تشير تقارير أمنية حديثة إلى أن المؤسسات باتت تواجه تحدياً متزايداً في إدارة الهويات غير البشرية (NHIs)، والتي تشمل الحسابات الخدمية والرموز البرمجية ووكلاء الذكاء الاصطناعي. هذه الكيانات تعمل في الخلفية بلا انقطاع لنقل البيانات وتنفيذ المهام والوصول إلى الأنظمة، وغالباً ما تتضاعف أعدادها بشكل يفوق المستخدمين البشريين بنسبة تصل إلى 80 إلى 1. ومع غياب الملكية الواضحة والرقابة، تتحول هذه الهويات إلى ثغرات أمنية خفية يصعب تتبعها أو ضبطها.
لماذا يشكل وكلاء الذكاء الاصطناعي خطراً مضاعفاً؟
على عكس الهويات الآلية التقليدية، يتمتع وكلاء الذكاء الاصطناعي بقدرة على اتخاذ القرارات وتنفيذ الإجراءات بشكل مستقل، بما في ذلك استدعاء واجهات برمجة التطبيقات والوصول إلى بيانات حساسة. غالباً ما يعملون بصلاحيات مرتفعة وبيانات اعتماد طويلة الأمد، دون دورة حياة واضحة أو آليات إبطال وصول فعالة. ونتيجة لذلك، يصبح من الصعب مراقبتهم بالأدوات التقليدية التي تعتمد على إشارات الهوية البشرية مثل الموقع أو الجهاز أو تسجيلات الدخول.
التحديات الأمنية الأساسية للهويات غير البشرية
تتمثل أبرز المخاطر في غياب الرؤية الشاملة، إذ تُنشأ العديد من الحسابات الخدمية تلقائياً أثناء عمليات النشر ثم تُترك بلا متابعة. كما أن نهج “امنح كل الصلاحيات ثم انسَ الأمر” يحوّل هذه الحسابات إلى أهداف مغرية للاستغلال، خصوصاً مع التضحية بمبدأ الحد الأدنى من الامتيازات لصالح السرعة والسهولة. إلى جانب ذلك، تُخلف المؤسسات وراءها هويات يتيمة عند مغادرة المطورين أو توقف التطبيقات، فتظل صالحة للاستعمال لسنوات وتشكل أبواباً خلفية غير مرئية.
كيف تستعيد المؤسسات السيطرة؟
الاستراتيجية الفعّالة تبدأ بالاعتراف بأن كل نظام أو رمز أو وكيل ذكاء اصطناعي يمثل هوية تستحق الحوكمة. الخطوات العملية تشمل:
-
الجرد الشامل باستخدام منصات حديثة تكشف الحسابات غير المُدارة والرموز المخفية عبر البيئات السحابية.
-
تحديد الأولويات لمعالجة الحسابات عالية المخاطر، وضبط الصلاحيات وفق مبدأ الامتياز الأدنى.
-
أتمتة دورة الحياة بحيث تُنشأ الهوية بمالك واضح، وصلاحيات مضبوطة، وتُزال تلقائياً عند انتهاء الحاجة.
-
بناء نسيج أمني موحّد للهويات يدمج كل الهويات البشرية وغير البشرية في منظومة حوكمة واحدة، مع أدوات مثل إدارة الموقف الأمني للهويات (ISPM) وتدوير الأسرار وحماية الرموز الحساسة.
بهذه الإجراءات، يمكن للمؤسسات تقليص مساحات الهجوم، إغلاق الثغرات قبل استغلالها، وضمان أن وكلاء الذكاء الاصطناعي والهويات غير البشرية لا يتحولون إلى أكبر نقطة عمياء في البنية السحابية.
