نحن ندرك أن العديد من المؤسسات لا تزال في المراحل الأولى من نضج الذكاء الاصطناعي، مع التركيز على الحوكمة والضوابط الأساسية حول التقنيات الجديدة. أحد أكبر التحديات في هذه الرحلة هو دمج الأتمتة والذكاء الاصطناعي بشكل آمن في أنظمة المؤسسة الحالية. مع توسع أسطح الهجوم المعتمدة على الذكاء الاصطناعي، تصبح الهوية عنصر تحكم أساسي لتأمين الأتمتة، والأهم من ذلك، للحد من نطاق الهجوم عندما تسوء الأمور. سوف تحدث الأخطاء. الهدف من تصميم الهوية الحديثة هو ضمان احتواء التأثير وقابليته للاسترداد.

يؤدي الارتفاع السريع لوكلاء الذكاء الاصطناعي إلى دفع عناصر التحكم في الهوية بعيدًا عن تشبيه “الحارس عند الباب” ونحو التقييم المستمر المدرك للسياق في جميع أنظمتك وعملياتك. تقليديًا، بمجرد مصادقة مستخدم أو خدمة وتلقي رمز مميز، يمكن إعادة تشغيل هذا الرمز بحرية حتى انتهاء الصلاحية، أحيانًا لساعات أو أيام، دون إعادة التحقق من النظام الأساسي مما إذا كان أي شيء مهم قد تغير بشأن مكانة الموضوع. هذا النموذج لم يعد يحمل.

لا يقتصر دور الذكاء الاصطناعي على إضافة نوع مستخدم جديد إلى إدارة الهوية والوصول (IAM) فحسب، بل إنه يجبر المؤسسات على إعادة تصميم الهوية كمستوى تحكم مستمر للبشر وأعباء العمل والوكلاء على حدٍ سواء.

في نموذج التقييم المستمر، لا يزال الرمز الصالح ضروريًا ولكنه ليس كافيًا وحده. عند تقديم رمز مميز، يجب أن تؤكد السياسات المحددة مركزيًا أن الموضوع وسياقه لا يزالان يلبيان جميع المتطلبات في تلك اللحظة. يمكن أن تشمل عمليات التحقق هذه ما إذا كانت الهوية لا تزال نشطة، أو تم وضع علامة عليها على أنها عالية الخطورة، أو تغير عنوان IP أو الموقع بشكل غير متوقع، أو ما إذا كانت وضعية الجهاز قد تدهورت، أو ما إذا كانت معلومات التهديدات الجديدة تشير إلى وجود تسوية. يمكن أن يؤدي تقييم هذه الإشارات على الحافة إلى تقليل فرص إساءة استخدام الهوية بشكل كبير. وينطبق هذا النهج بالتساوي على المستخدمين من البشر، وأعباء عمل الآلات، وهذه الهويات الهجينة الناشئة التي أنشأها الذكاء الاصطناعي الوكيل الذي يعمل إما بشكل مستقل أو نيابة عن مستخدم (إنسان في الحلقة).

ولمعالجة هذه المشكلة، تحتاج المؤسسات إلى التعامل مع المستخدمين، وأعباء عمل الأجهزة، والوكلاء المعتمدين على نماذج اللغة الكبيرة (LLM) باعتبارهم هويات من الدرجة الأولى، تخضع لنموذج موحد لانعدام الثقة. وهذا يعني أقل قدر من الامتيازات بشكل افتراضي، وأوراق اعتماد قصيرة الأمد، وتفويض صريح، وإمكانية تدقيق شاملة بدلاً من السماح للوكلاء بأن يصبحوا وسيلة مريحة ولكن غير خاضعة للرقابة للتحايل على الضوابط المعمول بها.

إذًا، كيف يبدو عالم الهوية المتطور عمليًا؟

تظل الهوية المركزية هي نقطة البداية، فكر في مستأجر Entra الخاص بك. الخطوة التالية هي التحقق من الحافة والتحقق المستمر طوال مدة الجلسة أو سير العمل. ويصبح هذا مهمًا بشكل خاص لعمليات الوكلاء طويلة الأمد: إذا كان الوكيل يدير مهمة كبيرة لساعات، أو بشكل مستمر، فماذا يحدث إذا تم قفل الحساب الأساسي، أو تغير وضع المخاطر الخاص به، أو يجب تقليل أذوناته في منتصف التنفيذ؟

تفصل المفاهيم الناشئة حاليًا بين المطالبات والمصادقة والترخيص والضمان المستمر. ونحن نرى هذا النمط بالفعل في المعايير الموحدة. بالنسبة للهوية غير البشرية، فهذا يعني هويات عبء العمل الواضحة بدلاً من الأسرار الثابتة طويلة الأمد. بالنسبة للترخيص، فهذا يعني إخراج السياسة الدقيقة من التطبيقات إلى السياسة باعتبارها رمزًا، لأن التحكم الكلاسيكي في الوصول القائم على الأدوار (RBAC) وحده لا يرقى إلى نطاق البرامج الحديثة كخدمة (SaaS)، والرسوم البيانية المعقدة للموارد، والاستحقاقات الديناميكية. يتم التعامل مع الهوية ككيان حي مع “علامات حيوية” يتم مراقبتها بشكل مستمر، بدلاً من إدخال دليل يتم إعادة النظر فيه فقط خلال المراجعات الدورية.

يجعل عملاء الذكاء الاصطناعي هذا التحول أمرًا لا مفر منه. عندما يتصرف وكيل ما، تحتاج المنظمات إلى إجابات واضحة على الأسئلة الأساسية: هل تصرف الوكيل بشكل مستقل، أم أنه تلقى تعليمات من إنسان؟ إذا بدأ الإنسان الإجراء، فهل يعمل الوكيل بهوية الخدمة الخاصة به أم بأذونات مستخدم مفوضة بشكل صريح (نيابة عن)؟ ماذا يحدث عندما يمتلك الوكيل أذونات أوسع من تلك التي يمتلكها المستخدم الطالب لإكمال سير العمل، وكيف يمكنك منع ذلك من أن يصبح مسارًا مستمرًا لتصعيد الامتيازات؟

يتمثل النمط المعماري الأنظف في التعامل مع المستخدم البشري، ووقت تشغيل الوكيل، والأداة النهائية أو واجهة برمجة التطبيقات (API)، وأي رمز مميز مفوض كهويات منفصلة ولكن مرتبطة – سلسلة الهوية. عادةً ما تكون شهادة LLM نفسها أحد مكونات تلك السلسلة، وليست السلطة النهائية. يسمح هذا النموذج للمؤسسات بالتعبير عن من بدأ الإجراء، ووقت التشغيل الذي نفذه، والأذونات التي تم تفويضها، والمورد المخصص للرمز المميز، وما إذا كان من الممكن تقييم الوصول وإبطاله أثناء استمرار تشغيل أي سير عمل.

في هذا النموذج، لا يزال لدى RBAC مكان، لكنه لم يعد كافيًا بمفرده. ويعتمد الترخيص الحديث بشكل متزايد على السياق والسمات والعلاقات ومحركات السياسة الخارجية. تضمن الفروق الواضحة بين التفويض وانتحال الشخصية أن يتصرف الوكلاء بسلطة صريحة ومحددة زمنيًا بدلاً من الثقة الضمنية.

في نهاية المطاف، يقوم عملاء الذكاء الاصطناعي بدفع هذا التحول في الهوية من نقطة تفتيش لمرة واحدة إلى حلقة تحكم مستمرة. يتماشى هذا التطور بشكل وثيق مع مبادئ الثقة المعدومة ومعايير الهوية الأحدث المصممة لنشر التغييرات عبر المستخدمين وأعباء العمل والأجهزة والجلسات والتطبيقات في الوقت الفعلي تقريبًا. ستكون المؤسسات التي تتبنى هذا النموذج في وضع أفضل لتوسيع نطاق الذكاء الاصطناعي بأمان، دون التضحية بالأمان أو الامتثال أو تجربة المستخدم.

جاكوب كونيل هو مهندس الذكاء الاصطناعي والأتمتة في Quorum Cyber.