Агентні (agentic) AI?системи — динамічні, недетерміновані й здатні самостійно ініціювати дії в бізнес?процесах. Це відкриває нові можливості, але й створює новий клас ризиків для безпеки та управління доступом. Канал IBM Technology пропонує чітку чотириступеневу модель зрілості Identity and Access Management (IAM), яка допомагає поетапно захистити такі системи й підготувати їх до майбутнього масштабування.
Які ризики створюють агентні AI?системи
Перед тим як говорити про рівні зрілості, варто розібратися, які саме проблеми має вирішувати IAM в контексті агентного AI.
1. Перенесення відповідальності на агентів
У традиційних застосунках доступ до систем і сервісів зазвичай організовано через API?ключі, функціональні або системні облікові записи на рівні проєкту чи команди. В агентних AI?системах такий підхід стає недостатнім: рішення приймають не лише люди й статичні сервіси, а й самі агенти.
Потрібно змінити точку, де фіксується відповідальність: не лише на рівні застосунку чи проєкту, а безпосередньо навколо агентів та їхніх дій. Без цього неможливо прозоро відстежувати, хто саме ініціював доступ або операцію.
2. Порушення принципу найменших привілеїв
Один із ключових ризиків — поява так званих «суперагентів», які мають надто широкий доступ до систем і даних. Для безпечної архітектури агенти мають бути максимально спеціалізованими: кожен виконує одну чітко визначену задачу й отримує лише мінімально необхідні права для її виконання.
Відхід від принципу найменших привілеїв у середовищі, де агенти можуть комбінувати дії й сервіси, різко збільшує площу атаки.
3. Запобігання зловживанням — навмисним і випадковим
Агент може бути використаний:
- навмисно — для шкідливих дій;
- ненавмисно — коли розробник створює корисний, на його думку, сценарій, але через помилки в конфігурації відкриває небажаний доступ до систем чи даних.
Система IAM має вміти виявляти й блокувати обидва типи зловживань, не покладаючись лише на «добрі наміри» розробників.
4. Захист даних у динамічних потоках
Агенти можуть як запитувати дані, так і ініціювати процеси, що впливають на ці дані. Якщо агент діє від імені користувача, потрібно гарантувати:
- що сам користувач має право доступу до цих даних;
- що агент, який його представляє, теж має коректно делеговані права.
Без чітких правил делегування та контролю доступу агентні потоки стають джерелом потенційних витоків.
Рівень 1: Ad hoc — коли безпеки майже немає
Нижчий щабель моделі зрілості — ad hoc. На цьому етапі:
- організація вже створює агентні AI?системи;
- на неї тисне попит на впровадження AI;
- але ризики IAM практично не враховуються.
Агенти запускаються «як є», без системного підходу до ідентичностей, делегування прав чи журналювання. Це типовий стартовий стан, з якого потрібно якнайшвидше виходити.
Рівень 2: Foundation — базова керованість і аудит
Другий рівень — фундамент, мінімальний набір контролів, без якого говорити про безпечні агентні системи не доводиться.
Нелюдські ідентичності для агентів
Перший крок — призначити агентам нелюдські (machine / non?human) ідентичності. Це дозволяє:
- відокремити дії агентів від дій користувачів і сервісів;
- фіксувати, який саме агент виконував конкретну операцію.
Навіть базова ідентифікація вже створює основу для подальшого контролю.
Делегування «від імені» (on behalf of)
Далі необхідно налаштувати базове делегування прав:
- коли користувач ініціює запит, агент виконує дії від його імені;
- у автономних сценаріях — один агент може делегувати права іншому.
Ключове завдання — зберегти ланцюжок делегування, щоб було зрозуміло, хто і на якій підставі отримав доступ.
SIEM для аудиту та відповідності
На фундаментальному рівні також потрібна система управління безпековими подіями (SIEM):
- збір логів дій агентів;
- можливість аудиту;
- підтримка вимог комплаєнсу.
Це ще не про активний захист, але вже про прозорість і відтворюваність подій.
Рівень 3: Enhanced — агенти як «першокласні громадяни» IAM
Третій рівень розвиває фундамент і переводить агентів у повноцінних суб’єктів системи управління ідентичностями.
Агенти як повноцінні об’єкти управління
На цьому етапі агенти розглядаються як «першокласні громадяни» в системі IAM — подібно до людей в системах управління доступом:
- для них визначаються власні атрибути;
- вони включаються в політики й процеси управління ідентичностями.
Це дозволяє більш гнучко керувати їхніми правами та життєвим циклом.
Ефемерні облікові дані
Ключова відмінність від людських користувачів — характер облікових даних:
- для людей — відносно постійні облікові записи й довготривалі креденшали;
- для агентів — ефемерні (короткоживучі) облікові дані, видані лише на час виконання конкретного завдання.
Після завершення задачі такі креденшали мають бути недійсними. Це різко зменшує ризики компрометації.
Тонкогранульований і контекстний доступ
Доступ агентів має визначатися не лише роллю, а й контекстом:
- яка саме задача виконується;
- які дані чи сервіси потрібні саме зараз;
- у якому середовищі й за яких умов відбувається виклик.
Агент отримує рівно стільки прав, скільки потрібно для конкретного кроку в потоці, і лише на час цього кроку. Це практична реалізація принципу найменших привілеїв у динамічному середовищі.
Виявлення аномалій у реальному часі
До базового логування додається реальний час:
- моніторинг поведінки агентів;
- виявлення аномалій у потоках;
- фіксація відхилень від очікуваних сценаріїв.
Це створює основу для оперативного реагування, а не лише постфактум?аналізу.
Рівень 4: Adaptive — безперервна автентифікація й динамічний контроль
Найвищий рівень зрілості — адаптивний. Він враховує, що агентні AI?системи за своєю природою недетерміновані: кожен запуск може йти іншим шляхом, навіть якщо завдання формально однакове.
Безперервна автентифікація
Замість одноразової перевірки на початку сесії:
- кожен агент постійно підтверджує свою ідентичність протягом усього потоку;
- автентифікація відбувається на різних етапах виконання задачі.
Це особливо важливо, коли агенти взаємодіють між собою й передають один одному делеговані права.
Ризик?орієнтована повторна автентифікація
Рівень контролю має відповідати рівню ризику:
- для доступу до чутливих даних — посилена перевірка;
- для менш критичних операцій — легший режим.
Система оцінює ризик кожного кроку в потоці й динамічно вирішує, коли потрібна повторна автентифікація.
Миттєве відкликання доступу
На основі реального часу й аномалій:
- якщо виявлено підозрілу активність, доступ може бути негайно відкликаний;
- облікові дані агента анулюються;
- подальші дії блокуються або переводяться в безпечний режим.
Це дозволяє не лише виявляти зловживання, а й оперативно їх зупиняти.
Як модель закриває ключові ризики
Чотирирівнева модель IAM для агентних систем поетапно відповідає на основні виклики:
- Відповідальність — досягається через нелюдські ідентичності, «першокласний» статус агентів, ефемерні креденшали та повний аудит дій.
- Найменші привілеї — реалізуються завдяки тонкогранульованому, контекстному доступу й короткоживучим правам, виданим лише на конкретні задачі.
- Запобігання зловживанням — забезпечується SIEM, виявленням аномалій у реальному часі та можливістю миттєвого відкликання доступу.
- Захист даних — гарантується через чітке делегування «від імені», контроль ланцюжків доступу й постійне переоцінювання ризиків у динамічних потоках.
Ключовий принцип — не намагатися впровадити все одразу, а послідовно рухатися від фундаменту до адаптивного рівня, поступово підвищуючи зрілість IAM разом із розвитком агентних AI?систем.
Джерело
YouTube: IAM for AI: 4 Steps to Secure and Futureproof Agentic Systems