Быстрое внедрение ИИ-агентов в бизнес-процессы обнажает критический недостаток: отсутствие чёткой системы для управления их идентификацией и правами доступа. По мере того как эти агенты получают возможность входить в системы, извлекать данные и выполнять действия от имени компаний, вопрос о том, кто несёт ответственность — и как контролировать этот доступ — остаётся в значительной степени без ответа.
Это не теоретическая проблема. Эксперты, такие как Алекс Стамос (Corridor) и Нэнси Ван (1Password), предупреждают, что разработчики уже совершают опасные ошибки, например, напрямую вставляют учётные данные в запросы к ИИ. Это обходит протоколы безопасности и создаёт огромную уязвимость.
Проблема: У Агентов Тоже Есть Секреты
Речь идёт не только о предотвращении несанкционированного доступа; речь идёт об ответственности. В отличие от пользователей-людей, ИИ-агенты по своей сути не принадлежат ни одной организации или конкретному лицу. Они действуют под авторитетом, который определяет, что им разрешено делать, но отслеживание этого авторитета оказывается затруднительным. Как объясняет Ван, компании наблюдают знакомую закономерность: сотрудники внедряют такие инструменты, как ИИ-помощники для кодирования (Claude Code, Cursor), а затем приносят их в корпорацию, повторяя раннее внедрение менеджеров паролей, таких как 1Password.
Проблема не только в том, что у агентов есть учётные данные; проблема в том, что существующая инфраструктура безопасности не предназначена для них.
Почему Существующие Решения Не Работают
Традиционные модели безопасности фокусируются на аутентификации (проверке личности), но испытывают трудности с авторизацией (предоставлением соответствующих прав доступа). Предоставление ИИ-агенту полного доступа к системе эквивалентно передаче человеку ключа от всего здания — гораздо больше, чем необходимо для выполнения любой отдельной задачи.
Это несоответствие особенно опасно, потому что LLM склонны к ложным срабатываниям. Обнаружение легитимного кода как вредоносного сканером безопасности может сорвать всю сессию разработки, делая точность решающей. Традиционные инструменты статического анализа не оптимизированы для такого уровня точности.
Путь Вперёд: Стандарты Идентификации Рабочих Нагрузок
Отрасль изучает решения, такие как SPIFFE и SPIRE, стандарты, первоначально разработанные для контейнерных сред, но их адаптация несовершенна. Основной принцип заключается в предоставлении ограниченных, проверяемых, ограниченных по времени идентификаторов. Как человеку следует иметь доступ только к определённым помещениям в здании, так и ИИ-агенту следует предоставлять учётные данные только для текущей задачи, которые истекают по её завершении.
Компаниям придётся отслеживать, какой агент действовал, под каким авторитетом и с какими учётными данными. Это требует создания новой инфраструктуры с нуля, а не переоборудования ориентированных на человека моделей безопасности.
Проблема Масштаба: Миллиарды Пользователей Меняют Всё
В больших масштабах даже «исключения» становятся реальными угрозами. Стамос, опираясь на свой опыт в качестве директора по информационной безопасности Facebook, отмечает, что борьба с 700 000 взломов учётных записей в день меняет представление о риске. Управление идентификацией как для людей, так и для ИИ-агентов будет «огромной проблемой», требующей консолидации вокруг доверенных поставщиков.
В конечном счёте, нынешняя спешка с внедрением ИИ-агентов опережает разработку надлежащих механизмов управления. Решение состоит не в проприетарных запатентованных инструментах (Стамос отвергает их прямо), а скорее в открытых стандартах, таких как расширения OIDC, которые отдают приоритет безопасности без ущерба для удобства использования. Будущее корпоративного ИИ зависит от решения этого кризиса идентичности до того, как он приведёт к широкомасштабным нарушениям и необратимому ущербу.
