تواجه المؤسسات اليوم تحديًا جديدًا يتمثل في ما يُعرف بـ فجوة سلطة وكلاء الذكاء الاصطناعي (AI Agent Authority Gap). المشكلة لا تكمن فقط في أن الوكلاء يمثلون فاعلين جدد داخل بيئة الأمن المؤسسي، بل في أنهم فاعلون مفوَّضون، أي أن سلطتهم لا تنشأ بشكل مستقل، وإنما تُستمد من هويات قائمة: مستخدمون بشريون، حسابات خدمات، هويات آلية، وبوتات. هذا يجعل وكلاء الذكاء الاصطناعي كيانًا مختلفًا عن البشر والبرمجيات، لكنه في الوقت نفسه متداخل معهما بشكل لا ينفصل.
من هنا، فإن الفجوة الحقيقية ليست فجوة سلطة الوكلاء بحد ذاتها، بل فجوة التفويض. المؤسسات تحاول ضبط وكيل ناشئ دون أن تضبط أولًا الهويات التي تمنحه السلطة.
من الهوية المظلمة إلى المراقبة المستمرة
أنظمة إدارة الهوية التقليدية (IAM) صُممت للإجابة عن سؤال محدد: “من يملك حق الوصول؟”. لكن مع دخول وكلاء الذكاء الاصطناعي، يصبح السؤال الأعمق: “ما السلطة التي تُفوض؟ ومن يفوضها؟ وتحت أي ظروف؟ ولأي غرض؟ وعلى أي نطاق؟”.
المؤسسات لا تستطيع إدارة سلطة الوكلاء بأمان ما لم تبدأ أولًا بضبط الهويات التقليدية التي تُفوض هذه السلطة. هذه الهويات غالبًا ما تكون مجزأة عبر التطبيقات وواجهات البرمجة (APIs) والحسابات غير المُدارة، وهو ما يُعرف بـ المادة المظلمة للهوية. إذا بقيت هذه المادة المظلمة غير مرئية، فإن الوكيل يرث نموذج سلطة معطوب مسبقًا، ليصبح مضاعفًا فعالًا للمخاطر المخفية.
هنا يأتي دور نموذج Orchid للمراقبة المستمرة، الذي يتيح رؤية شاملة لسلوك الهوية الحقيقي عبر البيئات المُدارة وغير المُدارة، بدلًا من الاعتماد على سياسات ثابتة غير مكتملة.
من الرصد إلى الحوكمة الديناميكية
بعد مراقبة وتحليل وضبط طبقة الفاعلين التقليديين، يصبح هذا المخرج مدخلًا لطبقة تفويض سلطة الوكلاء في الزمن الحقيقي. نموذج Orchid يتجاوز الرؤية التقليدية، إذ يحول البيانات إلى محرك سلطة ديناميكي يقيم هوية المفوض، سياق التطبيق المستهدف، نية الفعل المطلوب، ونطاق التنفيذ الفعلي.
بذلك، لا يُدار الوكيل فقط وفقًا لصلاحياته الاسمية، بل وفقًا لوضعية وسلوك المفوض، وسياق المهمة، وحدود النطاق. على سبيل المثال، لا ينبغي أن يمنح مستخدم ذو سلوك محفوف بالمخاطر نفس مستوى السلطة لوكيله كما يمنح مستخدم منضبط ضمن سير عمل مقيد. كذلك، الحسابات الآلية ذات الوصول الواسع وغير المفهوم لا يجب أن تُطلق وكلاء بسلطة غير محدودة.
الحوكمة المتسلسلة للوكلاء
النموذج النهائي الذي يطرحه Orchid هو التحكم الديناميكي المتسلسل في التفويض. حيث يمكن ربط هوية كل وكيل بالتطبيقات التي يتعامل معها، والمهام التي يمكنه تنفيذها، والأنماط السلوكية التي يظهرها، ثم استخدام تدفق المراقبة الحي لتحديد في الزمن الحقيقي ما إذا كان يجب السماح له بالتصرف، أو الاكتفاء بالتوصية، أو تقييده بأدوات محدودة، أو منعه تمامًا.
هذا هو المعنى الحقيقي لإغلاق فجوة السلطة: ليس فقط معرفة ما يمكن للوكيل الوصول إليه، بل تحديد ما يُسمح له بتنفيذه أو اتخاذه من قرارات بسرعة الآلة.
