob ng workflow, hindi sa loob ng LLM.
- Ang OSWorld sa 66.3% ang reliability ceiling. Ang pinakamalapit na benchmark ng Stanford HAI sa enterprise tool-use ay nabibigo pa rin sa isa sa tatlong nakaayos na gawain. Iyon ay numerong nagbibigay-katwiran sa agresibong human-in-the-loop deployment; hindi nito binibigyang-katwiran ang walang-bantay na pag-execute sa anumang humahawak ng pera ng customer.
- Uriin ayon sa pahintulot, hindi sa katalinuhan. Ang Autonomy Ladder ay tumatakbo mula Level 0 (read-only ISDA clause extraction) hanggang Level 4 (multi-tool payment repair na may mandatoryong checkpoint). Ang Level 5 — self-orchestrating execution nang walang checkpoint — ay hindi dapat umiral sa production banking sa 2026.
- Ang Agent Control Plane ay limang in-engineer na bahagi, hindi isang policy document. OAuth-scoped service accounts, deterministic semantic routing, Open Policy Agent gating, WORM audit logging, at nasubok na kill switch. Anumang nawawala ay isang finding.
- Saklaw na ng SR 11-7 at PRA SS1/23. Paulit-ulit na nilinaw ng Fed na ang anumang input-to-output decisioning system ay nasa saklaw. Natalo na ng mga bangkong nangangatwirang hindi modelo ang LLM ang regulatoryong argumento bago pa nila ito sinabi.
Bakit ang 2026 ang Taon na Mahalaga ang Index na Ito #
Ang paglipat mula chat tungo sa bounded workflows ang tanging bagay na mahalaga sa agentic AI para sa mga bangko ngayong taon. Ang chatbot na nagsusulat ng customer email ay maaring repasuhin. Ang ahente na tumatawag ng POST /accounts/{id}/freeze laban sa iyong production card platform ay auditable na ebidensya. Naabot na ng produksyon ang konsepto: iniulat ng 2026 survey ng Cambridge CCAF ang 52% aktibong agentic adoption at 23% sa scaling o transforming na yugto ng pagiging mature (Cambridge CCAF ⧉). Ang "isolated pilot" threshold ay nalampasan na noong huling bahagi ng 2025.
May dalawang bagay na nagbago kasabay ng adoption.
Una, tumigil na ang mga regulator sa pagturing sa mga LLM bilang nobela. Nilinaw ng Federal Reserve na ang SR 11-7 ⧉ ay saklaw ang LLM-based na decisioning kahit hindi internal na klasipikadong modelo ang LLM. Ang SS1/23 ⧉ ng PRA ay palaging sapat na malawak para sakupin ang mga ito. Sinasaklaw ng high-risk classification ng EU AI Act ang karamihan ng paggamit ng LLM sa financial services. Wala nang argumentong "hindi kami sigurado kung saklaw ito".
Pangalawa, naabutan na ng katotohanan ng benchmark. Iniulat ng 2026 AI Index ng Stanford HAI ang OSWorld — ang pinakamalapit na benchmark sa totoong enterprise tool-use — sa 66.3% katumpakan (Stanford HAI ⧉). Isa sa tatlong nakaayos na gawain ay nabibigo pa rin. Itinakda ng numerong iyon ang technical ceiling sa autonomy sa 2026. Sapat para bigyang-katwiran ang bounded Level-3 deployments sa ilalim ng HITL oversight; hindi sapat para bigyang-katwiran ang walang-bantay na pag-execute laban sa anumang API na humahawak ng pera ng customer.
Ang Agentic AI Index para sa mga bangko ay kailangang gawin para sa LLM-based decisioning ang ginawa ng Basel framework para sa capital: gawing masusukat at auditable na ebidensya bawat workflow ang mga claim na "may mga kontrol kami".
Ang Arkitektura ng 2026 Index #
| Layer ng Index | Ang Hitsura ng "Handa" | Sukatan ng Kahandaan | Failure Mode |
|---|---|---|---|
| Autonomy tier | Bawat production workflow ay nakatatak na Level 0–4; walang Level 5 sa produksyon | % workflows ayon sa tier; share sa Level 3+ | Naglalabas ang production agent ng pacs.008 papunta sa hallucinated na beneficiary BIC dahil walang static allow-list na nagsasala sa payload bago ang SWIFTNet |
| API permissioning | Bawat ahente ay nakatutok sa isang service account na may least-privilege OAuth scopes (hal., card-freeze:write:lt-5000usd); MTLS papunta sa legacy core |
% ahente sa least-privilege; bilang ng orphan-permission | Ginagamit muli ng ahente ang over-scoped service account; ina-iterate ang mga account na walang karapatang basahin; GDPR Article 33 incident na isinampa sa loob ng 72 oras |
| Deterministic na mga guardrail | Bawat tool-call ay dumaraan sa semantic router (NeMo Guardrails / LangChain Guardrails) kasama ng JSON-schema validator bago ang API | % tool-calls na hinarang; reject rate ayon sa kategorya | Naglalabas ang LLM ng transfer call na may amount: 0; hindi vine-validate ng downstream API; dumarating ang ledger reconciliation alert 18 oras pagkatapos sa ibang timezone |
| Saklaw ng human-in-the-loop | Bawat Level-3 execution ay naglalantad ng approval UI na may hard timeout; ang auto-approve ay naka-disable ng polisiya | Approval throughput; rubber-stamp rate (inaprubahan sa loob ng 2 segundo) | Pinindot ng operator ang "approve" sa 200 alerts sa 4 minuto; isinampa ang SAR laban sa lehitimong customer; reklamo ng regulator sa loob ng linggo |
| Kabuuan ng audit | Ang immutable WORM log ay kumukuha ng system prompt + retrieved context + LLM output + tool-call + tool result + approver UID; cryptographically signed sa write time | % invocations na may kumpletong trace | Tinatanong ng SR 11-7 examiner kung bakit inaprubahan ng agent #4421 ang $4.8M wire; mayroon ang bangko ng wire receipt at ang model card; walang prompt-level evidence; finding ang inilabas |
| Unit economics | Sinusubaybayan ang gastos kada nakumpletong desisyon kasama ang reversal at repair cost; positibo kumpara sa manual baseline | Net cost kada desisyon; reversal rate | Lumalampas ang per-token spend sa edge-case agents sa manual investigator cost na pinalitan nila; pinapatay ng CFO ang programa sa Q3 |
Mga Kasalukuyang Senyales na Susubaybayan #
| Senyales | Ang Kahulugan Nito para sa mga Bangko | Pinagmulan |
|---|---|---|
| 52% aktibong pag-adopt | Ang agentic AI ay lampas na sa pilot stage; matagal nang dapat na ang institution-wide governance | Cambridge CCAF ⧉ |
| 23% nasa scaling o transforming | Isang makabuluhang minorya ang lumampas na sa proof-of-concept theatre | Cambridge CCAF ⧉ |
| OSWorld sa 66.3% | One-in-three failure rate sa structured tool-use. Hindi suportado ang walang-bantay na pag-execute laban sa customer-funds APIs sa reliability level na ito | Stanford HAI ⧉ |
| 55% nagbabanggit ng pagkawala ng human oversight bilang pangunahing panganib | Ang disenyo ng kontrol ang pangunahing engineering concern, hindi downstream compliance | Cambridge CCAF ⧉ |
| 76% ng malalaking FIs ay nahihirapang sukatin ang halaga | Hindi nakaliligtas ang generic na claim ng produktibidad sa pag-uusap sa CFO. Sukatin bawat workflow, hindi bawat programa | Cambridge CCAF ⧉ |
Ang Autonomy Ladder #
Uriin ang mga ahente ayon sa pinapayagan silang gawin, hindi sa kung gaano katalino ang nasa likod na modelo. Ang parehong GPT-5 / Claude 4 / Gemini 3 instance ay maaaring nasa bawat tier; ang wrapper ang naiiba.
- Level 0 — Pagmamasid. Read-only access sa logs, traces, o transaksyon. Inilalantad ng ahente ang mga pattern o anomalya; walang isinusulat kahit saan. Halimbawa: pagtukoy sa drift sa
pacs.008rejection rates ayon sa corridor at pag-alerto sa operations team. - Level 1 — Read-only retrieval. Nagbabasa mula sa operational systems; naglalabas ng nakaayos na output para sa pagkain ng tao. Halimbawa: pag-extract ng CSA clause variations mula sa ISDA Master Agreement ng counterparty at pag-flag ng mga paglihis mula sa standard template ng bangko. Hindi kailanman sumusulat ang ahente pabalik sa contract store.
- Level 2 — Pag-draft para sa pagsumite ng tao. Bumubuo ng nilalaman na rinerepaso at isinasampa ng tao. Halimbawa: pag-draft ng Suspicious Activity Report mula sa fraud-system alert kasama ng KYC record at transaction trace; binabasa ito ng BSA officer, ine-edit kung kinakailangan, at isinasampa. Ang system of record ay nakakakita lamang ng human-approved na bersyon.
- Level 3 — Bounded execution. Tumatawag ng production API na may matibay, deterministic na mga limitasyong ipinatutupad ng wrapper. Halimbawa: card-freeze API call na may
max-amount-at-risk: 5000 USDna ipinatupad ng allow-list policy; hindi mai-freeze ng ahente ang card na nakaugnay sa balanseng mas mataas sa threshold na iyon nang walang Level-2 na escalation. Ang limitasyon ay nakatira sa policy-as-code, hindi sa prompt — ang mga prompt ay hindi security boundary. - Level 4 — Multi-tool orchestration na may mandatoryong checkpoint. Nagpapatakbo ng pagkakasunud-sunod sa mga sistema; bawat state transition ay nakatala; kailangan ng human approval ang mga checkpoint bago ang susunod na tool-call. Halimbawa: payment-repair workflow — i-extract ang nabigong
pacs.008mula sa dead-letter queue → tingnan ang tamang beneficiary sa pamamagitan ng SWIFT KYC Registry → bumuo ng naitamang mensahe → isulat sa outbound queue → inaaprubahan ng tao ang re-send. Kung ang anumang hakbang ay nabigo sa schema validator, hihinto ang workflow at lilikha ng exception case. - Level 5 — Self-orchestration. Nagpaplano at nag-e-execute ang ahente nang walang checkpoint approval. Walang production banking workflow ang dapat nasa Level 5 sa 2026. Hindi ito pahayag ng pagiging mature; pahayag ito ng pagiging maaasahan. Nag-c-compound ang OSWorld sa 66.3% sa magkakaugnay na API calls. Tatlong tool-calls sa 66% bawat isa ay 29% end-to-end success. Lima ay 13%. Huwag.
Ang Agent Control Plane #
Ang control plane ay ang engineering layer sa pagitan ng LLM at ng iyong production systems. Limang bahagi, lahat ay runtime, walang nakasulat sa policy document.
1. Identity at Pahintulot #
Bawat ahente ay nakatutok sa eksaktong isang service account. Hawak ng account na iyon ang OAuth client_credentials tokens na naka-scope sa pinakamababang API surface na kinakailangan. Maaaring tawagin ng token ng card-freeze agent ang POST /accounts/{id}/freeze na may amount-at-risk: 0..5000 usd. Hindi nito maaaring tawagin ang GET /accounts/{id}/balance para sa ibang customers. Hindi nito maaaring tawagin ang anumang bagay sa custody, treasury, o trading. Ang service-account secrets ay nagro-rotate linggu-linggo; ang long-lived credentials ang pinakakaraniwang pagkabigo ng control-plane sa production deployments.
2. Deterministic na mga Guardrail sa Tool-Calls #
Bawat LLM tool-call ay dumaraan sa deterministic semantic router (NeMo Guardrails, LangChain Guardrails, o katumbas) bago humampas ang tawag sa production API. Inuuri ng router ang intensyon laban sa isang finite allow-list; ang mga tawag sa labas ng listahan ay tinatanggihan at nilo-log. Pagkatapos, sinusuri ng JSON-schema validator ang payload — naroon ang mga kinakailangang field, ang mga dolyar na halaga ay nasa loob ng hangganan, valid ang mga ISO country codes, ang beneficiary BIC ay nasa pre-approved counterparty list ng bangko. Ang validator ay dapat paranoid: ang pacs.008 na may amount: 0 ay model failure, hindi lehitimong transaksyon. Gayundin ang wire papunta sa bansang hindi pa pre-approved ng iyong sanctions filter para sa originating customer segment.
3. Policy-as-Code #
Ang Open Policy Agent (o katumbas) ay nakaupo sa pagitan ng validator at ng API. Ang mga polisiya ay versioned sa Git; nilo-log ang mga desisyon ng pagtanggi; ang parehong policy engine na nagsasala ng microservice-to-microservice calls sa iyong umiiral na platform ay nagsasala ng agent tool-calls. Ang pagturing sa mga ahente bilang espesyal na klase na may custom gating ay kung paano nagkakaroon ang mga bangko ng shadow control planes na walang nakakaintindi sa platform team makalipas ang anim na buwan.
4. Audit Logging #
Immutable WORM storage — S3 Object Lock, Azure Blob immutability, o ledgered na database. Ang bawat invocation ay kumukuha ng: timestamp, agent ID, service-account ID, system-prompt hash, retrieved context, LLM provider kasama ng modelo at bersyon, raw LLM output, parsed tool-call, OPA decision, API response, downstream effect, at approver UID kung saan naaangkop. Ang mga rekord ay cryptographically signed sa write time. Ang log na ito ang hihingin ng SR 11-7 at SS1/23 examiners. Kung hindi mo maipakita ang kumpletong trace para sa anumang desisyon, wala kang model-risk-managed agent.
5. Kill Switch #
Isang red-button API na kinakansela ang lahat ng in-flight agent invocations sa loob ng isang permission class sa wala pang 60 segundo. Sinusubok kuwarter-kuwarter gamit ang tabletop exercise. Ang kill switch lamang ang nakakapagligtas sa iyo mula sa vendor model release na tahimik na bumababa, prompt-injection vector na hindi mo inasahan, o drift event na nagtutulak sa false-positive rates lampas sa iyong operational threshold. Hindi gumagana ang mga hindi nasubok na kill switch; magtabi ng oras para sa exercise.
Model Risk Management #
Natalo na ang mga bangkong nangangatwiran na "ang LLM ay hindi modelo sa ilalim ng SR 11-7". Paulit-ulit na nilinaw ng Federal Reserve na ang anumang input-to-output system na ginagamit sa decisioning workflow ay nasa saklaw. Ang SS1/23 ng PRA ay mas malawak pa. Ang tamang postura: ituring ang bawat production agent bilang SR 11-7 / SS1/23 model mula unang araw. Ang gastos ng retroactive na pag-frame sa naka-deploy na ahente bilang modelo ay ilang ulit ng gastos ng pagdidisenyo dito bilang ganoon mula sa simula.
Tatlong linya ng pagtatanggol, ipinapatupad sa mga ahente:
- Unang linya (may-ari ng modelo). Idinodokumento ang nilalayong gamit ng ahente, lineage ng training at eval data, system prompt schema, tool-call allow-list, resulta ng kill-switch test. May-ari ng drift monitoring sa produksyon.
- Pangalawang linya (MRM team). Pinag-vavalidate ang ahente bago ang produksyon. Saklaw ng validation report ang vendor-released eval scores (kapaki-pakinabang ngunit hindi sapat ang MMLU, HumanEval, HellaSwag), bank-specific eval scores (sariling held-out evaluation set na binuo mula sa mga operational example — ito ang trabahong kulang sa pamumuhunan ang karamihan sa mga bangko), resulta ng prompt-injection red-team, pagsusuri ng bias at fairness kung saan may epekto sa customer ang workflow, at quantified residual-risk statement.
- Pangatlong linya (internal audit). Sinusubok ang mga gates ng control-plane at kabuuan ng audit-log laban sa sample ng mga production decision. Ang 2027 audit cycle ay magiging ibang-iba sa 2025; magtabi ng badyet ngayon.
Mas mahalaga ang patuloy na pagsubaybay kaysa point-in-time validation. Ang bank-specific eval suites na ipinapatakbo lingguhan ay nakakakuha ng mga regression sa model-update na hindi ipapakita ng vendor benchmarks. Mas mabilis ang cadence ng release ng OpenAI, Anthropic, at Google kaysa sa iyong cadence ng validation; magsasara ang puwang sa pamamagitan ng patuloy na pagpapatakbo ng evals, o magsasara ito sa pamamagitan ng finding ng examiner para sa iyo.
Pagsukat ng Epekto sa Negosyo #
Hindi nakakaligtas ang generic na claim ng produktibidad sa pag-uusap sa CFO. Sukatin ang mga ahente sa paraan ng pagsukat mo sa ibang operational changes:
- Gastos kada nakumpletong desisyon, kasama ang reversal at repair cost ng mga nabigong desisyon. Ang SAR-drafting agent na nagbawas sa oras ng BSA-officer ng 40% ngunit bumubuo ng 12% false-positive filings ay nagsisira ng halaga, hindi lumilikha.
- Mga manual touches na naiwasan, binilang net ng bagong touches na nilikha ng oversight ng control-plane at exception handling. Ang punto ay hindi para mabawasan ang atensyon ng tao; ito ay para iduon ito sa mas mataas na leverage na mga desisyon.
- Reversal rate — porsyento ng mga aksyon na isinagawa ng ahente na ibinalik sa loob ng 24 oras. Ang reversal rate na higit sa 2% sa Level-3 workflow ay isang reliability problem. Higit sa 5% ay isang control-plane problem.
- Audit-trace completeness — porsyento ng mga desisyon na may buong provenance na muling mabubuo mula sa WORM log. Dapat ay 100% sa Level-3 at Level-4 workflows. Anumang mas mababa ay isang policy failure na lalabas sa audit.
Kung ang workflow ay nagiging mas mabilis ngunit hindi gaanong maipaliwanag, kailangan itong parusahan ng index. Ang pinakamurang paraan ng pagbagsak sa regulatory exam ay i-optimize para sa throughput at mawala ang trace.
Ang Kahulugan Nito ayon sa Uri ng Bangko #
Global Systemically Important Banks #
Ang mahirap na problema ay pamamahala sa scale: daan-daang ahente sa lahat ng linya ng negosyo, bawat isa ay may sariling may-ari ng modelo, bawat isa ay potensyal na audit finding. Ang pamumuhunan ay hindi isa pang pilot. Ito ang sentral na control plane, ang pinag-isang audit-log infrastructure, at ang MRM bench na may kakayahang mag-validate ng 50-plus agents bawat quarter. Kung walang ganoong kapasidad, mas mabilis na nakakapasok ang mga ahente kaysa sa pamamahala at tahimik na nag-iipon ang institusyon ng SR 11-7 exposure.
Transaction at Corporate Banks #
Ang mga pinakamataas na ROI workflows ay payment repair, KYC document extraction, treasury-services FAQ deflection, at reconciliation breaks. Lahat ay Level-2 o bounded Level-3. Hindi pinapansin ng corporate client kung ahente ang gumawa ng trabaho; pinapansin nila kung gumanda ang SLA at nanatiling flat ang dispute rate. Mauna sa mga sukatan, hindi sa teknolohiya.
Regional Banks #
Bumili, huwag bumuo. Pumili ng vendor na ang agent platform ay mayroon nang control-plane primitives — OAuth scoping, OPA integration, WORM audit logging, nasubok na kill switch — at i-validate ang platform na iyon laban sa iyong MRM framework. Ang pagbuo ng custom na control plane ay multi-year na pamumuhunan na hindi nakatatangi sa regional scale. Gugulin ang engineering capacity sa workflow design at operator UX sa halip.
Fintechs, PSPs, at mga Provider ng Imprastruktura #
Ang katanungang produkto para sa mga vendor ay hindi "mas magaling ba ang iyong AI agent kaysa sa tao." Ito ay "ang iyong platform ba ay nagbubunga ng SR 11-7-compliant na audit trace out of the box." Mga vendor na makakasagot nito ng oo ay magsasarado ng enterprise deals. Mga vendor na hindi makakasagot ay matatatak sa proof-of-concept loops habang ang MRM team ng bangko ay humahanap ng dahilan para mabigo ang validation.
Konklusyon #
Ang agentic AI sa mga bangko sa 2026 ay isang problemang pang-engineering. Ang kawili-wiling trabaho ay nasa control plane, hindi sa modelo. Mapapalitan ang modelo; ang OAuth scoping, ang deterministic semantic router, ang OPA policy gates, ang immutable audit log, at ang kill switch ay hindi.
Ang mga institusyong magmumukhang kapani-paniwala sa mga regulator sa loob ng 18 buwan ay ang mga tumitingin sa bawat production agent bilang SR 11-7 / SS1/23 model mula unang araw, na may bank-specific eval suites na patuloy na umaandar at control plane na in-engineer para mabigo nang ligtas. Ang mga institusyong hindi gumagawa nito ay malalaman kung kaya ng kanilang MRM bench na sumagot sa 50-plus na remediation findings bawat quarter.
Sukatin ang mga ahente sa paraan ng pagsukat mo sa anumang operational change: gastos, pagiging maaasahan, reversibility, ebidensya. Ang OSWorld sa 66.3% ang iyong reliability ceiling. Magplano nang naaayon.
Mga Madalas Itanong #
Ano ang agentic AI sa banking?
Isang bounded workflow na pinagsasama ang LLM sa tool-calls papunta sa production systems, runtime na mga guardrail, at human-in-the-loop checkpoints. Ang trabaho ay nangyayari sa loob ng workflow, hindi sa loob ng modelo. Kung narinig mo ang salitang "chatbot", nasa maling kategorya ka.
Saan dapat magsimula ang mga bangko?
Sa mga Level 1 at Level 2 workflows kung saan masusukat ang halaga at mapipigilan ang downside: ISDA clause extraction, SAR drafting, payment-repair triage, internal knowledge retrieval, tulong sa code review, KYC document classification. Laktawan ang Level 3 hanggang kaya ng iyong control plane ang OAuth scoping, semantic routing, OPA gating, WORM logging, at nasubok na kill switch.
Ano ang pinakamalaking panganib?
Ang pagpapahintulot sa mga ahente na mag-execute laban sa production APIs nang walang deterministic na mga guardrail sa pagitan ng LLM output at ng API. Ang OSWorld 66.3% na numero ay babala. Ang unwrapped tool-calls sa failure rate na iyon laban sa SWIFT MT103 o customer-funds API ay magsusulat ng worst-case headline sa susunod na regulatory cycle.
Saklaw ba ng SR 11-7 ang mga LLM-based agent?
Oo. Nilinaw ng Federal Reserve na ang anumang input-to-output system na ginagamit sa decisioning workflows ay nasa ilalim ng SR 11-7. Saklaw ng SS1/23 ng PRA ang parehong lupain sa UK. Sinasaklaw ng high-risk classification ng EU AI Act ang karamihan ng financial-services use cases. Tapos na ang debate na "modelo ba ito"; kumilos nang naaayon.
Paano dapat iulat ang agentic AI sa mga board?
Apat na numero bawat workflow: autonomy tier, audit-trace completeness, reversal rate, net cost kada desisyon. Plus isang top-five residual-risk list. Laktawan ang model-card slideware.
Mga Sanggunian #
- Stanford HAI, (2026). Ang 2026 AI Index Report ⧉.
- Stanford HAI, (2026). Kabanata ng Technical Performance ⧉.
- Cambridge Centre for Alternative Finance, (2026). 2026 Global AI in Financial Services Report ⧉.
- Federal Reserve, (2011). SR 11-7: Patnubay sa Model Risk Management ⧉.
- Prudential Regulation Authority, (2023). Supervisory Statement SS1/23: Mga prinsipyo ng model risk management para sa mga bangko ⧉.
- European Commission, (2024). Regulation (EU) 2024/1689 — AI Act ⧉.
- NVIDIA, (2024). NeMo Guardrails framework ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
Huling sinuri .
Huling sinuri .