أشباح في الآلة: الأزمة الخفية لهويات أعباء عمل الذكاء الاصطناعي

العنوان الفرعي: مع تكاثر وكلاء الذكاء الاصطناعي خلف الكواليس، تواجه المؤسسات أزمة هوية متصاعدة قد تفتح الباب أمام مخاطر أمنية جديدة.

العالم السفلي الرقمي يعجّ بعمّال غير مرئيين. فَوكلاء الذكاء الاصطناعي والخدمات المؤتمتة باتوا ينجزون كثيرًا من الأعمال الشاقة التي كانت حكرًا على الموظفين من لحم ودم - من معالجة المعاملات وتحليل البيانات، إلى اتخاذ قرارات في أجزاء من الثانية. لكن مع انتشار هذه الهويات غير البشرية (NHIs)، تتسع أيضًا الشقوق في أسس أمننا. وفي هذا المشهد المعتم، قد يتحول اعتماد واحد مُهمَل إلى مفتاح هيكلي لاختراق كارثي.

حقائق سريعة

الهويات غير البشرية، مثل وكلاء الذكاء الاصطناعي، باتت تفوق عدد المستخدمين البشر في كثير من المؤسسات الكبيرة.
لا تزال شركات كثيرة تعتمد أساليب غير آمنة - مثل عناوين IP الثابتة والمفاتيح التي لا تُدوَّر - لمصادقة أعباء العمل.
يدعو قادة الصناعة إلى اعتماد بيانات اعتماد ديناميكية قصيرة العمر ومعايير مفتوحة لتأمين المستقبل المدفوع بالذكاء الاصطناعي.
مصادقة أعباء العمل موضوعٌ بارز في مؤتمرات الأمن السيبراني القادمة، ما يشير إلى تزايد إلحاحه.
يحذّر الخبراء من أن التهاون في إدارة هوية أعباء العمل قد يفضي إلى مخاطر تقنية ومالية جسيمة.

في الأيام الأولى، لم تكن مصادقة خدمة تتطلب أكثر من الثقة بعنوان IP أو كلمة مرور مضمّنة في الشيفرة. لكن مع تبنّي المؤسسات للذكاء الاصطناعي وبنى السحابة الأصلية، انفجر عدد أعباء العمل - وهي المهام الخلفية التي تنفذها التطبيقات والخدمات. وكل واحد منها يحتاج إلى هوية، وكل هوية يجب إدارتها وتأمينها والتحقق منها. ووفقًا لياروسلاف روسوماخو، كبير العلماء في Zscaler، «كان العالم أبسط» قبل أن يبدأ وكلاء الذكاء الاصطناعي بمحاكاة اتخاذ القرار البشري والعمل عبر بيئات هجينة مترامية.

المشكلة؟ كثير من الشركات لم تواكب. يقول روسوماخو لـ Netcrook: «هناك ممارسات غير آمنة واسعة الانتشار عندما يتعلق الأمر بهوية أعباء العمل». فما تزال بيانات الاعتماد الثابتة - التي لا تُدوَّر أبدًا ويسهل انتحالها - شائعة على نحو صادم. وبعض المؤسسات لا تزال تربط عمليات حرجة بترويسات أو مفاتيح ثابتة، تاركة الباب مفتوحًا على مصراعيه للمهاجمين. ومع كل وكيل ذكاء اصطناعي جديد يتم تشغيله، تتسع مساحة الهجوم، وتتضاعف عواقب أي زلة.

ويرى سام كَري، مدير أمن المعلومات (CISO) في Zscaler، أن الحل يبدأ بجردٍ واضح: «ينبغي على المؤسسات البحث عن الأسرار، وجرد وكلاء الذكاء الاصطناعي وخدماتها، والعمل باتجاه انعدام الثقة (zero-trust)». وهذا يعني التخلي عن بيانات الاعتماد الثابتة لصالح هويات ديناميكية قصيرة العمر تنتهي سريعًا ولا يمكن للمهاجمين إعادة استخدامها. وتضع المعايير المفتوحة مثل SPIFFE ومبادرات مثل مجموعة عمل WIMSE التابعة لـ IETF الأساس لمصادقة أعباء عمل قابلة للتوسع وعابرة للمنصات. فـ Kubernetes، على سبيل المثال، يمكنه إسناد حسابات خدمة ديناميكية لأعباء العمل، ما يجعل الهوية قابلة للنقل ومؤقتة في آن واحد.

لكن تبنّي هذه النماذج الجديدة لا يتعلق بالترقيات التقنية فحسب - بل بتغيير العقليات. ففي عالم قد تحدث فيه أكثر الاتصالات الرقمية قيمة قريبًا بالكامل دون أي تدخل بشري، تصبح المخاطر أعلى من أي وقت مضى. إذ يجب الآن ضمان السرية والسلامة والتوافر لتفاعلات آلة-إلى-آلة. الطرق القديمة لن تفي بالغرض. وكما يقول كَري: «قد يكون هذا أحد أهم الموضوعات لأهل عالم الأمن السيبراني أو عالم تقنية المعلومات ليقولوا: حسنًا، ما استراتيجيتنا هنا؟»

أزمة هوية أعباء عمل الذكاء الاصطناعي هي جبهة الأمن الجديدة - جبهة يضع فيها وكلاء غير مرئيين القواعد، ويكون ثمن الجهل باهظًا. المؤسسات التي تتكيف بسرعة وتتبنى استراتيجيات هوية متينة وقابلة للتوسع ستكون الأقدر على النجاة من العاصفة القادمة. أما البقية فقد تجد نفسها مطاردة بأشباح من صنعها.

WIKICROOK

Non: الهوية غير البشرية هي بيانات اعتماد رقمية تستخدمها البرمجيات أو الآلات، لا الأشخاص، للوصول الآمن إلى الأنظمة والبيانات.
Mutual TLS (mTLS): يقوم Mutual TLS (mTLS) بتشفير البيانات بين حاسوبين ويُلزم الطرفين بالتحقق من بعضهما، ما يجعل الوصول غير المصرح به أصعب بكثير.
Static credentials: بيانات الاعتماد الثابتة هي تفاصيل مصادقة، مثل كلمات المرور أو المفاتيح، لا تتغير كثيرًا وغالبًا ما يُعاد استخدامها، ما يزيد المخاطر الأمنية.
Zero trust: انعدام الثقة (Zero Trust) نهجٌ أمني لا يثق افتراضيًا بأي مستخدم أو جهاز، ويتطلب تحققًا صارمًا لكل طلب وصول.
SPIFFE: SPIFFE معيار مفتوح لإسناد هويات آمنة قصيرة العمر لأعباء عمل البرمجيات، بما يتيح مصادقة قوية في بيئات ديناميكية سحابية أصلية.