Естонія, одна з найцифровіших країн Європи, знову опинилася в центрі дискусії про майбутнє цифрової інфраструктури. Цього разу — через пропозицію видавати окремі персональні ID‑коди не тільки людям, а й AI‑агентам.
У подкасті IBM Security Intelligence цю ідею розбирають технічний директор з безпеки IBM Research JR Rao, консультант з кібербезпеки Dave Bales та інженерка з детекції загроз Kimmie Farrington. За їхніми оцінками, естонська ініціатива виглядає логічним, навіть неминучим кроком — але таким, що впирається у фундаментальні обмеження сучасних систем керування ідентичностями.
Навіщо AI‑агентам власні ID
Естонська пропозиція зводиться до простого на перший погляд кроку: надати AI‑агентам персональні ID‑коди за аналогією з людськими. Ідея полягає в тому, що кожен «потужний агент» має існувати як окрема сутність у системі: з власною ідентичністю, зоною відповідальності та повноваженнями.
JR Rao формулює це так: кожен потужний агент потребує ідентичності, підзвітності та авторизації. Дотепер корпоративні системи робили ставку переважно на авторизацію — на те, «що» субʼєкт може робити в системі. Але для світу, де значну частину дій виконуватимуть автономні агенти, цього вже недостатньо.
Ідентичність, підкреслює Rao, — ключ до підзвітності й трасованості. Якщо підприємства хочуть відповідати комплаєнс‑режимам і впевнено запускати агентні системи у виробничих середовищах, кожна дія має бути прив’язана до конкретного агента, а не розчинятися в правами людини‑власника акаунта.
Звідси і дві основні переваги окремого ID для агента:
- Чітке трасування: можна побачити, який саме агент виконав операцію, які дані читав, які зміни вніс.
- Тонке розмежування повноважень: замість того, щоб агент автоматично успадковував усі привілеї свого «власника», йому задається власний, набагато вужчий периметр дозволів.
Це збігається з трендом, де AI‑агенти все глибше вбудовуються в бізнес‑процеси, приймають рішення, ініціюють транзакції й взаємодіють із зовнішніми сервісами. Без чіткої ідентичності таку активність складно контролювати й майже неможливо розбирати постфактум.
5 мільйонів агентів: чому масштаб ламає IAM
Та сама логіка, яка робить естонську ідею привабливою, одночасно викриває її головну проблему: масштаб.
Rao нагадує, що сьогодні у великих підприємствах зазвичай йдеться про десятки тисяч співробітників — він називає цифри 50 000 або 100 000 людей. Сучасні системи керування ідентичностями та доступом (IAM) проєктувалися саме під такий порядок величин.
На цьому фоні візія майбутнього виглядає радикальною. Rao наводить орієнтир: за висловлюваннями керівництва в індустрії, в окремій великій компанії можуть з’явитися мільйони агентів — звучала оцінка у 5 мільйонів AI‑агентів в межах одного вендора.
Такий масштаб, переконаний він, «зламає всі архітектури, які ми маємо» — насамперед IAM‑архітектури. Системи, спроєктовані для сотень тисяч людських аккаунтів, просто не витягнуть порядок мільйонів автономних сутностей із власними ID, сертифікатами, токенами й політиками доступу.
Виникає низка практичних питань:
- як створювати, зберігати й обслуговувати мільйони агентних записів;
- як оновлювати й відкликати їхні ключі й токени;
- як реалізувати політики доступу, які постійно змінюються разом із контекстом роботи агентів;
- як узагалі масштабувати аудит і логування дій такої кількості субʼєктів.
Rao констатує: проблема не лише в тому, щоб «дати ID». Критичне завдання — зрозуміти, як керувати цією новою масою ідентичностей, коли агентів в десятки разів більше, ніж людей.
Що таке «агентна» ідентичність
Окрема складність полягає в тому, що ідентичність агента якісно відрізняється від ідентичності людини. Перенести на неї звичні для користувача моделі на кшталт «логін‑пароль» або навіть сучасні passkey — означає спростити задачу до невірної моделі.
Rao пропонує дивитися на «агентну ідентичність» багатовимірно. На його думку, вона може включати не лише базовий ідентифікатор, а й:
- провенанс — тобто походження агента, хто й як його створив;
- власника — субʼєкта чи систему, від імені яких агент діє;
- ціль/призначення — для чого агент існує, який клас задач має право виконувати;
- репутацію — історію його роботи, інцидентів, відхилень від очікуваної поведінки;
- дозволи — деталізований перелік прав доступу до ресурсів і операцій.
За такої моделі «ім’я агента» чи технічний ID — лише вершина айсберга. Справжня ідентичність — це повний набір метаданих, які дозволяють не тільки аутентифікувати агента, а й зрозуміти, чи коректно він діє в заданому контексті.
Саме ця відмінність робить непридатним пряме копіювання людських IAM‑практик: те, що працює для фізичної особи, просто не відображає реальну структуру ризиків і поведінки автономного AI‑субʼєкта.
Ефемерні агенти та «директрія» майбутнього
Ситуацію додатково ускладнює те, що не всі агенти однакові за життєвим циклом і значенням.
Kimmie Farrington звертає увагу на ключову характеристику багатьох сучасних агентів: вони дуже ефемерні. Частина таких сутностей існує буквально лічені хвилини чи півгодини, виконує вузьке завдання й зникає. Водночас інші можуть стати «ядром» LLM‑системи — стабільними, довгоживучими інстансами, що працюють роками.
Це породжує питання:
- який тип ідентичності має отримувати одноразовий агент, який живе півгодини;
- чи потрібно йому «змінювати пароль», якщо він фактично не встигає застаріти;
- як виглядає график ротації ключів і токенів для таких сутностей;
- як балансувати між безпекою та операційним оверхедом при мільйонах короткоживучих ID.
Farrington схиляється до технічної моделі, що нагадує поєднання каталогу на кшталт Active Directory із короткоживучими токенами, близькими до Kerberos. За такої схеми агент при створенні отримує обмежений у часі токен, який діє лише стільки, скільки потрібно для конкретного завдання, а потім перестає існувати.
Це не остаточна відповідь, визнає вона, але такий підхід принаймні обмежує ризик повторного використання викраденого токена й частково знімає питання довгострокового зберігання ідентичностей для мільйонів ефемерних агентів.
При цьому головне запитання лишається відкритим: як масштабувати таку «директрію для агентів», де співвідношення «агентів на людину» може бути порядків більшим, ніж у традиційних ІТ‑середовищах.
Коли сам агент стає вразливістю
Навіть якщо припустити, що масштаб і моделі ідентичності вдається опанувати, залишаються фундаментальні ризики безпеки.
Dave Bales наголошує: сам по собі факт надання агенту ID не робить його безпечним. Сьогодні вже очевидно, що великі мовні моделі й агентні системи вразливі до різноманітних атак — від обходу «запобіжників» і підказок‑інʼєкцій до маніпуляцій із їхньою пам’яттю та інструкціями.
Guardrails для LLM, зазначає Bales, регулярно обходять. Якщо на такий крихкий фундамент ще й навісити повноцінну ідентичність із потужними привілеями в мережі, виникає очевидне питання: що зупиняє зловмисника від компрометації самого агента?
Інакше кажучи: чим це принципово безпечніше за людину в контурі? Агент може так само «потворитися» й почати виконувати шкідливі дії — тільки з тією різницею, що:
- він, на відміну від користувача, може працювати безперервно й на великій швидкості;
- його дії часто викликають вищу довіру, бо сприймаються як «автоматично коректні»;
- він має повний, формалізований набір повноважень, які системи за замовчуванням схильні виконувати.
Rao попереджає: автентифікований зловмисний агент може бути набагато небезпечнішим, ніж неавтентифікований. Ідентичність у цьому випадку не бар’єр, а прискорювач шкоди: система сприймає його дії як легітимні, доки хтось не помітить аномалію.
Саме тому, підкреслює він, не можна сприймати ID‑коди як панацею. Вони необхідні для підзвітності й трасованості, але не знімають ризику того, що агент стане «внутрішньою загрозою», тільки тепер із повністю коректними з точки зору IAM обліковими даними.
Чи справді Естонія «на правильному шляху»
Попри всі застереження, учасники дискусії сходяться в одному: Естонія «щось відчула правильно». Bales прямо говорить, що країна «на правильному шляху», коли пробує надавати агентам ID, адже без формалізованих ідентичностей говорити про комплаєнс, аудит і відповідальність за дії AI в підприємствах практично неможливо.
Водночас він і його співрозмовники одразу ж повертають розмову до ключових невирішених питань:
- як впевнитися, що агент з ID не буде компрометований;
- як зробити так, щоб викрадені облікові дані агента не дозволили зловмиснику роками діяти в системі;
- як адаптувати IAM‑архітектури до порядку мільйонів сутностей, що постійно створюються, змінюються й зникають.
Farrington додає ще один шар невизначеності: ми навіть не до кінця розуміємо, «що таке агент» у різних контекстах — короткоживучий скрипт, довготривалий сервіс, складна багатомодульна система. Від відповіді на це залежить, яку саме ідентичність їй потрібно давати, як її обслуговувати і в який момент вважати простроченою чи небезпечною.
Висновок: ідентичність — необхідна, але недостатня умова
Естонська ініціатива фактично підсвічує те, що індустрія й так почала відчувати: світ, де мільйони рішень щодня приймають AI‑агенти, неможливий без радикального переосмислення ідентичності, підзвітності й масштабованості IAM.
З одного боку, персональні ID для агентів виглядають неминучим кроком: без них не буде ні комплаєнсу, ні розслідувань, ні нормального управління ризиками. З іншого — самі по собі ID не роблять агентів безпечними. Навпаки, автентифікований, але зловмисний або скомпрометований агент може виявитися найнебезпечнішим типом цифрового «користувача».
Проблему посилює триєдина реальність:
- масштаб у мільйони сутностей на одне підприємство;
- ефемерність більшості агентів;
- відмінність їхньої «агентної» ідентичності від класичних людських моделей.
У цій ситуації Естонія радше відкриває дискусію, ніж дає готову модель. Ідентичності для AI‑агентів, судячи з усього, стануть нормою. Але якими вони будуть, як ними керуватимуть і як не перетворити кожен виданий ID на потенційний важіль для масштабного інциденту — ці питання поки що залишаються без остаточних відповідей.
Джерело
Обговорення базується на подкасті IBM Security Intelligence:
https://www.youtube.com/watch?v=10XtOi4Lbes