Ciemna strona agentów AI: Władza bez kontroli

Wdrażanie agentów AI postępuje szybciej niż nasza zdolność do zarządzania nimi.

Badanie SailPoint pokazuje, że 82% organizacji ma już agentów AI w produkcji, ale tylko 44% postępuje według udokumentowanego zbioru zasad określających ich uprawnienia i ograniczenia operacyjne. Wyniki są wyraźnie widoczne w terenie: 80% wdrożeń rejestruje niezamierzone działania, a 23% ujawnia dane uwierzytelniające w dziennikach lub komunikatach o błędach. Nie są to odosobnione przypadki, ale symptomy modelu operacyjnego, który nie nadąża za technologią.

Różnica strukturalna w stosunku do tradycyjnych chatbotów jest prosta: agenci nie tylko odpowiadają, ale też działają. Wykonują uwierzytelnione wywołania API, używają kont usług i tokenów z szerokimi uprawnieniami i omijają mechanizmy kontroli zaprojektowane dla ludzi, takie jak uwierzytelnianie wieloskładnikowe (MFA), DLP dla poczty e-mail lub ręczne zatwierdzanie. Agent sekcji obsługi klienta może odczytywać i modyfikować dane bez uruchamiania jakiegokolwiek mechanizmu monitorowania; agent DevOps może zarządzać kanałami CI/CD przy niewielkim lub nieistniejącym bezpośrednim monitorowaniu.

Ten nowy perymetr otwiera wektory ataku bez jakiejkolwiek interakcji ze strony człowieka. Podczas szczytu Black Hat USA 2025 firma Zenity zademonstrowała bezklikowe łańcuchy exploitów działające przeciwko podmiotom korporacyjnym. W przypadku Microsoft Copilot Studio do wstrzyknięcia ukrytych instrukcji wystarczył pojedynczy plik pułapki z osadzonego źródła - takiego jak SharePoint lub zaproszenie e-mail. Gdy agent przetworzył tę zawartość, zinterpretował tekst jako polecenia, ominął bariery monitów i, używając prawidłowych danych uwierzytelniających, wyświetlił listę łączników i wyodrębnił rekordy CRM, a wszystko to bez ani jednego kliknięcia.

Zajęcie się tym ryzykiem nie oznacza spowolnienia procesu adopcyjnego, oznacza traktowanie agentów jako uprzywilejowanych tożsamości, z pełnym zarządzaniem cyklem życia: uwierzytelnianiem z regularną rotacją, utrzymywaniem spisu agentów ze zdefiniowanym właścicielem, jasnym celem i oczekiwaną datą dezaktywacji, a także procedurami break-glass, aby szybko odwołać poświadczenia, gdy coś pójdzie nie tak.

Obserwowalność również musi ewoluować. Nie wystarczy zarejestrowanie wyniku końcowego, ale musimy uchwycić cały łańcuch decyzyjny, a mianowicie: które narzędzia zostały wywołane, z jakimi parametrami, jakie wartości zostały zwrócone i jak doprowadziły do następnego działania. Dzięki tej widoczności organizacje mogą ustalić poziom bazowy zachowań dla każdego uczestnika; stamtąd profilowanie behawioralne umożliwia wczesne wykrywanie odchyleń, zanim staną się incydentami.

Najskuteczniejsze mechanizmy kontrolne znajdują się poza modelem: ograniczanie szybkości w celu zapobiegania masowej eksploracji danych, segmentacja sieci w celu ograniczenia ruchu bocznego oraz tokeny zatwierdzające dla wrażliwych operacji, takich jak masowe aktualizacje, płatności lub działania destrukcyjne. O ile to możliwe, bariery ochronne powinny być stosowane w warstwie wykonawczej - API, kolejki, bramki - a nie tylko na poziomie żądania.

 Model operacyjny również wymaga dostosowań: przedprodukcyjnych przeglądów ryzyka, testów penetracyjnych specyficznych dla agenta (w tym scenariuszy pośredniego wstrzykiwania) oraz wyraźnej segregacji środowisk i wskaźników zarządzania, które naprawdę mają znaczenie, takich jak średni czas do odwołania, odsetek agentów ze zidentyfikowanym właścicielem, średni wiek sekretów i pokrycie dziennika decyzji. Bez tych podstawowych kontroli automatyzacja wzmacnia błędy i zwielokrotnia ich wpływ.

Presja konkurencji sprawi, że agenci będą nieuniknieni, a przy zdyscyplinowanej konfiguracji zyski są realne. Gartner szacuje, że 40% tych projektów zakończy się niepowodzeniem do 2027 roku z powodu kosztów, braku jasności co do wartości biznesowej i słabej kontroli ryzyka. Problemem nie jest technologia, ale zarządzanie nią, traktowanie agentów jako wysoce uprzywilejowanego oprogramowania działającego zgodnie z uprawnieniami produkcyjnymi. Przy jasnych zasadach oferują szybkość bez tworzenia luk w zabezpieczeniach; bez dyscypliny powodują powstanie tzw. shadow AI, bardziej niebezpiecznego niż jakiekolwiek nieautoryzowane narzędzie, gdyż działa ono legalnie w ramach własnych systemów.

João Sequeira, dyrektor pionu Secure e-Solutions GMV w Portugalii

*Ten artykuł został po raz pierwszy opublikowany na łamach IT Security.