Ηγέτες σκέψης

Η Σκιά του AI Ήταν το Εύκολο Πρόβλημα: Ο Πραγματικός Κίνδυνος Κρύβεται στους Κρυφούς Πράκτορες στο Εγκεκριμένο Λογισμικό

mm
Δημοσιεύτηκε

Πριν από δύο χρόνια, η σκιά του AI σήμαινε ότι οι υπάλληλοι επικόλλαν δεδομένα πελατών στο ChatGPT. Η λύση, γενικά, ήταν διαχειρίσιμη: ανακαλύψτε τα εργαλεία, επιβάλετε τις καλές ones, αποκλείστε τις κακές ones, εκπαιδεύστε τους ανθρώπους. Οι περισσότερες οργανώσεις βρίσκονται κάπου στη μέση της εκτέλεσης αυτού του πλάνου, όπου 61% έχουν ήδη συναντήσει τη σκιά του AI στις εγκαταστάσεις τους και το πλάνο λειτουργεί γενικά.

Ωστόσο, αυτή η περιγραφή δεν περιγράφει πλέον το ζήτημα. Η σκιά του AI έχει μετατοπιστεί πέρα από ένα προβληματικό ζήτημα σε ένα αρχιτεκτονικό ζήτημα. Η παραδοσιακή διακυβέρνηση δεν μπορεί να跟ψει με το σύγχρονο τοπίο, συμπεριλαμβανομένων των προμηθευτών που εMBEDουν πράκτορες και των εργαζομένων που συνδέουν πράκτορες μέσα σε εγκεκριμένα συστήματα με κληρονομικά διαπιστευτήρια, καθιστώντας την ταυτότητα το μόνο πραγματικό σημείο ελέγχου.

Οι Δύο Σκίες που Δεν Παρακολουθείτε

Το ενδιαφέρον ερώτημα το 2026 δεν είναι ποιο εργαλείο AI άνοιξε ο υπάλληλος. Είναι ποιοι πράκτορες ο εγκεκριμένος προμηθευτής μας έστειλε μέσα στην τελευταία ενημέρωση του προϊόντος και ποια διαπιστευτήρια κληρονόμησε από τον άνθρωπο που το εγκατέστησε.

Η σκιά του AI ήταν ένα ζήτημα συμπεριφοράς. Μπορούσατε να το δείτε, να το ονομάσετε και να τοποθετήσετε μια πολιτική εναντίον του. Η έκδοση που εξαπλώνεται τώρα είναι δομική. Εμφανίζεται μέσα από το λογισμικό που ήδη έχετε εγκρίνει, ενεργώντας υπό διαπιστευτήρια που ήδη έχετε εκδώσει, σε ροές εργασίας που ήδη έχετε ελέγξει. Η σκιά δεν είναι πλέον συμπεριφορική, είναι αρχιτεκτονική. Οι υπάλληλοι είναι ακόμη στο σχήμα, αλλά έχουν μετατοπιστεί από τη χρήση του AI στη σύνδεσή του: συνδέοντας πράκτορες μέσα στα συστήματα που ήδη έχουν πρόσβαση, και το κάνουν μέσα από διεπαφές που σχεδιάστηκαν για να το κάνουν εύκολο. Οι πολιτικές που γράφτηκαν για τη πρώτη συμπεριφορά δεν φτάνουν στη δεύτερη.

Αυτό είναι το λόγο για τον οποίο “απαγορεύστε το” δεν ήταν ποτέ το πραγματικό ζήτημα. Οι CISOs που προχώρησαν μπροστά στη σκιά του AI εγκρίνοντας εργαλεία επιχείρησης και ωθώντας τους υπαλλήλους προς ελεγχόμενες εναλλακτικές λύσεις κέρδισαν这一 γύρο και ανακάλυψαν ότι ο επόμενος γύρος ήταν ήδη υπό εξέλιξη και ότι είχε δύο διανυσματα, όχι ένα. Το πρώτο είναι τι προμηθευτές εMBEDουν μέσα στα προϊόντα που ήδη βρίσκονται σε παραγωγή: ενσωματωμένα μοντέλα, τρόποι πράκτορα, νέες ενσωματώσεις που ήρθαν σε μια σημείωση που κανείς δεν διάβασε. Το δεύτερο είναι τι οι υπάλληλοι συνδέουν οι ίδιοι: ένα LLM συνδεμένο με το CRM μέσω μιας αυτοματοποίησης χωρίς κώδικα, ένα Custom GPT που έλαβε ένα κλειδί API για το data warehouse, μια σύνδεση MCP από einen βοηθό επιφάνειας εργασίας σε ένα σύστημα παραγωγής. Και τα δύο παράγουν το ίδιο αποτέλεσμα, το οποίο περιλαμβάνει πράκτορες που ενεργούν υπό εγκεκριμένα διαπιστευτήρια, εναντίον εγκεκριμένων συστημάτων, σε ροές εργασίας που δεν πέρασαν ποτέ από καμία ανασκόπηση που σχεδιάστηκε για να τους πιάσει. Η διαδικασία προμήθειας μπορεί να δει το πρώτο διανυσμα και να χάσει το δεύτερο εντελώς.

Είναι αξιοθρήνητο να είμαστε ειλικρινείς σχετικά με το πόσο ανίσως κερδήθηκε ο πρώτος γύρος. Εννέα στις δέκα οργανώσεις σχεδιάζουν αύξηση του προϋπολογισμού IT που σχετίζεται με το AI, με πολλές που σχεδιάζουν ευρύτερη επέκταση σε όλες τις λειτουργίες IT τους εντός των επόμενων 6-24 μηνών. Η δαπάνη ρέει προς τις ευφυείς ικανότητες. Οι έλεγχοι ακολουθούν με ίντσες. Αυτή η ανισορροπία είναι το πρόβλημα, όχι ένα πλευρικό αποτέλεσμα αυτού.

Το Περίγραμμα Ήταν Πάντα Ανθρώπινο

Το νοητικό μοντέλο που λειτουργούσε για την πρώτη κυματική δεν λειτουργεί για αυτήν. Η σκιά του AI ως συμπεριφορά του υπαλλήλου υποτίθεται έναν άνθρωπο στη βρόχη που έκανε μια επιλογή που η ομάδα ασφαλείας μπορούσε να επηρεάσει. Η σκιά του AI ως αρχιτεκτονική προμηθευτή αφαιρεί την επιλογή. Το μοντέλο που έγραψε το email, ο πράκτορας που προγραμματίζει τη συνάντηση, ο βοηθός που περιέγραψε το έγγραφο και το έστειλε προς τα εμπρός. Κανένας από αυτούς δεν χρειαζόταν έναν υπάλληλο να κάνει τίποτα άλλο παρά να συνεχίσει να χρησιμοποιεί το λογισμικό που του είπαν να χρησιμοποιήσει.

Η ειλικρινής απάντηση είναι ότι το περίγραμμα που ακόμη υπερασπίζονται οι περισσότερες ομάδες ασφαλείας ήταν ένα περίγραμμα ανθρώπινης δράσης. Οι υπάλληλοι ανοίγουν εργαλεία, οι υπάλληλοι παρέχουν πρόσβαση, οι υπάλληλοι λαμβάνουν αποφάσεις που η ομάδα ασφαλείας μπορεί να παρατηρήσει και να διαμορφώσει. Αυτό το περίγραμμα διαλύεται σε δύο κατευθύνσεις ταυτόχρονα. Από πάνω, οι προμηθευτές στέλνουν πράκτορες μέσα στα εγκεκριμένα προϊόντα γρηγορότερα από ό,τι οποιαδήποτε διαδικασία ανασκόπησης μπορεί να跟ψει. Από κάτω, οι υπάλληλοι βγαίνουν από το ρόλο του χρήστη και μπαίνουν στο ρόλο του συνδετή, συνδέοντας πράκτορες μέσα στα συστήματα μέσω διεπαφών που σχεδιάστηκαν για να είναι αυτοεξυπηρετούμενες και δεν ήταν οργανωμένες για διακυβέρνηση. Το νέο περίγραμμα, που χτίζεται γύρω από τι κάνουν οι ταυτότητες, ανεξάρτητα από το αν αυτές οι ταυτότητες είναι άνθρωποι, και ανεξάρτητα από ποιος τις εγκατέστησε, απαιτεί ένα υφάδι ελέγχου που οι περισσότερες οργανώσεις δεν έχουν ακόμη.

Ο Μόνος Τόπος που Μένει να Δείτε

Η ταυτότητα είναι το σωστό σημείο ελέγχου, αλλά η διαμόρφωση πρέπει να μετατοπιστεί. Η συμβατική διατύπωση λέει “η ταυτότητα είναι το νέο περίγραμμα” επειδή οι χρήστες είναι παντού και οι συσκευές είναι παντού και το SaaS είναι παντού. Αυτό ήταν αλήθεια πριν από μια δεκαετία, τώρα είναι απλώς ένα στοιχείο. Η έκδοση που έχει σημασία το 2026 είναι διαφορετική: η ταυτότητα είναι ο μόνος τόπος όπου μπορείτε να δείτε τι κάνει πραγματικά το AI, επειδή μέχρι τη στιγμή που το κάνει, το όριο του εργαλείου έχει ήδη διασχιστεί. Ο πράκτορας ενεργεί υπό τα διαπιστευτήρια κάποιου. Ποιος, με ποιο εύρος, εναντίον ποίων δεδομένων, με ποια εξουσιοδότηση είναι τα μόνα ερωτήματα που παράγουν einen χρήσιμο ιχνηλάτη. Η διακυβέρνηση στο επίπεδο του εργαλείου δεν μπορεί να απαντήσει αυτά τα ερωτήματα επειδή το εργαλείο δεν είναι πλέον η μονάδα ανάλυσης.

Σχεδόν το 90% των ηγετών IT已经 αναγνωρίζουν ότι η ενοποίηση έχει άμεση επίδραση στην ικανότητά τους να εφαρμόσουν και να κλιμακώσουν το AI με ασφάλεια. Το πιο δύσκολο ερώτημα είναι τι σημαίνει πραγματικά η ενοποίηση στο επίπεδο ελέγχου. Δεν μπορεί να σημαίνει απλώς λιγότερες πίνακες ελέγχου. Σημαίνει ένα ενιαίο υφάδι ταυτότητας όπου κάθε ηθοποιός, ανθρώπινος, λογαριασμός υπηρεσίας, πράκτορας, ενσωματωμένο μοντέλο, προβλέπεται, έχει εύρος, παρακολουθείται και απομακρύνεται μέσω του ίδιου συνόλου μηχανισμών. Οτιδήποτε λιγότερο από αυτό σας δίνει την εμφάνιση ενοποιημένης διακυβέρνησης όταν στην πραγματικότητα είναι απλώς θραυσματική επιβολή.

Η Ανασκόπηση του Προμηθευτή Έχει Ημερομηνία Λήξης

Δυστυχώς, μια ανασκόπηση προμηθευτή είναι έγκυρη μόνο για τόσο καιρό. Αυτό έχει άβολα επιπτώσεις για το πώς οι ομάδες ασφαλείας είναι δομημένες. Οι περισσότερες επιτροπές διακυβέρνησης του AI είναι οργανωμένες γύρω από την ανασκόπηση εργαλείων, με προμηθευτές που έρχονται και αξιολογούνται, εγκρίνονται ή απορρίπτονται, για να προστεθούν στο μητρώο. Αυτή η διαδικασία υποθέτει ότι η συμπεριφορά του εργαλείου την ώρα της έγκρισης είναι η συμπεριφορά του εργαλείου στην παραγωγή. Για το εMBEDμένο λογισμικό AI, αυτή η υπόθεση είναι κατεστραμμένη πριν ακόμη η μελάνη στεγνώσει. Ο προμηθευτής θα στείλει ένα νέο μοντέλο, einen νέο τρόπο πράκτορα, μια νέα ενσωμάτωση, και η ανασκόπηση διακυβέρνησης που εγκρίθηκε πριν από έξι μήνες περιγράφει πλέον ένα προϊόν που δεν υπάρχει πλέον.

Εξω από το Εργαλείο, Στο Πρόσωπο της Ταυτότητας

Τα προγράμματα που θα κρατήσουν είναι αυτά που μετακινούν τη διακυβέρνηση από το εργαλείο στην ταυτότητα. Κάθε ενέργεια εναντίον των δεδομένων σας, από οποιοδήποτε ηθοποιό, είναι ιχνηλατήσιμο σε μια ταυτότητα με γνωστό ιδιοκτήτη, ένα εύρος διαπιστευτηρίων, και einen ορισμένο κύκλο ζωής. Αν είναι ανθρώπινος ή μη ανθρώπινος, υπάλληλος ή πράκτορας, εγκεκριμένο εργαλείο ή ενσωματωμένη λειτουργία, το ερώτημα είναι το ίδιο: ποιος είναι αυτό, τι επιτρέπεται να κάνει, και πώς γνωρίζουμε όταν αυτό πρέπει να σταματήσει να είναι αλήθεια; Τα προγράμματα που μπορούν να απαντήσουν αυτά τα ερωτήματα δεν χρειάζονται να κερδίσουν τον αγώνα εγκρίσεων εργαλείων. Τα προγράμματα που δεν μπορούν θα παίζουν τον αγώνα καταδίωξης εναντίον προμηθευτών και υπαλλήλων που στέλνουν πιο γρήγορα από ό,τι οποιαδήποτε διαδικασία ανασκόπησης μπορεί να跟ψει.

Η σκιά του AI ως κατηγορία δεν θα φύγει. Ιδιαίτερα με τη νέα εποχή της εργασίας των πρακτόρων, 72% των οργανώσεων ήδη έχουν πράκτορες AI σε παραγωγή. Αντίθετα, γίνεται ένα μικρότερο μέρος ενός μεγαλύτερου προβλήματος. Οι οργανώσεις που δαπανώνουν τον επόμενο κύκλο προϋπολογισμού σε ανακάλυψη εργαλείων και πολιτική εγκρίσεων είναι αυτές που λύνουν το πρόβλημα του 2024 σε ένα χρονοδιάγραμμα του 2026. Αυτές που δαπανώνουν τον προϋπολογισμό τους στην οργάνωση της ταυτότητας για ανθρώπους, για πράκτορες, για τη συνεχή μετάβαση μεταξύ τους, είναι αυτές που λύνουν το πρόβλημα που θα έχουν πραγματικά.

Η πρώτη κυματική της σκιάς του AI δίδαξε στις ομάδες ασφαλείας ότι δεν μπορούσαν να ξεπεράσουν την περιέργεια των υπαλλήλων. Η δεύτερη κυματική θα τις διδάξει ότι δεν μπορούν να ξεπεράσουν την ταχύτητα των προμηθευτών ή την εφευρετικότητα των υπαλλήλων. Και τα δύο μαθήματα οδηγούν στο ίδιο συμπέρασμα. Η μονάδα διακυβέρνησης δεν θα ήταν ποτέ το εργαλείο. Θα ήταν πάντα η ταυτότητα που ενεργεί μέσα από αυτό.

mm

Ο Roland Palmer είναι ο Chief Information Security Officer (CISO) και Αντιπρόεδρος Ασφαλείας στην JumpCloud.

Ένας αναγνωρισμένος εμπειρογνώμων στην κλιμάκωση παγκόσμιων πλαισίων κινδύνου και συμμόρφωσης, ο Roland εποπτεύει την παγκόσμια στρατηγική ασφαλείας της JumpCloud, εξασφαλίζοντας ότι η πλατφόρμα παραμένει μια ανθεκτική βάση για Intelligent, Secure IT. Με περισσότερα από 20 χρόνια εμπειρίας, ο Roland έχει ένα αποδεδειγμένο ρεκόρ μετασχηματισμού σύνθετων τοπίων κινδύνου σε ουσιαστική επιχειρηματική αξία. Πριν ενταχθεί στην JumpCloud, εργάστηκε για οκτώ χρόνια ως VP Ασφαλείας και Συμμόρφωσης στην Sumo Logic, όπου έκτισε το Παγκόσμιο Κέντρο Επιχειρήσεων Ασφαλείας από το μηδέν και πέτυχε κρίσιες πιστοποιήσεις, συμπεριλαμβανομένων FedRAMP, ISO 27001 και HIPAA.

Ο Roland είναι γνωστός για το πραγматικό, χειροπρακτικό στυλ ηγεσίας του — εξίσου άνετος στην ενημέρωση του Διοικητικού Συμβουλίου όσο και στο να ρίχνει τις μανίκες του στο Κέντρο Επιχειρήσεων Ασφαλείας. Θεωρεί την ασφάλεια όχι ως εμπόδιο, αλλά ως στρατηγικό πλεονέκτημα που, όταν ενσωματώνεται στο υφάσμα ενός προϊόντος, επιταχύνει την ανάπτυξη και δημιουργεί βαθιά εμπιστοσύνη του πελάτη.