نحن نعيش لحظة رائدة حقا في مجال التكنولوجيا. يحمل كل أسبوع اكتشافات جديدة في مجال عملاء الذكاء الاصطناعي – فالقدرات التي بدت مستحيلة قبل بضعة أشهر فقط أصبحت الآن حقيقة واقعة. وتسارع المنظمات إلى اعتمادها، وهم على حق في ذلك.
لكن هناك اعتبارات أمنية مهمة تكمن خلف هذا الحماس. وفقا لأبحاثنا، في اوكتا، 91% من المنظمات تتبنى الآن وكلاء الذكاء الاصطناعيومع ذلك فإن 10% فقط منها لديها استراتيجيات حوكمة قائمة. وسيتطلب سد هذه الفجوة التركيز والجهد المتعمدين.
يعود السبب إلى شيء أكثر جوهرية مما يدركه معظم الناس. نحن نتحول من نموذج معماري واحد إلى شيء مختلف جذريًا ولم نستوعب بشكل كامل ما يعنيه ذلك بالنسبة للأمن.
عندما تتوقف التطبيقات عن اتباع البرنامج النصي
على مدار عقود من الزمن، قمنا ببناء تطبيقات تعمل ضمن حدود يمكن التنبؤ بها. فكر في تطبيق حجز السفر. يمكنك التنقل بين الشاشات المحددة وتنفيذ المعاملة. ما هو ممكن هو محدود. يعمل الأمان لأن المستخدمين يتحركون عبر ممرات محمية بعمق داخل منطق التطبيق.
لكن عملاء الذكاء الاصطناعي يعملون بشكل مختلف. إنهم محادثة. إنهم يقبلون مدخلات اللغة الطبيعية من أي مكان ويتخذون قرارات مستقلة لا يمكننا التنبؤ بها تمامًا. لم تعد نقطة الوصول مدفونة في رمز التطبيق بعد الآن. إنه موجود في الواجهة الأمامية، في المحادثة نفسها.
يعد هذا تحولًا معماريًا، ويعني أن الضوابط الأمنية التي اعتمدنا عليها يتم الآن اختبارها بطرق بدأنا للتو في فهمها.
الأمن على خط المواجهة
يكشف هذا التحول عن واجهات برمجة التطبيقات الداخلية وأسطح البيانات بطرق لم تفعلها التطبيقات التقليدية من قبل. عندما تقوم بتسوية تطبيق حتمي، عادة ما يتم احتواء الضرر. ولكن عندما تقوم باختراق وكيل الذكاء الاصطناعي، فإنك تنظر إلى إمكانية الوصول عبر البنية التحتية بأكملها والإجراءات التي تموج بطرق غير متوقعة.
ما كان افتراضيًا يحدث الآن، ويتضاعف التعقيد عندما يعمل الوكلاء معًا. نحن ننتقل من مجرد الوكلاء الفرديين إلى الاتصالات بين الوكلاء. يقدم ذلك تحديات تتعلق بالإذن والهوية لم يكن علينا أن نفكر فيها من قبل.
إعادة التفكير في الهوية في عالم يعتمد على الذكاء الاصطناعي
80% من المخالفات تتضمن اليوم هوية أو بيانات اعتماد معرضة للخطر، والتي تظل بمثابة سطح هجوم رئيسي للجهات الفاعلة في مجال التهديد. لكن حل هذه المشكلة في عالم يحركه الوكلاء يتطلب التفكير في الهوية بشكل مختلف.
بالنسبة للمطورين والمؤسسات التي تقوم بنشر الوكلاء، أصبحت أربعة متطلبات للهوية غير قابلة للتفاوض:
- أولاً، وكيل حقيقي ومصادقة المستخدم. يجب عليك ربط إجراءات كل وكيل بشكل آمن بالمستخدم البشري الذي سمح لهم بذلك.
- ثانية، وصول موحد وآمن لواجهة برمجة التطبيقات (API). يتصل الوكلاء بالعشرات من التطبيقات. تحتاج هذه الاتصالات إلى تقوية ضد تسرب الرمز المميز وتسوية بيانات الاعتماد.
- ثالث، التحقق البشري في الحلقة من أي شيء شديد الخطورة أو حساس. لا يتعلق الأمر بعدم الإيمان بالذكاء الاصطناعي؛ يتعلق الأمر بالحفاظ على الفاعلية البشرية أثناء نضوج هذه الأنظمة.
- الرابع، أذونات دقيقة. يجب على الوكيل الوصول فقط إلى البيانات التي يحتاجها، فقط في الوقت الذي يحتاج إليها، مع تسجيل كل إجراء وقابل للتدقيق.
التعلم من أخطاء الماضي
لقد شاهدت هذا النمط من قبل مع السحابة وواجهات برمجة التطبيقات والخدمات الصغيرة. غالبًا ما تأتي الاعتبارات الأمنية لاحقًا في تطوير النماذج المعمارية الجديدة، وليس مبكرًا.
نحن نراها مرة أخرى مع بروتوكولات الوكيل. MCP، أطر وكيل إلى وكيل، وتتطور معايير الوصول عبر التطبيقات بسرعة مع بذل جهد حقيقي لتضمين الأمان منذ البداية. لكن الأمان لا يزال يبدو وكأنه يلحق بالركب وليس التصميم الرائد.
الواقع العملي هو أنه لا يمكنك انتظار المعايير المثالية. أنت بحاجة إلى تنفيذ الحوكمة باستخدام الأطر المتاحة اليوم، مع الحفاظ على المرونة للتكيف مع نضوج المعايير.
ما يجب على القادة فعله الآن
يواجه قادة الأعمال ضغوطًا حقيقية لإطلاق العنان لإمكانات الذكاء الاصطناعي والمخاوف الحقيقية بشأن الأمن. هذه ليست حصرية بشكل متبادل. إليك ما يجب أن يحدث.
- رؤية كاملة لكل وكيل يعمل في بيئتك وما يفعله. لا يوجد وكلاء الظل. لا أذونات مخفية.
- قم بتطبيق إستراتيجيات الهوية والأذونات بنفس الدقة التي تستخدمها مع المستخدمين البشريين.
- تأكد من اتصال الوكلاء من خلال قنوات آمنة وقابلة للتدقيق. سواءً كان بناء وكلاء العملاء أو استخدام خوادم MCP، تنطبق نفس المبادئ.
- وأخيرا، سجل كل شيء. سيعمل نشاط الوكيل على نطاق قد يفاجئك، ولكن إذا تم التقاط كل إجراء، فسوف تستوفي المتطلبات التنظيمية وتحقق في الحوادث بسرعة.
كن استباقيًا، وليس رد الفعل
تحدث الخروقات المرتبطة بالعملاء الآن وستستمر في الحدوث. وهذا ليس سببًا لإبطاء اعتماد الذكاء الاصطناعي، بل هو سبب ليكون جادًا بشأن الأمن منذ البداية.
والجزء المشجع هو أن المبادئ الأساسية التي اعتمدنا عليها – حوكمة الهوية، والوصول الأقل امتيازًا، والتشفير، والتدقيق الشامل – لا تزال تعمل. في الواقع، هم أكثر أهمية من أي وقت مضى. نحن فقط بحاجة إلى توسيع نطاقها بذكاء لهذا العالم غير الحتمي.
التكنولوجيا موجودة والأطر آخذة في الظهور. ما يهم الآن هو ما إذا كنا نتعامل مع هذا الأمر بشكل مدروس أو نقضي العامين المقبلين في إدارة الحوادث التي يمكن الوقاية منها.
أراهن أننا أذكى من ذلك.
شيف رامجي، هو رئيس Auth0 في Okta
