عندما تصبح الشارة مملوكة للبرمجيات، تتوقف قواعد الموارد البشرية عن العمل
تتعارض برامج الهوية المصممة للموظفين مع وكلاء الذكاء الاصطناعي الذين يمكنهم التصرف والتفويض والاستمرار دون تاريخ توظيف أو إشعار مغادرة.
لسنوات، افترضت إدارة دورة حياة الهوية نمطا مألوفا: ينضم شخص، يغير دوره، ثم يغادر في النهاية. يعمل هذا النموذج عندما تحدد سجلات الموارد البشرية من يحصل على الوصول ومتى ينبغي أن ينتهي. لكنه ينهار عندما يكون الكيان الرئيسي وكيلا للذكاء الاصطناعي. في ذلك العالم، لا يوجد مدير للموافقة على ترقية، ولا ملف موظف لتثبيت عملية التزويد، ولا مقابلة خروج لتفعيل إلغاء التفويض.
حقائق سريعة
- تم بناء إدارة دورة حياة الهوية حول أحداث توظيف البشر.
- لا تنسجم وكلاء الذكاء الاصطناعي بشكل طبيعي مع سير عمل الانضمام - الانتقال - المغادرة.
- قد تفوت أدوات IGA التقليدية أنماط وصول لا يمكن ربطها بأشخاص.
- تبحث NIST في هوية وكلاء الذكاء الاصطناعي، والتفويض، والتدقيق، وعدم التنصل.
- تحتاج الكيانات غير البشرية إلى منطق منفصل للملكية والنطاق وإلغاء التفويض.
المقدمة
المشكلة الأمنية الحقيقية ليست أن وكلاء الذكاء الاصطناعي غامضون. بل إن المؤسسات تحاول حوكمة هذه الوكلاء باستخدام آليات هوية صممت للبشر. هذا التباين يخلق نقاطا عمياء. قد يكون النظام المصمم لتتبع سجلات التوظيف ممتازا في استيعاب موظف جديد، ومع ذلك يظل ضعيفا في تتبع وكيل يُنشأ لمهمة واحدة، ويُفوض ببيان اعتماد، ويُترك يعمل بعد تغير المهمة.
كيف ينحني النموذج
تكون أدوات حوكمة الهوية وإدارتها في أقوى حالاتها عندما تستطيع مقارنة الحسابات بمصدر واضح للحقيقة. غالبا ما تعتمد برامج الهوية البشرية على الموارد البشرية باعتبارها ذلك المصدر. يعقد وكلاء الذكاء الاصطناعي الصورة لأنهم قد يُنشأون بالبرمجيات، أو يُربطون بسير عمل، أو يُفوضون عبر خدمة أخرى. وفي بنية الهوية الأوسع، تُستخدم هويات أحمال العمل عادة للبرمجيات لا للبشر، لكن الوكلاء يطرحون سؤالا إضافيا: من يملك الفعل عندما تتصرف البرمجيات من تلقاء نفسها؟
لهذا السبب تكتسب المحادثة التقنية الحالية أهمية. تدرس NIST صراحة كيف ينبغي أن تعمل هوية وكلاء الذكاء الاصطناعي والتفويض، بما في ذلك التعريف والتفويض والتدقيق وعدم التنصل. هذه ليست مصطلحات سياسة مجردة. إنها تحدد ما إذا كان فريق الأمن قادرا على الإجابة عن أسئلة أساسية لاحقا: أي كيان رئيسي تصرف، وتحت أي سلطة، وما إذا كانت تلك السلطة ينبغي أن تظل موجودة.
لماذا يجب أن يهتم المدافعون
لا يقتصر الخطر على الوصول اليتيم. بل يشمل أيضا الوصول الواسع جدا الذي يستمر أطول من المهمة التي بررته. إذا تمكن وكيل من الوصول إلى واجهات برمجة التطبيقات الحساسة، أو تشغيل سير العمل، أو تعديل السجلات، فقد يتحول التفويض القديم إلى مسار هجوم دائم. قد تفوت طبقة الهوية نفسها التي تمنع تضخم حسابات البشر سمات خاصة بالوكلاء مثل نطاق المهمة، والحدود الزمنية، أو التفويض المتسلسل. وهذه هي النقطة العمياء الهيكلية التي يدور حولها هذا الجدل فعلا.
إن الطبيعة المختصرة للمقال تترك الأمثلة والتوصيات غير مكتملة، لكن درس الحوكمة واضح بالفعل: تحتاج الكيانات غير البشرية إلى ضوابط خاصة بدورة حياتها. إن معاملتها كمستخدمين عاديين قد يطمس الملكية، ويضعف قابلية التدقيق، ويبطئ إلغاء التفويض عندما تتغير الظروف.
الخاتمة
تجبر وكلاء الذكاء الاصطناعي فرق الهوية على إعادة التفكير في افتراض قديم: أن كل كيان رئيسي يشبه شخصا. لن تكون المرحلة التالية من أمن الهوية مجرد إضافة المزيد من منطق الموارد البشرية إلى البرمجيات. بل ستكون بناء سجلات هوية وسلاسل تفويض وقواعد إلغاء تفويض تتوافق مع الطريقة التي تعمل بها الآلات فعلا. في عصر الوكلاء المستقلين، قد لا تكون الشارة بلاستيكية، لكن الوصول ما يزال يحتاج إلى بداية واضحة، ونطاق ضيق، وإيقاف حاسم.
TECHCROOK
مفتاح أمان مادي: يضيف مفتاح الأمان المادي عاملا ثانيا ماديا لحسابات الإدارة وإدارة الهوية. وهو طريقة بسيطة لتعزيز حماية الأشخاص الذين يوافقون على قرارات الوصول والتفويض وإلغاء التفويض حول الأنظمة الحساسة.
WIKICROOK
- إدارة دورة حياة الهوية: العمليات المستخدمة لإنشاء الهويات الرقمية وتغييرها وإنهائها بمرور الوقت.
- IGA: أدوات حوكمة الهوية وإدارتها التي تتحكم في الوصول والاستحقاقات والامتثال.
- هوية غير بشرية: هوية تستخدمها البرمجيات أو الخدمات أو الوكلاء بدلا من الشخص.
- التفويض: فعل منح كيان رئيسي واحد سلطة التصرف نيابة عن آخر.
- عدم التنصل: أدلة تساعد على إثبات أي كيان رئيسي نفذ إجراء ما وتحت أي سلطة.




