Szybkie wdrażanie agentów AI w procesach biznesowych obnaża krytyczną wadę: brak jasnego systemu zarządzania ich tożsamością i prawami dostępu. W miarę jak agenci zyskują możliwość logowania się do systemów, wydobywania danych i wykonywania działań w imieniu firm, pytanie kto jest odpowiedzialny — i jak kontrolować ten dostęp — pozostaje w dużej mierze bez odpowiedzi.
To nie jest problem teoretyczny. Eksperci, tacy jak Alex Stamos z Corridor i Nancy Wang z 1Password, ostrzegają, że programiści już popełniają niebezpieczne błędy, takie jak bezpośrednie wprowadzanie danych uwierzytelniających do żądań sztucznej inteligencji. Omija to protokoły bezpieczeństwa i tworzy ogromną lukę w zabezpieczeniach.
Problem: Agenci też mają tajemnice
Nie chodzi tylko o zapobieganie nieautoryzowanemu dostępowi; chodzi o odpowiedzialność. W przeciwieństwie do użytkowników, agenci sztucznej inteligencji nie są z natury własnością żadnej organizacji ani osoby. Działają pod władzą, która określa, co im wolno, ale śledzenie tej władzy okazuje się trudne. Jak wyjaśnia Wang, w firmach obserwuje się znany schemat: pracownicy wdrażają narzędzia takie jak asystenci kodowania AI (Claude Code, Cursor), a następnie wprowadzają je do swojej firmy, co odzwierciedla wczesne przyjęcie menedżerów haseł, takich jak 1Password.
Problem nie polega tylko na tym, że agenci mają referencje; problem polega na tym, że istniejąca infrastruktura bezpieczeństwa nie jest dla nich zaprojektowana.
Dlaczego istniejące rozwiązania nie działają
Tradycyjne modele bezpieczeństwa skupiają się na uwierzytelnieniu (weryfikacji tożsamości), ale mają trudności z autoryzacją (przyznaniem odpowiednich praw dostępu). Zapewnienie agentowi AI pełnego dostępu do systemu jest równoznaczne z daniem człowiekowi klucza do całego budynku — znacznie więcej, niż jest to konieczne do wykonania pojedynczego zadania.
Ta rozbieżność jest szczególnie niebezpieczna, ponieważ LLM są podatne na fałszywe alarmy. Wykrycie legalnego kodu przez skaner bezpieczeństwa jako złośliwe może zakłócić całą sesję programistyczną, przez co dokładność ma kluczowe znaczenie. Tradycyjne narzędzia do analizy statycznej nie są zoptymalizowane pod kątem tego poziomu dokładności.
Dalsze działania: standardy identyfikacji obciążenia pracą
Branża bada rozwiązania takie jak SPIFFE i SPIRE, standardy pierwotnie opracowane dla środowisk kontenerowych, ale ich przyjęcie jest niedoskonałe. Podstawową zasadą jest zapewnienie ograniczonych, weryfikowalnych i ograniczonych czasowo identyfikatorów. Tak jak człowiek powinien mieć dostęp tylko do niektórych obszarów budynku, tak agent AI powinien otrzymać jedynie uprawnienia do bieżącego zadania, które wygasają po ukończeniu zadania.
Firmy będą musiały śledzić, który agent działał, pod jakimi uprawnieniami i z jakimi referencjami. Wymaga to zbudowania od podstaw nowej infrastruktury, a nie przebudowy modeli bezpieczeństwa skupionych na człowieku.
Problem skali: miliardy użytkowników zmieniają wszystko
W dużej skali nawet „wyjątki” stają się realnym zagrożeniem. Stamos, opierając się na swoim doświadczeniu jako dyrektor ds. bezpieczeństwa informacji na Facebooku, zauważa, że walka z 700 000 naruszeń kont dziennie zmienia krajobraz ryzyka. Zarządzanie tożsamością zarówno ludzi, jak i agentów AI będzie „ogromnym wyzwaniem” wymagającym konsolidacji wokół zaufanych dostawców.
Ostatecznie obecny pośpiech we wdrażaniu agentów AI wyprzedza rozwój odpowiednich mechanizmów kontroli. Rozwiązaniem nie są autorskie, autorskie narzędzia (Stamos je wprost odrzuca), ale raczej otwarte standardy, takie jak rozszerzenia OIDC, które priorytetowo traktują bezpieczeństwo, nie rezygnując z użyteczności. Przyszłość sztucznej inteligencji w przedsiębiorstwach zależy od rozwiązania kryzysu tożsamości, zanim doprowadzi on do powszechnych zakłóceń i nieodwracalnych szkód.
