Lideri de opinie

Inteligența Artificială din Umbră a fost o Problemă Ușoară: Riscul Real este reprezentat de Agenții Ascunse în Software-ul Aprobat

mm
Publicat

Acu doi ani în urmă, inteligența artificială din umbră însemna angajați care introduceau date ale clienților în ChatGPT. Soluția, în general, era gestionabilă: descoperiți uneltele, sancționați cele bune, blocați cele rele, instruiți oamenii. Majoritatea organizațiilor se află undeva la mijlocul implementării acestei strategii, unde 61% au întâlnit deja inteligența artificială din umbră în mediile lor și strategia funcționează în mare măsură.

Cu toate acestea, această descriere nu mai caracterizează problema. Inteligența artificială din umbră s-a extins dincolo de o problemă de comportament și a devenit o problemă arhitecturală. Guvernanța tradițională nu poate ține pasul cu peisajul modern, care include agenți de inteligență artificială încorporați de furnizori și agenți conectați de angajați în sisteme aprobate, cu credențiale moștenite, făcând identitatea singurul punct de control real.

Cele Două Umbre pe Care Nu le Urmați

Întrebarea interesantă în 2026 nu este care este uneltele de inteligență artificială deschise de un angajat. Este care este agentul de inteligență artificială pe care furnizorul dvs. l-a introdus în mod tacit în actualizarea produsului din ultimul trimestru și ce permisiuni a moștenit de la omul care l-a instalat.

Inteligența artificială din umbră era o întrebare de comportament. Puteați să o vedeți, să o numiți și să creați o politică împotriva ei. Versiunea care se răspândește acum este structurală. Apare prin software-ul pe care l-ați aprobat deja, acționând sub credențiale pe care le-ați emis deja, în fluxuri de lucru pe care le-ați auditat deja. Umbra nu mai este comportamentală, ci arhitecturală. Angajații sunt încă în imagine, dar s-au mutat de la utilizarea inteligenței artificiale la conectarea ei: conectarea agenților în sistemele la care au acces deja și facând acest lucru prin interfețe proiectate pentru a face acest lucru simplu. Politicile scrise pentru primul comportament nu ajung la al doilea.

Acesta este motivul pentru care “interziceți-o” nu a fost niciodată o dezbatere reală. CISO-urile care au ieșit înainte în ceea ce privește inteligența artificială din umbră, sancționând uneltele enterprise și îndreptând angajații către alternative guvernate, au câștigat acea rundă și au descoperit că următoarea rundă era deja în desfășurare și că avea două vectori, nu unul. Primul este ceea ce furnizorii sancționați introduc în produsele care sunt deja în producție: modele încorporate, moduri agenților, noi integrări care au apărut într-o notă de lansare pe care nimeni nu a citit-o. Al doilea este ceea ce angajații își conectează singuri: un LLM conectat la CRM prin automatizare fără cod, un GPT personalizat care a primit o cheie API pentru depozitul de date, o conexiune MCP de la un asistent de birou într-un sistem de producție. Ambele produc același rezultat, care include agenți care acționează sub credențiale aprobate, împotriva sistemelor aprobate, în fluxuri de lucru care nu au trecut niciodată printr-o revizuire proiectată pentru a le prinde. Procurarea poate vedea primul vector și poate pierde complet al doilea.

Este important să fim onești în ceea ce privește cât de inegal a fost câștigată prima rundă. Nouă din zece organizații plănuiesc creșteri ale bugetului IT legate de inteligență artificială, cu multe planificând extinderea mai largă a operațiunilor IT în următorii 6-24 de luni. Cheltuielile sunt direcționate către capacități inteligente. Controalele sunt în urmărire, cu pași mici. Această neconcordanță este problema, nu un efect secundar al acesteia.

Perimetrul a Fost Întotdeauna Uman

Modelul mental care a funcționat pentru prima undă nu funcționează pentru aceasta. Inteligența artificială din umbră ca comportament al angajatului presupunea un om în buclă, luând o decizie pe care echipa de securitate o putea influența. Inteligența artificială din umbră ca arhitectură a furnizorului elimină acea alegere. Modelul care a redactat e-mailul, agentul care a programat întâlnirea, asistentul care a rezumat documentul și l-a direcționat mai departe. Niciunul dintre acestea nu a necesitat ca un angajat să facă altceva decât să continue să utilizeze software-ul pe care li s-a spus să-l folosească.

Răspunsul onest este că perimetrul pe care îl apără majoritatea programelor de securitate este un perimetru al acțiunii umane. Angajații deschid unelte, angajații acordă acces, angajații iau decizii pe care echipa de securitate le poate observa și modela. Acest perimetru se dizolvă în două direcții deodată. De sus, furnizorii introduc agenți în produsele aprobate mai repede decât orice proces de revizuire poate ține pasul. De jos, angajații ies din rolul de utilizator și intră în rolul de integrator, conectând agenți în sisteme prin interfețe care au fost proiectate pentru a fi auto-deservite și care nu au fost instrumentate pentru guvernanță. Perimetrul de înlocuire, construit în jurul a ceea ce identitățile fac, indiferent dacă aceste identități sunt oameni sau nu, și indiferent cine le-a implementat, necesită o pânză de control pe care majoritatea organizațiilor nu o au încă.

Singurul Loc Rămas în Care Puteți Căuta

Identitatea este punctul de control corect, dar cadrul trebuie să se schimbe. Formularea convențională spune “identitatea este noul perimetru” pentru că utilizatorii sunt peste tot, dispozitivele sunt peste tot și SaaS-ul este peste tot. Acest lucru era adevărat acum un deceniu, acum este o chestiune de bază. Versiunea care contează în 2026 este diferită: identitatea este singurul loc în care puteți vedea ce face inteligența artificială, deoarece, până când o face, limitele uneltei au fost deja depășite. Agentul acționează sub credențialele cuiva. A cui, cu ce scop, împotriva căror date, pe baza cui sunt singurele întrebări care produc un registru de audit util. Guvernanța la nivel de unelte nu poate răspunde la aceste întrebări, deoarece uneltele nu mai sunt unitatea de analiză.

Aproape 90% dintre liderii IT recunosc deja că unificarea are un impact direct asupra capacității lor de a implementa și a scala inteligența artificială în mod sigur. Întrebarea mai grea este ce înseamnă de fapt unificarea la nivelul de control. Nu poate însemna doar mai puține panouri de control. Înseamnă o singură pânză de identitate în care fiecare actor, fie el uman, cont de serviciu, agent, model încorporat, este alocat, încadrat, monitorizat și retras prin aceeași set de mecanisme. Orice lucru mai puțin decât acesta vă oferă aparența guvernanței consolidate, când de fapt este doar aplicarea fragmentată.

Revizuirea Dvs. de Furnizor Are o Dată de Expirare

Din nefericire, o revizuire a furnizorului este valabilă doar pentru o perioadă de timp. Acest lucru are implicații neplăcute pentru modul în care sunt structurate programele de securitate. Majoritatea comitetelor de guvernanță a inteligenței artificiale sunt organizate în jurul revizuirii uneltei, cu furnizori care vin și sunt evaluați, sancționați sau respinși, pentru a fi adăugați la registru. Acest proces presupune că comportamentul uneltei la momentul sancționării este comportamentul uneltei în producție. Pentru software-ul încorporat cu inteligență artificială, această presupunere este întreruptă înainte de a se usca cerneala. Furnizorul va lansa un nou model, un nou mod de agent, o nouă integrare, și revizuirea de guvernanță care a fost aprobată cu șase luni în urmă descrie acum un produs care nu mai există.

De pe Unea, pe Identitate

Programele care vor rezista sunt cele care mută guvernanța de pe unelte pe identitate. Fiecare acțiune împotriva datelor dvs., de orice actor, este trasabilă la o identitate cu un proprietar cunoscut, un set de permisiuni încadrate și o durată de viață definită. Indiferent dacă este uman sau nu, angajat sau agent, unelte sancționate sau moduri încorporate, întrebarea este aceeași: cine este acesta, ce sunt permise să facă și cum știm când ar trebui să înceteze să fie adevărat? Programele care pot răspunde la aceste întrebări nu au nevoie să câștige cursa sancționării uneltei. Programele care nu pot vor juca din urmă furnizorilor și angajaților care livrează mai repede decât orice proces de revizuire poate mișca.

Inteligența artificială din umbră, ca categorie, nu va dispărea. În special, cu noua eră a forței de muncă agenților, 72% dintre organizații au deja agenți de inteligență artificială în producție. În schimb, devine o parte mai mică a unei probleme mai mari. Organizațiile care cheltuiesc următorul ciclu de buget pe descoperirea uneltei și pe politica de sancționare sunt cele care rezolvă problema din 2024 pe o cronologie din 2026. Cele care cheltuiesc pe instrumentarea la nivel de identitate pentru oameni, pentru agenți, pentru continuumul între ei, sunt cele care rezolvă problema pe care o vor avea de fapt.

Prima undă de inteligență artificială din umbră a învățat echipele de securitate că nu pot fugi de curiozitatea angajaților. A doua undă le va învăța că nu pot fugi de viteza furnizorilor sau de ingeniozitatea angajaților. Ambele lecții duc la aceeași concluzie. Unitatea de guvernanță nu a fost niciodată uneltele. A fost întotdeauna identitatea care acționează prin ea.

mm

Roland Palmer este Directorul Executiv al Securității Informaționale (CISO) și Vicepreședinte al Securității la JumpCloud.

Un expert recunoscut în scalarea cadrului global de risc și conformitate, Roland supraveghează strategia globală de securitate a JumpCloud, asigurându-se că platforma rămâne o bază rezilientă pentru IT Inteligent și Sigur. Cu peste 20 de ani de experiență, Roland are o experiență dovedită în transformarea peisajelor complexe de risc în valoare comercială tangibilă. Înainte de a se alătura JumpCloud, el a petrecut opt ani ca VP de Securitate și Conformitate la Sumo Logic, unde a construit Centrul Global de Operațiuni de Securitate de la zero și a obținut certificări critice, inclusiv FedRAMP, ISO 27001 și HIPAA.

Roland este cunoscut pentru stilul său de conducere pragmatic și practic—la fel de confortabil în prezentarea rapoartelor către Consiliul de Administrație, cât și în a-și lua măsuri practice în SOC. El consideră securitatea nu ca o piedică, ci ca un avantaj strategic care, atunci când este integrat în țesătura unui produs, accelerează creșterea și promovează o încredere profundă a clienților.