كيف تكشف وكلاء الذكاء الاصطناعي عن العيوب الأساسية في بنية إدارة الهوية والوصول التقليدية

المشكلة الأساسية: البشر ليسوا دائمًا وراء لوحة المفاتيح

تم بناء أنظمة إدارة الهوية والوصول التقليدية على فرضية واحدة — أن هناك شخصًا موجودًا فعليًا للمصادقة. يجلس إنسان على شاشة تسجيل الدخول، يدخل كلمة مرور، يتلقى إشعار دفع MFA، ويوافق عليه. لقد حدد هذا سير العمل الأمان لعقود من الزمن.

لكن وكلاء الذكاء الاصطناعي يدمرون هذه الفرضية تمامًا.

عندما يعالج وكيل مستقل طلبات API بسرعة عالية خلال ساعات غير العمل، لا يمكنه التوقف للرد على تحديات MFA. عندما يتولى وكيل مفوض مهام التقويم والبريد الإلكتروني نيابة عن مستخدم، يجب ألا يرث مجموعة الأذونات الكاملة لذلك المستخدم. لا يمكن لنظام المصادقة أن يتطلب تفاعل بشري للعمليات التي تعمل على مدار الساعة دون إشراف بشري. تصبح البنية التحتية بأكملها — شاشات تسجيل الدخول، مطالبات كلمة المرور، المصادقة متعددة العوامل التي يتحقق منها الإنسان — ديونًا معمارية في اللحظة التي تتولى فيها الوكلاء تنفيذ سير العمل.

المشكلة الحقيقية: لا يمكن لنظام إدارة الهوية والوصول التقليدي التمييز بين طلب وكيل شرعي وطلب مخترق يعمل باستخدام بيانات اعتماد صالحة. عندما لا يمتلك الممثل حق الوصول إلى عملية API عبر قنوات التفويض العادية، يكتشف النظام ذلك. ولكن عندما يتم اختطاف بيانات اعتماد الممثل أو عندما يصبح نية الوكيل خبيثة من خلال تسميم السياق، لا توجد أنظمة حماية في الأنظمة التقليدية. الفجوة بين التحقق من الهوية التقنية والثقة الفعلية تحدد التحدي الأساسي للمصادقة الوكيلية.

نموذجان مختلفان تمامًا للوكيل، ومتطلبات هوية مختلفة

وكلاء مفوضون من قبل الإنسان: مشكلة النطاق وأقل الامتيازات

يعمل الوكيل المفوض من قبل الإنسان بموجب سلطة مفوضة — أنت تفوض مساعد الذكاء الاصطناعي لإدارة تقويمك. لكن الجزء الخطير هو: معظم الأنظمة الحالية إما تمنح الوكيل مجموعة الأذونات الكاملة الخاصة بك أو تطلب منك تحديد القيود يدويًا. لا يعمل أي من النهجين.

لا يحتاج الوكيل إلى وراثة هويتك بالكامل. يحتاج إلى أذونات محددة بدقة. أنت تفهم بشكل بديهي أن خدمة دفع الفواتير لا ينبغي أن تحول الأموال إلى حسابات عشوائية. أنت تمنع بشكل غريزي تفسير التعليمات المالية بشكل خاطئ. أنظمة الذكاء الاصطناعي تفتقر إلى القدرة على التفكير السياقي، ولهذا السبب لا يكون الوصول بأقل الامتيازات خيارًا — بل ضرورة.

كيف يعمل ذلك تقنيًا:

يطبق النظام التحقق المزدوج من الهوية. يعمل الوكيل تحت هويتين في آن واحد:

• هويتك (الإنسان المفوض) مع جميع الأذونات
• هوية الوكيل المقيدة مع حدود نطاق واضحة

عندما تفوض التفويض، يحدث تبادل رمز. بدلاً من أن يتلقى الوكيل بيانات اعتمادك، يتلقى رمزًا محدود النطاق يحتوي على:

• agent_id: المعرف الفريد لهذه الحالة المحددة للوكيل
• delegated_by: معرف المستخدم الخاص بك
• scope: حدود الأذونات (مثل “الخدمات المصرفية: دفع الفواتير” ولكن بدون “الخدمات المصرفية: تحويل”)
• constraints: قيود السياسة مثل قوائم المستفيدين المعتمدين، حدود مبلغ المعاملة، والطوابع الزمنية لانتهاء الصلاحية

إليك كيف يبدو تدفق العمل: