كيف يستعد موفرو IAM للذكاء الاصطناعي الوكيل
هناك شعور حقيقي بأن كل منظمة تتعامل مع الذكاء الاصطناعي – وخاصة الذكاء الاصطناعي الوكيل – تتجه مباشرة إلى كارثة أمنية في مجال تكنولوجيا المعلومات.
يقول ريتشارد وينرايت، كبير مسؤولي التكنولوجيا الميداني لأوروبا والشرق الأوسط وأفريقيا في شركة Okta، إن معظم الشركات التي يتحدث عنها تبدو عالقة في الطيارين ولا تحصل على قيمة من استثمارات الذكاء الاصطناعي التي يقومون بها.
“إنهم يبنون عملاء الذكاء الاصطناعي باستخدام مزيج من واجهة برمجة التطبيقات [application programming interface] المفاتيح وحسابات الخدمة، التي تقدم بيانات اعتماد طويلة الأمد لتوفير هويات غير بشرية [NHIs] مع إمكانية الوصول إلى بيئة تكنولوجيا المعلومات الخاصة بالشركة.
ويحذر وينرايت من أن هذا يخلق مجموعة من المشاكل لمحترفي أمن تكنولوجيا المعلومات. ويقول: “يكاد يكون من المستحيل ربط ما فعله الوكيل بالشخص الذي اتصل به”.
هناك مجال آخر مثير للقلق، وفقًا لـ Wainwright، وهو أنه إذا تم استخدام حساب الخدمة من قبل وكيل الذكاء الاصطناعي العام، فإن نطاقه مفتوح على مصراعيه. ويحذر قائلاً: “هذا يعني أنه قوي حقًا، لكنه يمكنه أيضًا كسر الكثير من الأشياء”.
فيه منصات أمان هوية القوى العاملة، الربع الثاني من عام 2026 وفقًا للتقرير، تدرك شركة التحليلات Forrester القيود المفروضة على إدارة الوصول إلى الهوية (IAM) للمهام التي تتطلع العديد من المؤسسات إلى تبسيطها باستخدام الذكاء الاصطناعي الوكيل.
وفي التقرير، تشير شركة Forrester إلى أن منصات أمن الهوية الحديثة تعمل على توحيد المصادقة والترخيص وحوكمة دورة الحياة واستخبارات مخاطر الهوية عبر الهويات البشرية والآلاتية وهويات عملاء الذكاء الاصطناعي لتقديم ضوابط متسقة وقائمة على السياسات على نطاق واسع.
إن استخدام العديد من المؤسسات للذكاء الاصطناعي والذكاء الاصطناعي الوكيل هو في مرحلة تكون فيها الوظيفة الوكيلة المستخدمة محدودة للغاية ويمكن التحكم فيها. تختلف إدارة الهوية والوصول لوكلاء الذكاء الاصطناعي قليلاً عن الطريقة التي تدير بها المؤسسات الموظفين.
ويشير برزيميك تشارنيكي، كبير مسؤولي التكنولوجيا في شركة Asos لمتاجر الأزياء بالتجزئة، إلى أنه في حين أن الذكاء الاصطناعي الوكيل لا يشبه الهوية البشرية وإدارة الوصول، إلا أنه من الصعب معرفة الفرق. على سبيل المثال، يقول: “إذا كنت في Teams، فقد تخلط بين وكيل الذكاء الاصطناعي والإنسان لأن العملاء في بيئة Microsoft يظهرون في Teams بنفس الطريقة التي يظهر بها البشر”.
تستخدم Asos Microsoft Copilot في المرحلة الأولى من استراتيجية الذكاء الاصطناعي الخاصة بها، حيث يستخدمه الموظفون لبدء بناء الذكاء الاصطناعي الوكيل. يقول كزارنيكي: “لقد حددنا مجموعة محدودة جدًا من الإجراءات التي يمكن لهؤلاء الوكلاء القيام بها لأننا نريد التأكد من أن الوكلاء الذين طورهم الجميع لا يمكنهم إلحاق الضرر بالشركة”.
يعمل بائع التجزئة للأزياء على إضفاء الطابع الديمقراطي على استخدام الذكاء الاصطناعي في جميع أنحاء الأعمال، الأمر الذي يحتمل أن يمكّن فرق تكنولوجيا المعلومات والأمن من فهم كيفية قيام الأشخاص في الشركة بنشر الذكاء الاصطناعي الوكيل. تعد هذه خطوة أولى مهمة في وضع أدوات المراقبة ولوحات المعلومات المناسبة.
مراقبة تصرفات وكلاء الذكاء الاصطناعي
ربما تكون الرؤية هي التحدي الأول الذي تواجهه الشركات عند تقييم مخاطر إدخال الذكاء الاصطناعي الوكيل إلى مؤسساتها.
يقول Amarinder Jassal، نائب الرئيس الأول والقائد العالمي لهندسة ما قبل وما بعد البيع في Savynt، إنه لا توجد معايير صناعية أو سلطات اعتماد يمكنها التصديق على أن الوكيل ليس ممثلاً سيئًا، أو يعمل نيابة عن ممثل سيئ، ولا يؤدي إلى تعرض البيانات الحساسة للخطر، أو أنه تم تدقيقه وحقق مستوى من ضمان الجودة يجعله جاهزًا للمؤسسات.
يقول جسال إن سافينت تسعى إلى جمع عملاء الذكاء الاصطناعي تحت مظلة واحدة لمراقبة سلوكهم. “نحن نحاول جمع كل هؤلاء الوكلاء في مستودع واحد، والذي يعمل مثل CMDB [configuration management database]. هناك مستودع مركزي واحد لجميع وكلاء الذكاء الاصطناعي في بيئتك، سواء كانوا مسجلين أو غير مسجلين.
ولتحقيق ذلك، قامت Saviynt بتطوير التكامل مع الشركاء التقنيين وتعمل مع أمثال Zscaler وCrowdStrike لالتقاط جوانب الظل من الذكاء الاصطناعي الوكيل.
تعد إمكانية المراقبة أمرًا أساسيًا لأنه حتى الاستخدامات المشروعة لأنظمة الذكاء الاصطناعي الوكيل يمكن أن تؤدي مهام لم يتم تصميمها من أجلها.
شاندرا ناناسامباندام، نائب الرئيس التنفيذي للمنتج والرئيس التنفيذي للتكنولوجيا في SailPoint، صادف مؤخرًا نظامًا لمعالجة القروض مدعومًا بالذكاء الاصطناعي تجاوز عن غير قصد الإجراءات الأمنية لإكمال فحص الائتمان الذي لم يكن من المفترض تشغيله. ويقول: “كانت نية الوكيل هي حل مهمة ما، وقد وجد طرقًا للقيام بذلك حتى عندما يُطلب منه عدم القيام بذلك”.
في هذا المثال، يقول Gnanasambandam إن أحد البنوك قام بنشر وكيل مشرف لإدارة عملية الموافقة على القرض، مع العديد من الوكلاء المساعدين لأداء مهام محددة. تم تكليف أحد هؤلاء الوكلاء بإجراء فحص الائتمان، ولكن تم رفض الوصول إلى تطبيق التحقق من الائتمان الداخلي. لقد أبلغ الوكيل المشرف بأنه لم يتمكن من الوصول إلى هذا التطبيق وبالتالي لم يتمكن من إكمال المهمة. ومع ذلك، كان لدى الوكيل المشرف هدف إكمال طلبات القروض في ثلاث دقائق، وكان جميع الوكلاء المساعدين الآخرين قد أكملوا عملهم بالفعل.
وفقًا لجناناسامباندام، رفض الوكيل المشرف قبول عدم قدرة الوكيل المساعد على إكمال مهمته. ونتيجة لذلك، بحثًا عن طريقة بديلة لإكمال مهمته، قام الوكيل المساعد بالبحث في الإنترنت عن نقاط الضعف في نظام مخاطر الائتمان.
“لقد كانت تحاول الوصول إلى درجة مخاطر الائتمان وعثرت على مستودع GitHub حيث ترك أحد المطورين عن طريق الخطأ رمزًا مميزًا يوفر الوصول إلى النظام. لذلك عثرت على الرمز المميز ودخلت إلى نظام مخاطر الائتمان. كانت المهمة كاملة – باستثناء أنها فعلت شيئًا لم يكن من المفترض أن تفعله،” كما يقول.
مراقبة وصول وكيل الذكاء الاصطناعي
يوضح هذا المثال كابوس حوكمة تكنولوجيا المعلومات الذي من المحتمل أن يتكشف مع نشر الذكاء الاصطناعي الوكيل في بيئات الإنتاج الحية. والأمر الواضح هو أن عملاء الذكاء الاصطناعي لا يمكن معاملتهم بنفس الطريقة التي يُعامل بها المستخدمون البشريون، ولديهم القدرة على التغلب على التدابير الأمنية التي تحد من ما يُسمح لهم بفعله.
تم تحديد Okta بواسطة Forrester كشركة رائدة في IAM. لقد قامت مؤخرًا بتحديث أداة Auth0 IAM الخاصة بها للوكلاء المستقلين. يهدف Auth0 for AI Agents إلى معالجة الفرق بين كيفية قيام مطوري البرامج بكتابة البرامج للمستخدمين البشريين ومتى يتم نشر الوكيل لتشغيل البرنامج. يُظهر النهج الذي تتبعه Okta التحديات التي يتطلع مزودو برامج IAM إلى معالجتها، إلى جانب اعتبارات سهولة الاستخدام والأداء وقابلية التوسع.
تميل نماذج الأذونات التقليدية إلى استخدام واجهات برمجة التطبيقات (APIs) لمصادقة المستخدمين على التطبيقات. ولكن وفقًا لأوكتا، فإن هذا النهج يبطئ الأداء في سير عمل الذكاء الاصطناعي الوكيل ويمنع نشر وكلاء الذكاء الاصطناعي في بيئات الإنتاج، كما يوضح غاريث ديفيز، كبير مسؤولي المنتج في Auth0: “عندما يحتاج وكيل الذكاء الاصطناعي إلى الوصول إلى العشرات من الأدوات المختلفة، غالبًا ما يضطر المطورون إلى ترميز مفاتيح واجهة برمجة التطبيقات يدويًا أو إنشاء منطق ترخيص مخصص من الصفر. وهذا يؤثر على الإنتاجية ويزيد بشكل كبير من خطر الاختراق.”
ويقول إن Auth0 for Agents يوفر منصة هوية مستقلة تربط الوكلاء بشكل آمن بأي أداة وأي نظام وأي مزود، مما يعني أنه يمكن للمطورين التركيز على بناء التطبيقات.
بدلاً من التعامل مع وكلاء الذكاء الاصطناعي باعتبارهم امتدادات للمستخدم، وهو ما يقول أوكتا إنه يمكن أن يؤدي إلى أذونات واسعة للغاية أو هويات ظل تتجاوز عناصر التحكم في المؤسسة، يقدم Auth0 for Agents ميزة تسمى Agent as Principal. يتيح ذلك لمطوري البرامج تعيين هويات فريدة لوكلاء الذكاء الاصطناعي، والتي تقول أوكتا إنها تختلف عن المستخدمين الذين يخدمونهم، ويعني أنه يمكن السماح بإجراءات الوكلاء ومراجعتها بشكل مستقل، مما يمكنهم من العمل مع الإشراف المناسب.
هناك مشكلة أخرى تسعى شركة Okta إلى معالجتها باستخدام Auth0 for Agents وهي عبء الأداء الذي تتكبده المصادقة الدقيقة (FGA) عند نشر التحكم في الوصول القائم على العلاقة. تعد FGA طريقة لضمان الوصول فقط إلى البيانات المصرح للمستخدم أو الوكيل بعرضها عند تشغيل استعلام بحث عبر أنظمة المؤسسة.
يمكن تحقيق ذلك باستخدام وكيل الذكاء الاصطناعي الذي ينفذ عملية الاسترجاع المعززة (RAG) لإجراء بحث باستخدام مهمة أذونات لزيادة وإنشاء الاستجابات المصرح له بالوصول إليها. يقول أوكتا إن المطورين بحاجة إلى إجراء مقايضات: إما بناء نظام آمن يكون استخدامه بطيئًا للغاية، أو نظامًا سريعًا يهدد بالكشف عن البيانات الحساسة. للتغلب على هذه المقايضات، تطبق Auth0 فهرس الأذونات، الذي يعمل مثل فهرس قاعدة البيانات، للبحث عن بيانات الأذونات. نظرًا لأنه يتم تخزين الأذونات محليًا بتنسيق قاعدة بيانات قياسية، تقول أوكتا إن التطبيقات أو محركات البحث يمكنها الاستعلام عن بيانات الأعمال التي يُسمح للمستخدم أو الوكيل بالوصول إليها من خلال البحث في جدول الأذونات المحسوبة مسبقًا.
تتخذ شركات إدارة الهوية والوصول أساليب مختلفة لتأمين أنظمة الذكاء الاصطناعي الوكيلة. ما هو واضح من المحادثات التي أجرتها مجلة Computer Weekly مع شركات IAM هو أن مراقبة الذكاء الاصطناعي الوكيل أمر أساسي.
يقول سايمون جوتش، مدير تكنولوجيا المعلومات الميداني في Savynt: “إن Agent AI هو في الأساس تقنية الظل الخلفية مع الانتقام.” مع بدء المؤسسات في إضفاء الطابع الديمقراطي على استخدام الذكاء الاصطناعي الوكيل، يحث جوتش قادة تكنولوجيا المعلومات والأمن على التأكد من أن لديهم ضوابط مطبقة للتأكد من أن إضفاء الطابع الديمقراطي على الذكاء الاصطناعي الوكيل يمكن التنبؤ به وأن التكنولوجيا يتم استخدامها بشكل معقول ضمن إطار تعتبره المنظمة آمنًا ومأمونًا.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
