Από τον Ido Shlomo, CTO και συνιδρυτή, Token Security
Το Agentic AI έφτασε. Από προσαρμοσμένα GPT έως αυτόνομους πιλότους, οι πράκτορες τεχνητής νοημοσύνης ενεργούν πλέον για λογαριασμό χρηστών και οργανισμών, ή ακόμα ενεργούν ως ένας άλλος συμπαίκτης, παίρνοντας αποφάσεις, αποκτώντας πρόσβαση σε συστήματα και επικαλούμενοι άλλους πράκτορες χωρίς άμεση ανθρώπινη παρέμβαση.
Όμως, με αυτό το νέο επίπεδο αυτονομίας έρχεται ένα επείγον ερώτημα ασφαλείας: Εάν η τεχνητή νοημοσύνη κάνει τη δουλειά, πώς ξέρουμε πότε να την εμπιστευτούμε;
Στα παραδοσιακά συστήματα, η αρχιτεκτονική Zero Trust δεν προϋποθέτει καμία έμμεση εμπιστοσύνη, όπου κάθε χρήστης, τελικό σημείο, φόρτος εργασίας και υπηρεσία πρέπει συνεχώς να αποδεικνύει ποιος είναι και τι είναι εξουσιοδοτημένος να κάνει.
Ωστόσο, στον κόσμο της τεχνητής νοημοσύνης, αυτές οι αρχές καταρρέουν γρήγορα. Οι πράκτορες AI λειτουργούν συχνά με κληρονομικά διαπιστευτήρια, χωρίς εγγεγραμμένο ιδιοκτήτη ή διακυβέρνηση ταυτότητας.
Το αποτέλεσμα είναι ένας αυξανόμενος πληθυσμός πρακτόρων που μπορεί να φαίνονται αξιόπιστοι αλλά στην πραγματικότητα δεν είναι, ένας από τους πολλούς κινδύνους των αυτόνομων πρακτόρων AI στην υποδομή σας.
Για να καλύψουν αυτό το κενό, οι οργανισμοί πρέπει να εφαρμόσουν το Πλαίσιο Διαχείρισης Κινδύνων NIST AI (AI RMF) μέσω ενός φακού Zero Trust με την ταυτότητα στον πυρήνα. Η ταυτότητα πρέπει να είναι η ρίζα της εμπιστοσύνης για την τεχνητή νοημοσύνη, και χωρίς αυτήν, όλα τα άλλα (έλεγχοι πρόσβασης, έλεγχος, λογοδοσία) καταρρέουν.
Κίνδυνος ταυτότητας στην εποχή του πράκτορα
Το AI RMF του NIST παρέχει έναν οδηγό υψηλού επιπέδου για τη διαχείριση του κινδύνου AI σε τέσσερις λειτουργίες: Χάρτης, Μέτρηση, Διαχείριση και Διακυβέρνηση. Αλλά η ερμηνεία αυτών μέσω του φακού της διακυβέρνησης ταυτότητας αποκαλύπτει πού κρύβονται οι κίνδυνοι που σχετίζονται με την τεχνητή νοημοσύνη.
Πάρτε τη λειτουργία “Χάρτης”. Πόσοι πράκτορες τεχνητής νοημοσύνης είναι ενεργοί αυτήν τη στιγμή στον οργανισμό σας; Ποιος τα δημιούργησε και ποιος τα κατέχει; Τι πρόσβαση έχουν στα εταιρικά συστήματα και υπηρεσίες; Οι περισσότερες ομάδες ασφαλείας δεν μπορούν να απαντήσουν σε αυτές τις ερωτήσεις σήμερα.
Οι πράκτορες τεχνητής νοημοσύνης αναπτύσσονται σε εσωτερικούς σταθμούς εργασίας προγραμματιστών, λογαριασμοί παραγωγής ή περιβάλλοντα άμμου cloud με μικρή επίβλεψη.
Οι σκιώδεις πράκτορες συχνά κληρονομούν διαπιστευτήρια με υπερβολική άδεια ή επαληθεύουν την ταυτότητα χρησιμοποιώντας ένα μακρόβιο μυστικό. Πολλά επιμένουν χωρίς κάτοχο, χωρίς πολιτική εναλλαγής, χωρίς σωστό μέγεθος αδειών και χωρίς παρακολούθηση.
Αυτοί οι “ορφανοί πράκτορες” παραβιάζουν το Zero Trust από προεπιλογή. Λειτουργούν χωρίς αξιόπιστη ταυτότητα, που σημαίνει ότι το σύστημα εμπιστεύεται οντότητες που δεν μπορεί να επαληθεύσει.
Οι πράκτορες της τεχνητής νοημοσύνης αναλαμβάνουν τώρα δράση — όχι απλώς ακολουθώντας οδηγίες.
Μάθετε πώς η Token Security βοηθά τις επιχειρήσεις να επαναπροσδιορίσουν τον έλεγχο πρόσβασης για την εποχή του Agentic AI, όπου πρέπει να ευθυγραμμίζονται οι ενέργειες, η πρόθεση και η υπευθυνότητα.
Γιατί η Ταυτότητα πρέπει να έρχεται πρώτη
Για να διορθωθεί αυτό, οι ομάδες ασφαλείας πρέπει να ξεκινήσουν με την πρώτη αρχή του Zero Trust: πρέπει να εφαρμόζονται τα σωστά δικαιώματα και τα διαπιστευτήρια πριν από τη χορήγηση εμπιστοσύνης. Αυτό δεν ισχύει μόνο για χρήστες, αλλά και για πράκτορες τεχνητής νοημοσύνης.
Κάθε πράκτορας AI θα πρέπει να έχει:
- Μια μοναδική, διαχειριζόμενη ταυτότητα
- Ένας ξεκάθαρος ιδιοκτήτης ή υπεύθυνη ομάδα
- Ένα σύστημα αδειών που βασίζεται σε πρόθεση, που συνδέεται με την πρόσβαση που χρειάζεται πραγματικά
- Ένας κύκλος ζωής: δημιουργήθηκε, αναθεωρήθηκε, εναλλάχθηκε και αποσύρθηκε όπως κάθε άλλη ταυτότητα
Αυτό μετατρέπει το πρακτορείο AI από έναν ακυβέρνητο κίνδυνο σε μια κυβερνώμενη οντότητα. Η ταυτότητα γίνεται ο θυρωρός για όλα όσα αγγίζει ο πράκτορας της τεχνητής νοημοσύνηςείτε πρόκειται για ανάγνωση ευαίσθητων δεδομένων, είτε για έκδοση εντολών συστήματος είτε για επίκληση άλλου πράκτορα.
Εφαρμογή του NIST Framework: Identity-Driven Zero Trust
Δείτε πώς μπορεί να εφαρμοστεί κάθε λειτουργία NIST AI RMF μέσω μιας προσέγγισης Zero Trust με επίκεντρο την ταυτότητα:
Χάρτης: Ανακαλύψτε και καταγράψτε όλους τους πράκτορες AI, συμπεριλαμβανομένων των προσαρμοσμένων GPT, των copilot και των διακομιστών MCP. Επισήμανση αντιπροσώπων με έλλειψη ή ασαφή ιδιοκτησία. Χαρτογραφήστε τι μπορεί να έχει πρόσβαση κάθε πράκτορας και συνδέστε το με τον προορισμό του. Παρακολουθήστε τη συμπεριφορά του πράκτορα συνεχώς, όχι μόνο για αποτελέσματα μοντέλων αλλά και για συμπεριφορά ταυτότητας. Ο πράκτορας έχει πρόσβαση σε συστήματα που δεν έχει χρησιμοποιήσει ποτέ στο παρελθόν; Έχει λήξει τα διαπιστευτήριά του, αλλά εξακολουθεί να λειτουργεί; Η ανώμαλη χρήση ταυτότητας είναι ένα πρώιμο προειδοποιητικό σημάδι συμβιβασμού ή παρεκτροπής.
Διαχειρίζομαι: Δικαιώματα σωστού μεγέθους για κάθε ταυτότητα AI. Χρησιμοποιήστε πρόσβαση βάσει πρόθεσης για να διασφαλίσετε ότι τα ελάχιστα προνόμια επιβάλλονται δυναμικά. Ανάκληση παλιών διαπιστευτηρίων, εναλλαγή μυστικών και καταργήστε πράκτορες που δεν εξυπηρετούν πλέον κάποιο σκοπό.
Κυβερνώ: Εφαρμόστε διακυβέρνηση ταυτότητας σε πράκτορες AI με την ίδια αυστηρότητα που χρησιμοποιείται για τους ανθρώπους. Εκχωρήστε ιδιοκτήτες, εφαρμόστε πολιτικές κύκλου ζωής και ελέγξτε τη χρήση ταυτότητας στο οικοσύστημά σας με πολλούς παράγοντες. Εάν ένας πράκτορας κάνει μια ευαίσθητη ενέργεια, θα πρέπει να μπορείτε να απαντήσετε αμέσως: Ποιος το εξουσιοδότησε αυτό και γιατί;
Από τα τυφλά σημεία στην αποδεδειγμένη εμπιστοσύνη
Οι κίνδυνοι είναι πραγματικοί. Οι ορφανοί πράκτορες τεχνητής νοημοσύνης μπορούν να χρησιμεύσουν ως κερκόπορτες για τους επιτιθέμενους. Οι πράκτορες με υπερβολική άδεια μπορούν να διεισδύσουν ευαίσθητα δεδομένα σε δευτερόλεπτα. Και όταν συμβαίνει μια παραβίαση, η διαδρομή ελέγχου είναι συχνά ανύπαρκτη. Χωρίς σαφείς ταυτότητες, οι ομάδες ασφαλείας μένουν να αγωνίζονται να εντοπίσουν το πρόβλημα: «Δεν ξέρουμε ποιος το έκανε».
Η ταυτότητα δεν μπορεί να είναι απλώς ένα άλλο επίπεδο στην ασφάλεια της τεχνητής νοημοσύνης. Πρέπει να είναι το θεμέλιο. Ευθυγραμμίζεται με το Zero Trust διασφαλίζοντας ότι κάθε ενέργεια πράκτορα AI συνδέεται με μια γνωστή, διοικούμενη οντότητα. Και επιτρέπει την ασφαλή υιοθέτηση τεχνητής νοημοσύνης σε κλίμακα, επειδή η εμπιστοσύνη στην τεχνητή νοημοσύνη πρέπει να κερδίζεται και όχι να θεωρείται δεδομένο.
Οι πράκτορες AI μπορεί να είναι αυτόνομοι, αλλά η εμπιστοσύνη τους πρέπει να βασίζεται στην υπευθυνότητα. Η ταυτότητα είναι το πώς φτάνουμε εκεί και εδραιώνει αυτή την εμπιστοσύνη. Με την ενσωμάτωση των ελέγχων ταυτότητας σε κάθε φάση της ανάπτυξης της τεχνητής νοημοσύνης (ανακάλυψη, αδειοδότηση, παρακολούθηση και διακυβέρνηση), οι οργανισμοί μπορούν να εξαλείψουν τα τυφλά σημεία και να επιβάλουν το Zero Trust όπου έχει μεγαλύτερη σημασία.
Ήρθε η ώρα να αρχίσουμε να το εφαρμόζουμε σε πράκτορες AI για να διασφαλίσουμε μια ισχυρότερη στάση ασφάλειας και συμμόρφωσης.
Εάν είστε έτοιμοι να χαρτογραφήσετε το agent AI σας και να αποκτήσετε τον έλεγχο των πρακτόρων σας, κάντε κράτηση για ένα demo του Token Security για να δούμε πώς το κάνει η πλατφόρμα μας.
Χορηγός και γραμμένος από Token Security.
VIA: bleepingcomputer.com
