وكلاء الذكاء الاصطناعي المعزولون: المخاطر الأمنية لوكيل SaaS AI التي لا أحد يختبرها

عندما يغادر أحد المطورين شركة SaaS الخاصة بك، فإنك تقوم بإلغاء وصول Okta الخاص به، وتعطيل GitHub...

16 يوليو 2026 1 دقائق قراءة

عندما يترك أحد المطورين شركة SaaS الخاصة بك، فإنك تقوم بإلغاء وصول Okta الخاص به، وتعطيل حساب GitHub الخاص به، وتدوير مفاتيح API. ولكن ماذا يحدث لوكيل الذكاء الاصطناعي الذي أنشأوه الشهر الماضي، والذي لا يزال يتمتع بإمكانية الوصول إلى قاعدة بيانات عملاء الإنتاج لديك؟

لقد أمضينا الأشهر الستة الماضية في اختبار تطبيقات الذكاء الاصطناعي لشركات B2B SaaS الأوروبية، وما زلنا نرى نمطًا يجب أن يثير قلق كل مؤسس تقني: يقوم وكلاء الذكاء الاصطناعي اليتيم بإنشاء مسارات وصول مستمرة تفتقدها عمليات تدقيق الأمان التقليدية. هذه ليست نظرية. لقد وجدنا وكلاء إنتاج يتمتعون بإمكانية الوصول الكامل إلى قاعدة البيانات والذين ترك منشئو الشركة الشركة قبل أربعة إلى ستة أشهر.

ويتخذ تأمين هذه الأنظمة أسلوبًا مختلفًا عن تأمين البرامج التقليدية. لا يقوم وكلاء الذكاء الاصطناعي بتشغيل التعليمات البرمجية فقط. إنهم يتخذون قرارات مستقلة بشأن البيانات التي يجب الوصول إليها ومتى.

مشكلة الهوية: لا يظهر وكلاء الذكاء الاصطناعي في تدقيق IAM الخاص بك، ويعرف نظام إدارة الهوية والوصول الخاص بك عن المستخدمين البشريين وحسابات الخدمة. ولكن هل تعرف عن وكيل LangChain الذي أنشأه مهندس الواجهة الخلفية الخاص بك لأتمتة تصنيف تذاكر دعم العملاء؟

أثناء ارتباطات الفريق الأحمر للذكاء الاصطناعي، نستمر في العثور على نفس الفجوات الثلاث:

يؤدي الوصول إلى الأداة إلى إنشاء مسارات حركة جانبية. ويمثل الوصول إلى البيانات نصف المخاطر فقط. والنصف الآخر هو ما يمكن لعملاء الذكاء الاصطناعي فعله بهذا الوصول.

المصدر: dev.to