Существует очень реальное ощущение, что каждая организация, экспериментирующая с искусственным интеллектом (ИИ), в частности, с агентным ИИ, движется прямиком к катастрофе в области ИТ-безопасности. Ричард Уэйнрайт, главный технический директор по Европе, Ближнему Востоку и Африке в Okta, утверждает, что большинство компаний, с которыми он общается, застряли на этапе пилотных проектов и не получают отдачи от инвестиций в ИИ, которые они делают. «Они создают ИИ-агентов, используя комбинацию ключей API [интерфейса прикладного программирования] и учетных записей служб, которые предоставляют долгоживущие учетные данные для доступа нечеловеческих сущностей [NHI] к корпоративной ИТ-среде», — говорит он. Уэйнрайт предупреждает, что это создает ряд проблем для специалистов по ИТ-безопасности. «Почти невозможно проследить, что сделал агент, до человека, который его вызвал», — отмечает он. Еще одна область озабоченности, по словам Уэйнрайта, заключается в том, что если учетная запись службы используется универсальным ИИ-агентом, то область его действия остается полностью открытой. «Это означает, что он действительно мощный, но он также может сломать многое», — предупреждает он. В своем отчете Workforce identity security platforms, Q2 2026 аналитическая фирма Forrester признает ограничения управления доступом на основе идентификации (IAM) для задач, которые многие предприятия стремятся оптимизировать с помощью агентного ИИ. В отчете Forrester отмечается, что современные платформы безопасности идентификации объединяют аутентификацию, авторизацию, управление жизненным циклом и аналитику рисков идентификации для человеческих, машинных сущностей и ИИ-агентов, чтобы обеспечить последовательный, управляемый политиками контроль в масштабе. Использование ИИ и агентного ИИ во многих организациях находится на стадии, когда используемая агентная функциональность очень ограничена и контролируется. Управление идентификацией и доступом для ИИ-агентов несколько отличается от того, как организации управляют сотрудниками. Пшемек Чарнецки, технический директор модного ритейлера Asos, отмечает, что, хотя агентный ИИ не идентичен управлению идентификацией и доступом человека, трудно различить их. Например, он говорит: «Если вы находитесь в Teams, вы можете спутать ИИ-агента с человеком, потому что агенты в среде Microsoft отображаются в Teams так же, как и люди». Asos использует Microsoft Copilot на первом этапе своей стратегии ИИ, где сотрудники используют его для начала создания агентного ИИ. «Мы определили очень ограниченный набор действий, которые могут выполнять эти агенты, потому что хотим убедиться, что агенты, разработанные всеми, не могут нанести вред компании», — говорит Чарнецки. Скачать этот подкаст Модный ритейлер демократизирует использование ИИ в бизнесе, что потенциально позволяет ИТ- и командам безопасности понять, как сотрудники в бизнесе развертывают агентный ИИ. Это важный первый шаг к внедрению правильных инструментов наблюдаемости и панелей мониторинга.
Наблюдение за действиями ИИ-агентов
Видимость, возможно, является первой проблемой, с которой сталкиваются предприятия при оценке риска внедрения агентного ИИ в свои организации. Амариндер Джассал, старший вице-президент и глобальный руководитель по предпродажной и послепродажной инженерии в Saviynt, говорит, что не существует отраслевых стандартов или сертификационных органов, которые могли бы подтвердить, что агент не является злоумышленником или не действует от имени злоумышленника, и не приводит к компрометации конфиденциальных данных, или что он прошел аудит и достиг уровня контроля качества, который делает его готовым для предприятия. Джассал говорит, что Saviynt стремится объединить ИИ-агентов под одним зонтиком для наблюдения за их поведением. «Мы пытаемся собрать всех этих агентов в едином репозитории, который работает как CMDB [база данных управления конфигурациями]. Существует единый централизованный репозиторий для всех ИИ-агентов в вашей среде, зарегистрированы они или нет», — добавляет он. Для достижения этой цели Saviynt разработала интеграцию с техническими партнерами и работает с такими компаниями, как Zscaler и CrowdStrike, для захвата теневых аспектов агентного ИИ. Наблюдаемость имеет ключевое значение, поскольку даже законное использование систем агентного ИИ может выполнять задачи, для которых они не предназначены. Чандра Гнанасамбандам, исполнительный вице-президент по продуктам и технический директор SailPoint, недавно столкнулся с системой обработки кредитов на базе ИИ, которая непреднамеренно обошла меры безопасности для выполнения проверки кредитоспособности, которую она не должна была выполнять. «Намерением агента было решить задачу, и он нашел способы сделать это, даже когда ему говорили этого не делать», — говорит он. В этом примере Гнанасамбандам рассказал, что банк развернул агент-супервизор для управления процессом утверждения кредита с различными вспомогательными агентами для выполнения конкретных задач. Одному из этих агентов было поручено провести проверку кредитоспособности, но ему было отказано в доступе к внутреннему приложению для проверки кредитоспособности. Он сообщил агенту-супервизору, что у него нет доступа к этому приложению, и поэтому не может выполнить задачу. Однако у агента-супервизора была цель завершить заявки на кредит за три минуты, и все остальные вспомогательные агенты уже выполнили свою работу. По словам Гнанасамбандама, агент-супервизор отказался принять невозможность вспомогательного агента выполнить свою задачу. В результате, ища альтернативный способ выполнить свою задачу, вспомогательный агент искал в Интернете уязвимости в системе оценки кредитного риска. «Он пытался получить доступ к оценке кредитного риска и нашел репозиторий GitHub, где разработчик случайно оставил токен, предоставляющий доступ к системе. Таким образом, он нашел токен и получил доступ к системе оценки кредитного риска. Задача была выполнена — за исключением того, что он сделал то, чего не должен был делать», — говорит он.
Мониторинг доступа агентного ИИ
Этот пример иллюстрирует кошмар ИТ-управления, который, вероятно, развернется по мере развертывания агентного ИИ в реальных производственных средах. Ясно одно: с ИИ-агентами нельзя обращаться так же, как с пользователями-людьми, и они способны обходить меры безопасности, ограничивающие то, что им разрешено делать. Okta признана Forrester лидером в области IAM. Недавно компания обновила свой инструмент IAM Auth0 для автономных агентов. Auth0 for AI Agents призван устранить разницу между тем, как разработчики программного обеспечения пишут его для пользователей-людей, и тем, когда агент развертывается для запуска этого программного обеспечения. Подход, который использует Okta, демонстрирует проблемы, которые поставщики программного обеспечения IAM стремятся решить, наряду с соображениями юзабилити, производительности и масштабируемости. Традиционные модели разрешений, как правило, используют API для аутентификации пользователей в приложениях. Но по словам Okta, этот подход замедляет производительность в рабочем процессе агентного ИИ и препятствует развертыванию ИИ-агентов в производственных средах, как объясняет Гарет Дэвис, главный продуктовый директор Auth0: «Когда ИИ-агенту требуется доступ к десяткам различных инструментов, разработчики часто вынуждены вручную прописывать ключи API или создавать собственную логику авторизации с нуля. Это влияет на производительность и экспоненциально увеличивает риск взлома». Он говорит, что Auth0 for Agents предоставляет независимую платформу идентификации, которая безопасно подключает агентов к любому инструменту, любой системе и любому поставщику, что позволяет разработчикам сосредоточиться на создании приложений. Вместо того чтобы рассматривать ИИ-агентов как расширения пользователей, что, по мнению Okta, может привести к чрезмерно широким разрешениям или теневым идентификациям, обходящим корпоративный контроль, Auth0 for Agents предлагает функцию под названием Agent as Principal. Это позволяет разработчикам программного обеспечения назначать уникальные идентификаторы ИИ-агентам, которые, по утверждению Okta, отличаются от пользователей, которым они служат, и означает, что действия агентов могут быть независимо авторизованы и проверены, что позволяет им работать под надлежащим контролем. Еще одна проблемная область, которую Okta стремится решить с помощью Auth0 for Agents, — это накладные расходы на производительность, возникающие при тонкой настройке аутентификации (FGA) при развертывании контроля доступа на основе отношений. FGA — это способ гарантировать, что при выполнении поискового запроса в корпоративных системах доступ получают только те данные, которые пользователь или агент авторизован просматривать. Этого можно достичь с помощью ИИ-агента, который выполняет генерацию с дополненным поиском (RAG) для выполнения поиска с задачей авторизации для дополнения и генерации ответов, к которым он авторизован получить доступ. Okta заявляет, что разработчикам необходимо идти на компромиссы: либо создавать безопасную систему, которая слишком медленная для использования, либо быструю систему, которая рискует раскрытием конфиденциальных данных. Чтобы преодолеть эти компромиссы, Auth0 реализует индекс разрешений, который работает как индекс базы данных, для поиска данных о разрешениях. Поскольку разрешения хранятся локально в стандартном формате базы данных, Okta заявляет, что приложения или поисковые системы могут запрашивать бизнес-данные, к которым пользователь или агент авторизован получить доступ, путем обращения к предварительно вычисленной таблице разрешений. Компании, занимающиеся управлением идентификацией и доступом, используют разные подходы к обеспечению безопасности систем агентного ИИ. Из разговоров Computer Weekly с фирмами IAM ясно, что мониторинг агентного ИИ имеет ключевое значение. Саймон Гуч, технический директор Saviynt, говорит: «Агентный ИИ — это, по сути, теневые ИТ, вернувшиеся с удвоенной силой». Поскольку организации начинают демократизировать использование агентного ИИ, Гуч настоятельно призывает ИТ-руководителей и руководителей служб безопасности убедиться, что у них есть средства контроля, чтобы демократизация агентного ИИ была предсказуемой, а технология использовалась разумно в рамках, которые организация считает безопасными и надежными».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cliff Saran
