تشهد المؤسسات طفرة في الاعتماد على وكلاء الذكاء الاصطناعي الذين باتوا ينجزون المهام بسرعة تتجاوز القدرات البشرية: من جدولة الاجتماعات والوصول إلى البيانات، إلى تشغيل التدفقات وكتابة الأكواد وتنفيذ الإجراءات في الوقت الفعلي. غير أن السؤال الذي يطرح نفسه أمام فرق الأمن السيبراني هو: من وافق على هذا الوكيل؟
على عكس المستخدمين أو الحسابات الخدمية، يتم نشر الوكلاء بسرعة، ومشاركتهم على نطاق واسع، ومنحهم صلاحيات وصول واسعة، ما يجعل تتبع الملكية والموافقة والمساءلة أمراً بالغ الصعوبة. هذا الواقع يضع نماذج إدارة الهوية والوصول (IAM) التقليدية أمام تحديات غير مسبوقة.
أنواع وكلاء الذكاء الاصطناعي في المؤسسات
تتباين المخاطر وفقاً لنوع الوكيل وملكيته ونطاق استخدامه:
- الوكلاء الشخصيون (مملوكون للمستخدم): يعملون ضمن صلاحيات المستخدم نفسه، ويظل نطاق تأثيرهم محدوداً.
- الوكلاء الخارجيون (مملوكون للبائع): مدمجون في منصات SaaS أو أدوات التعاون، وتخضع حوكمتهم لعقود ومسؤولية المورد.
- الوكلاء التنظيميون (مشتركون وغالباً بلا مالك واضح): يُنشرون داخلياً ويُمنحون صلاحيات واسعة ودائمة، ما يجعلهم الأكثر خطورة والأصعب في المساءلة عند حدوث خلل.
مشكلة تجاوز التفويض عبر الوكلاء
الوكلاء لا ينفذون المهام فقط، بل يعملون كوسطاء وصول. يمكن للمستخدم أن يستدعي وكيلاً يمتلك صلاحيات أوسع من صلاحياته الشخصية، فينفذ إجراءات لم يكن مسموحاً له بها مباشرة. هذه الأفعال تكون “مصرحاً بها” تقنياً، لكنها غير آمنة سياقياً، إذ لا تُطلق أنظمة التحكم التقليدية أي إنذار لأن بيانات الاعتماد صحيحة. هذا ما يُعرف بـ تجاوز التفويض عبر الوكلاء، حيث يصبح الوكيل بوابة غير مرئية لتوسيع نطاق الوصول.
إعادة تعريف المخاطر والمسؤولية
تأمين وكلاء الذكاء الاصطناعي يتطلب تحولاً جذرياً في التفكير. يجب التعامل معهم ككيانات مستقلة عالية الحساسية، لها هويات وصلاحيات ومسارات وصول خاصة بها.
- الملكية والمساءلة: لا بد أن يكون لكل وكيل مالك محدد مسؤول عن نطاقه ومراجعة صلاحياته.
- رسم خريطة التفاعل: يجب على فرق الأمن فهم العلاقة بين المستخدم والوكيل والنظام والإجراء، لتحديد دائرة التأثير بدقة.
- تتبع المسارات: عبر ربط المستخدم → الوكيل → النظام → الفعل، يمكن كشف سوء الاستخدام والتحقيق في الأنشطة المشبوهة.
تكلفة غياب الحوكمة على الوكلاء التنظيميين
الوكلاء التنظيميون غير المنضبطين يحولون مكاسب الإنتاجية إلى مخاطر نظامية. مع مرور الوقت، تتوسع صلاحياتهم، وتزداد مهامهم، ويصبح تتبع أفعالهم أكثر صعوبة. وعند وقوع حادث، يغيب المالك المسؤول، فلا توجد جهة واضحة للاستجابة أو الإصلاح. هذا الغياب للرؤية والملكية والضوابط يجعلهم أحد أخطر العناصر في مشهد الأمن المؤسسي الحديث.
