Идентичность агентного ИИ: 6-этапная модель зрелости для нечеловеческих сущностей

ии-агенты Iam кибербезопасность Nhi управление доступом csoonline.com

В ходе проекта агент на базе LLM с доступом к кластеру Kubernetes вызвал четырехчасовой простой из-за некорректной конфигурации. Агент имел долгоживущий API-ключ без MFA. Эксперт предлагает модель зрелости для нечеловеческих идентификаторов (NHI) и призывает раздельно отчитываться об управлении идентификаторами людей и агентов.

В ходе одного из проектов в прошлом году развертывание на основе LLM, имевшее постоянный доступ к производственному кластеру Kubernetes, вызвало четырехчасовой простой из-за некорректной отправки конфигурации. В IAM этот агент отображался как учетная запись службы с долгоживущим API-ключом, без MFA и без пути отзыва с ограниченной областью действия. Когда команда по обзору инцидентов спросила, какой человек авторизовал последнее действие агента, никто в комнате не смог ответить. Я наблюдал, как на версию этого вопроса не давали ответа в трех проектах за последний год, в трех разных секторах, с тремя разными наборами вендорских решений.

На каждой презентации CISO сейчас есть слайд об агентном ИИ. Гораздо меньше слайдов посвящено тому, кем на самом деле являются эти агенты с точки зрения идентификации. Этот пробел более опасен. Первый слайд — это вопрос стратегии. Второй — вопрос контроля, и именно его в конечном итоге зададут ваши аудиторы, ваши специалисты по реагированию на инциденты и ваш совет директоров. В документе «Основные тенденции в области кибербезопасности Gartner на 2026 год», опубликованном директором-аналитиком Алексом Майклсом, обе части этого пробела — надзор за агентным ИИ (Тренд 1) и адаптация IAM к ИИ-агентам (Тренд 4) — названы силами, которые в этом году переопределяют киберриски.

В этой статье представлена шестиступенчатая модель зрелости для нечеловеческих и агентных идентификаторов (NHI), шесть минимальных требований, которые должны быть выполнены до того, как любое производственное развертывание станет защищенным, и самое важное решение в области отчетности в сфере доступа и идентификации: отказ от среднего арифметического при управлении идентификаторами людей и нелюдей.

Почему агентные системы ломают существующую модель идентификации

Обычная учетная запись службы выполняет узкую, предсказуемую задачу: она извлекает резервную копию, запускает запланированный отчет, подписывает артефакт сборки. Ее область действия фиксируется на этапе проектирования. Меры контроля вокруг нее — ротация, хранение в хранилище, аудит — хорошо изучены.

Агентная система работает иначе. Она получает намерение, декомпозирует его на шаги, вызывает те инструменты или API, которые считает уместными, и выдает результат, который не был заранее определен пошагово. В отчете KuppingerCole «Leadership Compass on Non-Human Identity Management» за 2026 год отмечается, что NHI теперь превосходят по численности пользователей-людей во многих корпоративных средах, в некоторых случаях в 25–50 раз. Тот же компас, автором которого является ведущий аналитик Мартин Куппингер, отмечает, что инструменты, созданные вокруг жизненных циклов присоединения-перемещения-увольнения (joiner-mover-leaver), никогда не предназначались для обнаружения, атрибуции или управления этими идентификаторами в таком масштабе.

Проект OWASP GenAI Security Project каталогизировал результирующую поверхность атаки в двух итерациях — таксономия угроз и смягчение последствий для агентного ИИ (Agentic AI Threats & Mitigations) в феврале 2025 года и более операционная OWASP Top 10 для агентных приложений позже в том же году, категории ASI01–ASI10. Примечательным выводом является то, что три из четырех наиболее высокооцененных рисков связаны с вопросами идентификации: неправомерное использование и эксплуатация инструментов (ASI02), злоупотребление идентификацией и привилегиями, включая делегированное и унаследованное доверие (ASI03), и недобросовестные агенты, действующие вне своего предполагаемого поведения (ASI10). Четвертый риск, уязвимости в цепочке поставок агентных систем (ASI04), смежен с вопросами идентификации.

Первое совместное предупреждение «Пяти глаз» по этой теме от CISA — «Осторожное внедрение услуг агентного ИИ», опубликованное 1 мая 2026 года совместно с АНБ, Австралийским управлением оборонных сигналов (ACSC), Канадским центром кибербезопасности, NCSC-NZ и NCSC-UK — сходится на том же выводе. Риск привилегий назван основополагающей проблемой. Центр интернет-безопасности последовал собственным отчетом о внедрении промптов как о главном усугубляющем риске в апреле 2026 года, а Инициатива NIST по стандартам ИИ-агентов, запущенная в феврале 2026 года, в настоящее время разрабатывает официальные стандарты, которые будут дополнять это руководство.

Иными словами, доминирующий класс рисков, вносимый агентным ИИ, — это не новая криптография или какой-либо новый примитив эксплойта. Это неограниченная область действия идентификатора, которой существующая модель IAM никогда не предназначалась управлять.

Шесть минимальных требований до вывода любого агента в производство

Прежде чем обсуждение зрелости станет полезным, существует нижний предел. Следующие шесть требований обозначают черту, ниже которой агентная система не может быть ответственно развернута в корпоративной среде. Они получены на основе инцидентов и результатов аудита, которые я собрал в ходе проектов в фармацевтике, энергетике, финансах и производстве, и они технически осуществимы на современных платформах IAM и PAM, хотя редко на тех стеках IAM, которые фактически используются в большинстве предприятий сегодня.

  • Каждый агент получает уникально атрибутируемый нечеловеческий идентификатор. Общие учетные записи служб для нескольких агентов или общие между агентом и человеком-администратором недопустимы.
  • Разрешения предоставляются по модели «от имени» (on-behalf-of). Агент действует на основании полномочий именованного человека-субъекта, наследуя разрешения этого субъекта, ограниченные определенной целью. Он никогда не действует на основании собственных постоянных полномочий.
  • Никаких долгоживущих учетных данных. Никаких API-ключей со сроком действия более одного часа. Никаких внедренных секретов в коде. Только краткосрочные, контекстно-связанные учетные данные, которые могут быть отозваны при аномалии.
  • Полный аудиторский след через интеграцию с SIEM. Каждое действие агента регистрируется с указанием временной метки, исполняющего идентификатора, инструктирующего человека-субъекта, входного контекста и результата.
  • Непрерывная повторная аутентификация. Для долго работающих агентов идентификация перепроверяется на основе риска через регулярные интервалы, а не только в начале сеанса.
  • Отзыв в реальном времени. Возможность отключить агента от систем в течение нескольких секунд не является опцией. Это единственный контроль, который действительно сдерживает инцидент, связанный с агентом, в процессе его развития.

Организация, которая не может выполнить все шесть требований, имеет не проблему управления агентами. У нее проблема готовности к развертыванию. Модель ниже предполагает, что эти требования выполнены к Этапу 3; все, что раньше, — это фаза обнаружения.

Шестиступенчатая модель зрелости NHI

Большинство шкал зрелости предприятий измеряют аспект доступа и идентификации по отношению к эталону человеческой идентификации: существует ли централизованный IAM, принудительно ли используется MFA для привилегированного доступа, работает ли жизненный цикл присоединения-перемещения-увольнения? Это по-прежнему правильные вопросы, но они неполные. Организация, которая имеет 4-й этап зрелости в управлении идентификаторами людей и 1-й этап в управлении агентами, не имеет зрелой практики идентификации. У нее есть хорошо освещенная половина и слепая половина.

Следующая шестиступенчатая шкала является накопительной — каждый этап предполагает выполнение всего, что находится ниже него. Порог ответственности находится на Этапе 3. По моему мнению, производственное развертывание агентных систем ниже Этапа 3 не может быть обосновано перед советом директоров, регулятором или группой по обзору инцидентов.

Этапы 4 и 5 заслуживают отдельного рассмотрения, поскольку именно здесь модель отходит от контроля доступа и начинает управлять поведением. Ограниченность (Bounded) означает, что мандат агента имеет явные пределы, за которые он не может выйти. Проверяемость (Reviewable) означает, что каждое действие регистрируется с указанием намерения, выполнения и результата. Обратимость (Reversible) означает, что действие может быть отменено до того, как оно приведет к необратимому эффекту — это жесткое ограничение в любой среде, где действия затрагивают физические процессы, финансовые транзакции или внешние обязательства. Саморегулирование (Self-regulating) означает, что система обнаруживает аномалии в поведении агента и вмешивается до того, как человек сможет это сделать разумно.

«Человек в цикле» не является автоматическим управлением

Одно заблуждение постоянно переоценивает управление агентами в организациях. Наличие человека в цикле принятия решений широко рассматривается как достаточный надзор. Это не так. Если человеку приходится одобрять сотни или тысячи действий агента без времени на проверку каждого из них, то это не контроль, а автоматизация утверждения с человеческой подписью. Человеческий обзор не масштабируется до объема действий автономной системы.

Зрелая позиция управления признает это. Она переносит контроль от утверждения каждого действия к структурному ограничению: ограничить то, что агент может делать в принципе, отслеживать его поведение на предмет аномалий и гарантировать, что надзор лоялен субъекту, а не исполняющей системе. Организация, которая полагает управление своими агентами исключительно на утверждения человека по каждому действию, не достигает Этапа 4 модели, независимо от того, насколько тщательно задокументированы эти утверждения. Этап 4 требует структурного ограничения, а не масштабирования ручного труда.

OWASP как база доказательств, готовая к аудиту

Оценка зрелости рискует скатиться к субъективной самооценке. Упомянутые выше категории OWASP могут быть операционализированы в вопросы аудита, которые привязывают каждый этап к проверяемым доказательствам:

Колонка справа имеет значение. Распространенная ошибка при выставлении оценок — завышать оценку организации, потому что она справилась с легкими требованиями — уникальные идентификаторы, базовое логирование — не решив при этом сложных. Привязка верхних этапов к сложным критериям предотвращает такую инфляцию.

Отчитывайтесь об идентификаторах людей и нелюдей отдельно

Самое важное решение в отчетности — отказаться от среднего арифметического. Измерение доступа и идентификации на радаре зрелости не должно сводить практику управления идентификаторами людей 4-го этапа и практику управления идентификаторами агентов 1-го этапа к успокаивающему среднему числу. Обе оценки должны находиться на одной оси, но их следует отчитывать раздельно.

Типичный вывод из текущих проектов: управление идентификаторами людей на Этапе 4 — централизованный IAM, MFA, управляемый жизненный цикл — и управление агентами на Этапе 1, когда агенты недавно инвентаризированы, но все еще проходят аутентификацию с помощью долгоживущих API-ключей против общих учетных записей служб, без собственного аудиторского следа. Совокупное среднее значение будет оценено как Этап 2–3 и будет выглядеть приемлемым. Раздельная отчетность показывает, что неуправляемая половина — это именно тот класс идентификаторов с самым большим и наименее предсказуемым объемом действий. Эта видимость инициирует приоритетные действия по дорожной карте; агрегированная оценка скрывает это.

Тест на именованного ответственного владельца

Если я провожу только одну диагностику в новом проекте, то это она. Для каждой производственной агентной системы в среде задайте вопрос: кто по имени несет ответственность, если этот агент причинит вред? Агент без именованного ответственного владельца — это нечеловеческий аналог рабочей станции, которую используют все, но за которую никто не несет ответственности. Этап 5 модели формально требует именованного ответственного владельца для каждого развернутого агента. Причина операционная, а не бюрократическая: вопрос «кто несет ответственность за эту систему?» должен быть отвечен до инцидента, а не во время него.

На практике эта ответственность лучше всего привязывается к роли, которая уже несет операционный риск затронутого процесса — как правило, к владельцу актива в бизнес-функции. Привязка ее к этой роли не позволяет агентным системам дрейфовать в организационную серую зону между ИТ, безопасностью и бизнесом, откуда именно и возникают неатрибутированные действия.

Модель зрелости в этой статье — это отправная структура. Честный первый шаг в ее принятии — не получить хорошую оценку. А честно оценить, отчитываться об управлении идентификаторами людей и нелюдей раздельно и рассматривать разрыв между ними как первый пункт в дорожной карте безопасности для периода агентного ИИ — до того, как следующий агент выйдет в производство.

Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: