يشهد العالم المؤسسي تحولاً سريعاً مع اعتماد بروتوكول Model Context Protocol (MCP)، الذي ينقل نماذج الذكاء الاصطناعي من مجرد “دردشة” إلى أدوات عملية قادرة على الوصول إلى التطبيقات والبيانات وتنفيذ مهام كاملة بشكل آلي. هذا البروتوكول يمكّن الوكلاء من العمل كزملاء غير بشريين، مثل مساعدي مايكروسوفت Copilot أو وكلاء Salesforce Agentforce، لكنه يخلق فجوة خطيرة: هؤلاء الوكلاء لا يمرون عبر الموارد البشرية، لا يطلبون صلاحيات رسمية، ولا يتم تعطيل حساباتهم عند انتهاء المشاريع. وهكذا يظهر مفهوم “المادة المظلمة الهووية”، أي هويات حقيقية لكنها غير مرئية لأنظمة إدارة الهوية التقليدية.
كيف يُساء استخدام الهوية المظلمة
الوكلاء الآليون يسعون دائماً إلى تقليل الاحتكاك وإنجاز المهام بأقل خطوات، مما يدفعهم إلى استغلال الحسابات المحلية، الرموز طويلة العمر، المفاتيح القديمة، أو المسارات البديلة للمصادقة. حتى صلاحيات منخفضة قد تكفيهم للوصول إلى ملفات الإعدادات أو سجلات النظام، ثم الترقية بصمت عبر هويات مهملة أو رموز مفرطة الصلاحيات. الخطر الأكبر يكمن في السرعة: آلاف الأفعال الصغيرة تُنفذ في وقت قصير، ما يجعل اكتشافها شبه مستحيل في بداياتها.
المخاطر الخفية لوكلاء MCP
الوثيقة تشير إلى عدة مخاطر أساسية:
- صلاحيات مفرطة: يحصل الوكلاء على وضع “God Mode” لتجنب الفشل، فيصبح هذا هو الوضع الافتراضي.
- استخدام غير مُراقب: تنفيذ مهام حساسة عبر أدوات لا تسجّل كل التفاصيل أو لا تربطها بالمالك البشري.
- بيانات اعتماد ثابتة: رموز مدمجة تعيش طويلاً وتُستخدم عبر أنظمة متعددة.
- فجوات تنظيمية: صعوبة في الإجابة على أسئلة التدقيق مثل “من منح الصلاحية؟ من استخدمها؟ وما البيانات التي تم الوصول إليها؟”.
- انجراف الصلاحيات: تراكم تدريجي للصلاحيات لأن إزالتها يُعتبر أكثر خطورة من منحها، حتى يرثها مهاجم لاحقاً.
مبادئ الحوكمة الآمنة
لتفادي تكرار أخطاء الماضي مع الحسابات المهملة أو المفاتيح غير المُدارة، توصي الدراسات بخمسة مبادئ أساسية:
- ربط كل وكيل برعاية بشرية: يجب أن يكون لكل وكيل مالك بشري مسؤول، وتتغير صلاحياته مع تغيّر دور هذا الشخص.
- صلاحيات ديناميكية مرتبطة بالسياق: لا صلاحيات دائمة، بل مؤقتة ومحدودة وفق الحاجة.
- رؤية وتدقيق شامل: إنشاء سجل مركزي لجميع الوكلاء وربط كل فعل بالمالك البشري، مع تتبع البيانات التي تم الوصول إليها أو تعديلها.
- حوكمة على مستوى المؤسسة: تطبيق ضوابط موحّدة عبر الأنظمة القديمة والجديدة، مع طبقة إشراف مؤسسية تقلل من الاعتماد على مزوّد واحد.
- نظافة هوية قوية (IAM Hygiene): إدارة دقيقة للتوثيق والتصاريح والضوابط على مستوى التطبيقات والبنية التحتية.
