اتصل بنا للحصول على مزيد من المعلومات

جاكوب إيديسكوج، المدير التقني لشركة كيوريتي – سلسلة مقابلات

تقديم العرض الوظيفي

جاكوب إيديسكوج، المدير التقني لشركة كيوريتي – سلسلة مقابلات

mm
تم النشر

يعقوب ايدسكوج يشغل منصب أخصائي الهوية ومدير التكنولوجيا في شركة Curity. يقضي معظم وقته في العمل على حلول الأمان في مجال واجهات برمجة التطبيقات (API) والويب. وقد عمل على تصميم وتنفيذ حلول OAuth وOpenID Connect لمشاريع مؤسسية كبيرة وشركات ناشئة صغيرة.

كوريتي هي منصة حديثة لإدارة الهوية والوصول (IAM) مبنية على خادم هوية Curity، وهو حل قائم على المعايير مصمم لتأمين المصادقة والتفويض للتطبيقات وواجهات برمجة التطبيقات والخدمات الرقمية على نطاق واسع. تدعم المنصة بروتوكولات مثل OAuth 2.0 وOpenID Connect لمركزة عمليات تسجيل الدخول، وفرض سياسات وصول دقيقة، وإصدار رموز مميزة آمنة لكل من المستخدمين البشريين وعملاء الأجهزة، بما في ذلك واجهات برمجة التطبيقات والخدمات. صُممت المنصة لتوفير المرونة وقابلية التوسع، مما يسمح للمؤسسات بنشرها عبر بيئات سحابية أو هجينة أو محلية، والتكامل مع الأنظمة الحالية، وتقديم تجارب مستخدم آمنة وسلسة دون الاعتماد على بنية تحتية أمنية مخصصة.

لقد أمضيت جزءًا كبيرًا من مسيرتك المهنية في بناء أنظمة أمان الهوية وواجهات برمجة التطبيقات، بدءًا من المشاركة في تأسيس شركة Curity وصولًا إلى قيادتها كمدير تنفيذي للتكنولوجيا خلال صعود الحوسبة السحابية والآن الذكاء الاصطناعي. كيف أثرت هذه الرحلة على رؤيتك بأن وكلاء الذكاء الاصطناعي يجب أن يُعاملوا كهويات رقمية من الدرجة الأولى وليس مجرد برنامج آخر؟

في جميع مجالات التكنولوجيا التي عملت بها، تبرز مشكلة واحدة باستمرار. سواءً كان الأمر يتعلق بالحوسبة السحابية أو الذكاء الاصطناعي، إذا كان البرنامج يعمل نيابةً عن شخص أو نظام آخر، فستواجه مشكلة في تحديد الهوية.

مع الانتشار الواسع للذكاء الاصطناعي الوكيل، تتفاقم هذه المشكلة. لم يعد سلوك هذه الأنظمة محكوماً بدقة، بل تعمل بمستوى من الاستقلالية لم تشهده المؤسسات من قبل. تتخذ أنظمة الذكاء الاصطناعي الوكيلة القرارات، وتستدعي واجهات برمجة التطبيقات، وتنفذ سلسلة من الإجراءات عبر الأنظمة، غالباً دون إشراف بشري مباشر. يخلق هذا السلوك تحديات تتعلق بالهوية والوصول تختلف جوهرياً عن البرمجيات التقليدية.

إنّ التعامل مع وكلاء الذكاء الاصطناعي كهويات رقمية أساسية هو السبيل الوحيد لمعالجة هذه المسألة بشكل صحيح. فإذا تعاملت المؤسسات معهم كمجرد عملية أو حساب خدمة آخر، فإنها ستفقد الرؤية والتحكم بسرعة كبيرة، وهذا يُنذر بأزمة أمنية.

تُبدي العديد من المؤسسات حماسًا كبيرًا تجاه الذكاء الاصطناعي القائم على الوكلاء، لكنها لا تزال عالقة في مرحلة التجربة. بناءً على ما تلاحظونه في التطبيقات العملية، ما هي أبرز الثغرات المتعلقة بالهوية والحوكمة التي تمنع المؤسسات من توسيع نطاق استخدام الوكلاء بأمان؟

تجري معظم التجارب في بيئات معزولة تتجاهل ما يحدث على نطاق واسع. خلال المراحل التجريبية الأولى، غالبًا ما تمنح الفرق البرامج الوسيطة مفاتيح واجهة برمجة تطبيقات واسعة النطاق، أو بيانات اعتماد مشتركة، أو أذونات سحابية شاملة لمجرد بدء التشغيل.

ينهار هذا النهج بمجرد نشر البرامج الآلية بعد انتهاء مرحلة التجارب. والسبب هو أن فرق الأمن لا تستطيع رؤية البيانات التي وصل إليها البرنامج الآلي، أو الإجراءات التي قام بها، أو ما إذا كان بإمكانه تجاوز نطاق صلاحياته المقصودة، سواء عن طريق الخطأ أو عن قصد. هذه الثغرات الأمنية تجعل من المستحيل إدارة البرامج الآلية بشكل آمن، ولهذا السبب تواجه العديد من المؤسسات صعوبة في تجاوز مرحلة التجارب.

لقد جادلتَ بأنّ الضوابط الصارمة ضرورية للذكاء الاصطناعي الفاعل. كيف يبدو تصميم الهوية "الجيد" لوكلاء الذكاء الاصطناعي عمليًا، وأين تخطئ الشركات عادةً في ذلك؟

يبدأ تصميم الهوية الجيد بمبدأ أقل الامتيازات، حيث ترتبط الأذونات بالغرض المحدد. ينبغي أن يمتلك كل وكيل ذكاء اصطناعي هويته الخاصة، وأذونات محددة النطاق، وعلاقات ثقة واضحة المعالم (قواعد صريحة تحدد الأنظمة المسموح له بالتفاعل معها). وبشكل أساسي، يجب أن يكون الوصول مرتبطًا بالغرض، ومقيدًا زمنيًا، وسهل الإلغاء.

يكمن خطأ الشركات في إعادة استخدام حسابات الخدمة الحالية أو افتراض أن البرامج الداخلية آمنة تلقائيًا. هذا الافتراض لا يصمد أمام التهديدات الواقعية. فالجهات الخبيثة تبحث بنشاط عن هذه الثغرات تحديدًا، وتزيد برامج الذكاء الاصطناعي بشكل كبير من نطاق التأثير المحتمل عندما يكون تصميم الهوية غير متقن.

لطالما عملت شركة Curity مع معايير مثل OAuth وOpenID Connect. ما مدى أهمية معايير الهوية المفتوحة لجعل الذكاء الاصطناعي الوكيل قابلاً للتشغيل البيني وآمناً عبر بيئات المؤسسات المعقدة؟

تُعدّ المعايير المفتوحة بالغة الأهمية. فالمؤسسات تُدير بالفعل أنظمة هوية معقدة تمتد عبر منصات الحوسبة السحابية وخدمات البرمجيات كخدمة وواجهات برمجة التطبيقات الداخلية. ولا يزيد الذكاء الاصطناعي الوكيل إلا من هذا التعقيد.

بدون معايير موحدة، يصبح كل وكيل كيانًا مستقلاً واستثناءً أمنيًا دائمًا. أما مع معايير مثل OAuth وOpenID Connect، فيمكن التحقق من هوية الوكلاء وتفويضهم ومراجعة حساباتهم تمامًا كأي عبء عمل آخر. هذا هو النهج الوحيد الذي يُسهّل التوسع الآمن في بيئات المؤسسات الحقيقية.

أصبحت الهويات غير البشرية أكثر شيوعاً، بدءاً من حسابات الخدمات وصولاً إلى هويات الآلات. ما الذي يجعل وكلاء الذكاء الاصطناعي مختلفين جوهرياً عن الهويات غير البشرية السابقة من منظور أمني؟

يكمن الفرق الرئيسي بين وكلاء الذكاء الاصطناعي الحديث والهويات غير البشرية القديمة في الاستقلالية. فحساب الخدمة التقليدي ينفذ ما يُمليه عليه برنامجه حرفيًا، ملتزمًا تمامًا بمهمته. أما وكيل الذكاء الاصطناعي فيفسر التعليمات، ويُكيّف سلوكه، ويتخذ إجراءات لم تُبرمج صراحةً، مما يزيد من المخاطر المحتملة في حال غياب ضوابط مناسبة.

قد يتحول خطأ بسيط في الهوية أو الوصول إلى كارثة بسرعة، لأن الوكيل قادر على العمل بسرعة وعبر أنظمة متعددة. ومن منظور أمني، يمثل هذا خطراً جسيماً.

ما مدى أهمية سجلات التدقيق والتسجيل القائم على الهوية لإدارة الذكاء الاصطناعي الوكيل، وخاصة في الصناعات الخاضعة للتنظيم؟

لا ينبغي أن تكون سجلات التدقيق مجرد ميزة إضافية، بل يجب تضمينها منذ البداية. في البيئات الخاضعة للتنظيم، يُتوقع من المؤسسات الإجابة على أسئلة بسيطة ولكنها بالغة الأهمية: ما الذي وصل إليه هذا المستخدم، ومتى حدث ذلك، ومن الذي سمح له بذلك؟

يُعدّ تسجيل البيانات بناءً على الهوية الطريقة الوحيدة الموثوقة لتحقيق هذا المستوى من المساءلة. كما أنه يلعب دورًا محوريًا في الاستجابة للحوادث. فبدون سياق هوية واضح، يكاد يكون من المستحيل معرفة ما إذا كانت المشكلة ناتجة عن خلل في أحد الأنظمة، أو اختراق للهوية، أو مجرد تنبيه خاطئ.

ما هي المخاطر الواقعية التي تتوقع ظهورها عندما تقوم المؤسسات بنشر وكلاء الذكاء الاصطناعي ذوي الامتيازات المفرطة أو الذين لا يخضعون للمراقبة الكافية في بيئة الإنتاج؟

أحد المخاطر الشائعة هو تجميع البيانات الصامت. إذ يمكن لوكيل يتمتع بصلاحيات مفرطة سحب معلومات حساسة من أنظمة متعددة (سجلات العملاء، والوثائق الداخلية، والسجلات) ثم كشف تلك البيانات من خلال مطالبات أو ملخصات أو عمليات تكامل خارجية.

ثمة خطر آخر يتمثل في قيام جهات خارجية تتمتع بصلاحيات إدارية بإجراء تغييرات جوهرية بسرعة فائقة، مما يُسبب أضرارًا تفوق بكثير ما يُمكن أن يُسببه أي إنسان في فترة وجيزة. وقد يشمل ذلك تعديل موارد الحوسبة السحابية، أو تعطيل ضوابط الأمان، أو تشغيل عمليات آلية دون إشراف.

قد تكون هذه الحوادث خبيثة، ولكن ليس بالضرورة. فقد يكون أحد العملاء، ممن يتمتعون بصلاحيات مفرطة أو يخضعون لمراقبة ضعيفة، يعمل ببساطة بناءً على افتراضات قديمة أو خاطئة، مما يؤدي إلى تضخيم الأخطاء عبر أنظمة متعددة قبل أن يلاحظها أحد.

لكن من وجهة نظر المهاجم، تُعدّ هوية العميل المخترقة ذات قيمة بالغة. فهي تُمكّنه من التنقل الجانبي عبر واجهات برمجة التطبيقات والخدمات، وغالبًا ما تمنحه مستوى وصول لا يُمنح لأي مستخدم بشري. وبدون ضوابط قوية للهوية ومراقبة فعّالة، لا تكتشف المؤسسات هذه الثغرات إلا بعد وقوع الضرر الفعلي.

بالنسبة للشركات التي تنتقل من التجارب الأولية إلى عمليات النشر الحقيقية للوكلاء، ما هي قرارات الهوية والوصول التي يجب اتخاذها مبكراً لتجنب عمليات إعادة التصميم المكلفة لاحقاً؟

ينبغي على المؤسسات أن تقرر مبكراً كيفية إصدار الهويات للوكلاء، وكيفية الموافقة على الأذونات، وكيفية مراجعة الوصول بمرور الوقت، مع تحديد حدود الهوية مسبقاً.

إن تطبيق ضوابط الهوية بأثر رجعي يكاد يكون إشكاليًا دائمًا. غالبًا ما تكون البرامج مُدمجة بعمق في سير العمل باستخدام بيانات اعتماد مشتركة أو أدوار واسعة، لذا فإن تقييد الوصول بعد ذلك يُخلّ بالافتراضات التي يعتمد عليها النظام. وهذا في نهاية المطاف يؤدي إلى فشل سير العمل ويُقوّض الثقة في التكنولوجيا. من الأجدى، والأكثر أمانًا، تصميم هويات ونطاقات وحدود وصول مناسبة منذ البداية.

أين يصبح دمج الهوية في أغلب الأحيان عائقاً عند نشر الذكاء الاصطناعي الوكيل، وما هي أفضل الممارسات التي تساعد على تقليل الاحتكاك؟

قد تُصبح إدارة الهوية عائقًا، ولكن فقط عندما تُعامل كأمر ثانوي. تركز الفرق أولًا على بناء قدرات وكلاء رائعة، ثم تُدرك لاحقًا أنها بحاجة إلى التكامل مع أنظمة إدارة الهوية والوصول، وبوابات واجهة برمجة التطبيقات، ومنصات التسجيل لتحقيق أمان حقيقي.

أفضل نهج هو البدء بفهم واضح وتطبيق سليم لمنصات إدارة الهوية، ثم تصميم البرامج الوسيطة لتتوافق معها. ينبغي للمؤسسات إعادة استخدام المعايير والبنية التحتية القائمة بدلاً من تجاوزها؛ لأن هذا التجاوز سيؤدي حتماً إلى مشاكل لاحقاً. عندما تُدمج إدارة الهوية منذ البداية، فإنها تُسرّع عملية النشر بدلاً من إبطائها.

بالنسبة لقادة الأمن والهندسة الذين يرغبون في تبني الذكاء الاصطناعي الوكيل ولكنهم قلقون بشأن الحوكمة والمخاطر، ما هي النصائح التي تقدمونها لهم أثناء تخطيطهم لخارطة طريقهم؟

تريّث قليلاً لترسيخ الأسس الصحيحة. يجب التعامل مع أنظمة الذكاء الاصطناعي كهويات مستقلة، لذا عليك تطبيق نفس الحوكمة التي تتوقعها من البشر، والإصرار على الشفافية منذ البداية. إذا فعلت المؤسسة ذلك، فإن توسيع نطاق الذكاء الاصطناعي الآلي يصبح ممارسة أمنية، وليس قفزة عشوائية محفوفة بالمخاطر.

شكرا لك على المقابلة الرائعة ، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا كوريتي.

مواضيع ذات صلة:
mm

أنطوان هو قائد صاحب رؤية وشريك مؤسس لشركة Unite.AI، مدفوعًا بشغف لا يتزعزع لتشكيل وتعزيز مستقبل الذكاء الاصطناعي والروبوتات. وهو رجل أعمال متسلسل، ويعتقد أن الذكاء الاصطناعي سيكون له نفس التأثير على المجتمع مثل الكهرباء، وغالبًا ما يتم ضبطه وهو يهذي عن إمكانات التقنيات المبتكرة والذكاء الاصطناعي العام.

ك المستقبليوهو مكرس لاستكشاف كيف ستشكل هذه الابتكارات عالمنا. بالإضافة إلى ذلك، فهو مؤسس Securities.io، وهي منصة تركز على الاستثمار في التقنيات المتطورة التي تعمل على إعادة تعريف المستقبل وإعادة تشكيل قطاعات بأكملها.