Tankeledare

Agentic AI förvandlar NHI-spridning till en ogovernabel angreppsyta

mm
Publicerad

Moderna molnmiljöer byggs på tusentals icke-mänskliga behörigheter som tyst håller kraftfull åtkomst och sällan får den granskning de förtjänar. Servicekonton, API-nycklar, OAuth-token och andra icke-mänskliga behörigheter autentiserar tyst applikationsbeteende, men är ofta dåligt inventerade, sällan roterade och svåra att styra. Mandiants M-Trends 2026-rapport, som bygger på mer än 450 000 timmars incidenthantering, bekräftar vad många säkerhetsteam har misstänkt i år: dessa maskinidentiteter har blivit en primär attackvektor i molnbrott. Hotaktörer samlar in långlivade OAuth-token, komprometterar tredjeparts-SaaS-leverantörer för att stjäla hårdkodade nycklar och använder sedan dessa hemligheter för att pivotera i miljöer för storskalig datastöld. Fyndet överraskar inte någon som följer detta område, men vad som är alarmerande för dessa praktiker är vad som läggs till på problemet. Organisationer som kämpar för att styra servicekonton de redan har samtidigt distribuerar agentic AI-system som skapar nya icke-mänskliga identiteter i en takt som pre-AI-styrningsprocesser aldrig var avsedda att hantera. Den kollisionen, mellan ett känt problem och en ny accelererande faktor, är där exponeringen finns.

Aritmetiken för icke-mänsklig identitetsspridning

Förhållandena är svåra att acceptera tills du går igenom matematiken. En annan nyligen publicerad studie tidigare i år fann att icke-mänskliga identiteter överstiger mänskliga användare 82-till-1 i företagsmiljöer. I deras Identity Security Outlook 2026-rapport rapporterade ManageEngine att nästan hälften av de organisationer de undersökte såg förhållanden över 100-till-1, med vissa sektorer som nådde 500-till-1. Mellan H1 2024 och H1 2025 alone såg den genomsnittliga företaget en 44-procentig ökning av NHI-volymen.

Spridningen av icke-mänskliga identiteter i företagsmiljöer var redan på gång innan agentic AI-system blev allmänt. Denna tillväxt drevs i huvudsak av övergången till molnberäkning, antagandet av mikrotjänstarkitektur och den ökade integreringen av SaaS-plattformar. Agentic AI lägger dock inte bara till denna befintliga utmaning på ett linjärt sätt. Det kommer att fundamentalt förändra takten och omfattningen av problemet i framtiden. Varje agent som distribueras för att autonomt undersöka larm, orkestrera arbetsflöden eller komma åt dataarkiv kräver sin egen identitetsinfrastruktur. Som ett resultat upplever organisationer en snabb ökning av antalet behörigheter, åtkomsttoken och behörighetsomfattningar, samt uppkomsten av underagenter som besitter sina egna identitetskedjor. Följaktligen kommer traditionella verktyg sannolikt inte längre att kunna spåra eller kvantifiera antalet aktiva icke-mänskliga identiteter inom en organisation vid en given tidpunkt.

Varför detta är ett hotinformationsproblem

Angreppsytoritetiken förändras när agenter är inblandade. En angripare som komprometterar ett privilegerat mänskligt konto har fått åtkomst till en identitet. En angripare som får åtkomst till en felkonfigurerad agentbehörighet, eller förgiftar data som en agent resonerar över, eller injicerar instruktioner i en agents ingångspipeline, ärver behörigheterna för ett autonomt system anslutet till dussintals nedströms tjänster.

Incidenterna materialiseras redan. 2025 avslöjade AppOmni CVE-2025-12420 i ServiceNow:s Virtual Agent-integration, en svaghet som tillät oautentiserade angripare att utge sig för att vara valfri användare med endast en e-postadress, kringgå MFA och SSO för att köra AI-agenter med administrativa behörigheter. OpenClaw-sårbarheterna som uppstod i början av 2026, som påverkade ett öppen-källkods-AI-agent-ramverk med över 135 000 GitHub-stjärnor, visade att en skadlig webbplats kunde kapning en utvecklares AI-agent utan att kräva några tillägg eller användarinteraktion. Mandiants eget fallarbete dokumenterade hotaktören UNC6395 som stal OAuth-token från en SaaS-leverantörs Salesforce-integration för att komma åt kundmiljöer i mer än 700 organisationer.

Explosionsradien för en identitetskompromiss är inte längre begränsad till vad en person kan komma åt. Den är begränsad till vad en agent var auktoriserad att göra, vilket i många produktionsdistributioner idag innebär att den inte är praktiskt begränsad alls.

Styrningsgapet är arkitektoniskt

Cloud Security Alliance och Strata Identity undersökte säkerhetsledare i slutet av 2025 och fann att endast 18% uttryckte hög tillförsikt att deras IAM-verktyg kunde hantera agentidentiteter. Endast 28% kunde spåra agentåtgärder tillbaka till en mänsklig sponsor i alla miljöer. De främsta problemen som driver investeringar berättar historien: känslig dataexponering (55%), obehöriga åtgärder (52%), behörighetsmissbruk (45%) och oförmågan att upptäcka eller registrera agenter (40%).

Dessa siffror beskriver en miljö där säkerhetsteam vet att agenter körs men inte kan tillförlitligt svara på vem som äger dem, vad de är auktoriserade att komma åt, vad de har kommit åt eller hur man återkallar deras behörigheter på ett rent sätt. Identitetsramverken som utgör grunden för de flesta företags säkerhetsprogram antar förmågan att attribuera åtgärder till en huvudman. När en agent genererar en underagent, som kedjar en annan åtgärd, som utlöser ett tredje system, blir attribueringen ett grafproblem snarare än en uppslag. De flesta organisationer har inte verktygen för att traversera den grafen.

Ciscos State of AI Security 2026-rapport kvantifierade förberedelsegapet från den andra riktningen: medan de flesta organisationer planerade att distribuera agentic AI, rapporterade endast 29% att de var förberedda att säkra dessa distributioner. De återstående 71% saknar förberedelser inte för att angrepp är hypotetiska, utan för att angreppen inte liknar vad befintliga verktyg var avsedda att fånga.

Problemet med takten

Organisationer som kommer att hantera detta bäst är de som behandlar agentidentitet med samma livscykel-disciplin som de tillämpar på privilegerade mänskliga konton. Specifikt, definierad ägarskap, minst-privilegierad omfattning, rotations scheman och en trovärdig avstängningsknapp. Maskinhastighetsidentitetsskapande kan inte styras av mänsklig-hastighetsgodkännandeprocesser. Styrningsverktygen behöver fungera i samma takt som distributionsverktygen. För de flesta organisationer finns inte det verktyget i produktion. Vad som saknas är inte medvetenhet om att icke-mänskliga identiteter är en risk. Det är styrningsinfrastruktur som kan fungera i samma urtakt som systemen som skapar dessa identiteter. Varje vecka som gapet består, ökar avståndet mellan vad säkerhetsteam kan se och vad som faktiskt körs med en generation av agentdistributioner.

mm

Josh Taylor Àr en ledande cybersÀkerhetsanalytiker pÄ det globala cybersÀkerhetsföretaget Fortra med omfattande erfarenhet av cybersÀkerhetsoptimering och strategi. Han specialiserar sig pÄ att utnyttja dataanalys och mÀnniskocentrerade försvarsstrategier för att skapa proaktiva och resilienta sÀkerhetsmiljöer. Josh Àr ocksÄ en nyligen examinerad student frÄn UC Berkeley's Master of Information and Cybersecurity (MICS) program.