أطلقت مبادرة معايير وكلاء الذكاء الاصطناعي التي يقودها معهد المعايير الوطنية الأمريكية (NIST) مرحلة جديدة في تطور الذكاء الاصطناعي في المؤسسات. فهي المرة الأولى التي يعترف فيها أحد أهم الهيئات المعنية بالمعايير رسميًا بالمخاطر والتحديات التي تلاحظها فرق الأمن السيبراني على الأرض منذ فترة طويلة.
ما هي وكلاء الذكاء الاصطناعي؟
الوكيلات الذكية هي كيانات رقمية مستقلة قادرة على اتخاذ إجراءات حقيقية عبر الأنظمة، وقواعد البيانات، وسير العمل التجاري. فهي تتخطى كونها أدوات مساعدة وتصبح عناصر فاعلة تملك القدرة على التفكير والتنفيذ. في بيئة المؤسسات، تتمثل عملية التنفيذ غالبًا في استدعاءات واجهات برمجة التطبيقات (APIs)، التي تربط بين النماذج والأنظمة وتُشغل العمليات بشكل أوتوماتيكي.
أهمية توحيد المعايير الآن
على مر العقود، تطورت حماية البيانات والأمن السيبراني تماشيًا مع التحولات في البنية التحتية التقنية. فبعد ظهور الحواسيب الشخصية، ظهرت حماية الأجهزة النهائية. ومع زيادة الاعتماد على الشبكات، تطورت حماية الشبكات، ثم أصبحت حماية السحابة ضرورة مع انتقال الأعمال إلى بيئات SaaS و IaaS.
اليوم، يمثل وجود وكلاء الذكاء الاصطناعي والاعتماد على بنية API أولية نقطة تحول جديدة. فمعظم التفاعلات الرقمية اليوم تعتمد على APIs، وتشكّل العمود الفقري لعمليات الذكاء الاصطناعي المهمة. ومع ذلك، لا تزال معظم المؤسسات تفتقر إلى فهم واضح لنطاق تعرضها لهذه الواجهات، أو حماية الأنظمة التي تعمل في الظل، أو حماية وقت التشغيل.
مخاطر الوكلاء الذكيين
الوكيلات الذكية لا تشبه الأنظمة الساكنة التقليدية؛ فهي يمكنها التفكير، ربط الإجراءات، والعمل بسرعة غير بشرية. فهي لا تقتصر على استرجاع البيانات، بل يمكنها تعديل الإعدادات، نقل الأموال، تحديث السجلات، أو تشغيل عمليات تلقائية أخرى. هذا يضعها في فئة مخاطر جديدة، تتطلب معايير واضحة للهوية، والتسجيل، والحوكمة، والتكامل الآمن.
بدون معايير موحدة، قد يتحول الوضع إلى فوضى، مع وجود ثغرات أمنية قد تؤدي إلى اختراقات كبيرة للبيانات. وضع معايير مشتركة سيساعد الشركات على مواءمة المصطلحات، وضوابط الأمان، وطرق الاختبار، مع تعزيز فهم أمن الوكيل كمسألة بنيوية.
ما يجب على المؤسسات فعله الآن
لكن وضع المعايير وحده لا يكفي. يجب على المؤسسات أن تتخذ خطوات عملية موازية، منها:
-
رصد كامل لشبكة واجهات برمجة التطبيقات (APIs):
كشفت الدراسات أن العديد من المؤسسات تقلل من حجم مخزون APIs الخاص بها، وتترك العديد منها غير موثقة أو تحت الظل. إذا كان الوكيل يمكنه استدعاؤها، فهي بحاجة إلى اكتشاف وتصنيف وحماية. -
الهوية والأصل:
من الضروري أن تكون هوية الأنظمة غير البشرية واضحة وموثوقة. فبدون هوية واضحة، يمكن أن يُنظر إلى سلوك الوكيل على أنه مجرد سوء استخدام للمصادقة، خاصة وأن 96% من الهجمات الناجحة تعتمد على استغلال وصول شرعي. -
الحوكمة والتوجيه:
يجب أن تتجاوز السياسات الثابتة، إذ يرسل الوكيل كميات هائلة من البيانات بين الأنظمة، ولا يمكن للأدوات التقليدية تفسير ذلك بشكل دقيق. ينبغي اعتماد تقنيات مراقبة سلوكية تتابع تسلسل الطلبات، وحساسية البيانات، والنوايا. -
تصميم آمن خلال دورة حياة التطوير:
يجب أن يكون الأمان جزءًا لا يتجزأ من عملية تطوير الوكلاء، مع وجود سجلات ثابتة، والتحقق أثناء التشغيل، وتطبيق السياسات بشكل دائم، وليس مجرد وعود تسويقية عن “الاستقلالية”.
هل فات الأوان؟
قد يتساءل البعض عما إذا كانت المعايير تأتي متأخرة جدًا، خاصة أن الوكلاء يُطلق عليهم بالفعل في مجالات خدمة العملاء، وتطوير البرمجيات، وعمليات تكنولوجيا المعلومات، وأدوات الإنتاجية الشخصية. في بعض الحالات، تفوق الحماسة القدرات الأساسية للبنية التحتية، مما يهدد الأمن.
لكن، لا تزال الفرصة متاحة للسيطرة على الوضع قبل فوضى الانتشار اللامحدود للوكيلات. الدروس الصعبة من أخطاء الإعداد السحابي، والتعرض لسلسلة التوريد، أظهرت أهمية الأمان المسبق. السرعة في تطبيق الأمان الآن، قبل أن تؤدي أية ثغرة إلى حادثة أمنية كبرى، أمر ضروري.
تحول أعمق في مفهوم الأمان السيبراني
يؤكد مبادرة معايير الوكيل للذكاء الاصطناعي أن APIs لم تعد مجرد بنية خلفية، بل أصبحت جوهر نظام التشغيل في الأعمال الحديثة. فالوكلاء يعززون هذا الواقع، من خلال تحويل كل API إلى هدف محتمل للعملية.
في السابق، كانت النقاط الثلاثة الأساسية للأمن السيبراني تتركز على الأجهزة، الشبكات، والبنية السحابية. أما اليوم، فإن أنظمة API المدعومة بالذكاء الاصطناعي تشكل الركيزة الرابعة. وتوحيد المعايير هو الخطوة الأولى للاعتراف بهذه الحقيقة، تليها عمليات التنفيذ.
الرسالة للمؤسسات
الخلاصة واضحة: لا يمكن إدارة ما لا يمكنك رؤيته. ولا يمكن توسيع استخدام الذكاء الاصطناعي بشكل آمن إلا من خلال تأمين مسارات API التي تمنحه القوة. حان الوقت للمواءمة بين الابتكار والمعايير القابلة للتطبيق، وضوابط الهوية، والحماية أثناء التشغيل، قبل أن تتسبب أول خروقات تعتمد على الوكيل في إثارة الأضواء الإعلامية.