يمثل إطلاق مبادرة معايير وكيل الذكاء الاصطناعي التابعة لـ NIST لحظة محورية في تطور الذكاء الاصطناعي للمؤسسات. لأول مرة، تعترف إحدى هيئات المعايير الأكثر تأثيرًا في العالم رسميًا بما كانت الفرق الأمنية تراه على الأرض منذ بعض الوقت.
مدير استراتيجية الأمن السيبراني في شركة سولت سيكيوريتي.
لقد انتقل التقييس إلى ما هو أبعد من كونه مفيدًا؛ في هذه المرحلة، فمن الضروري.
يستمر المقال أدناه
يعمل وكلاء الذكاء الاصطناعي فيما يمكن وصفه بطبقة عمل الوكيل، أو الواجهة التي تتصل فيها النماذج بواجهات برمجة التطبيقات لاسترداد البيانات، وتشغيل سير العمل، والتفاعل مع الأنظمة الأخرى. وهنا يتحول المنطق إلى التنفيذ. والتنفيذ، في بيئات المؤسسات، يعني استدعاءات واجهة برمجة التطبيقات (API).
لماذا يعتبر التوحيد مهم الآن؟
تاريخيًا، تطور الأمن السيبراني جنبًا إلى جنب مع التحولات الهيكلية. ظهر أمان نقطة النهاية بعد الحوسبة الشخصية. نما أمان الشبكة مع اتصال المؤسسات. أصبح الأمان السحابي أمرًا لا غنى عنه مع انتقال أعباء العمل إلى بيئات SaaS وIaaS.
واليوم، يمثل وكلاء الذكاء الاصطناعي وبنيات واجهة برمجة التطبيقات (API-first) نقطة انعطاف مماثلة. تعمل واجهات برمجة التطبيقات الآن على تشغيل غالبية التفاعلات الرقمية وتدعم كل سير عمل هادف يعتمد على الذكاء الاصطناعي. ومع ذلك، لا تزال معظم المؤسسات غير قادرة على الإجابة بثقة على الأسئلة الأساسية حول تعرضها لواجهة برمجة التطبيقات (API)، أو نقاط نهاية الظل، أو وسائل الحماية في وقت التشغيل.
تشير مبادرة NIST إلى الاعتراف بأن عملاء الذكاء الاصطناعي يقدمون ملف تعريف متميز للمخاطر. على عكس الأنظمة السلبية، يمكن للوكلاء التفكير وتسلسل الإجراءات والعمل بسرعة الآلة. إنه أكثر من مجرد الوصول إلى البيانات؛ يمكنهم تغيير التكوينات، ونقل الأموال، وتحديث السجلات، وتشغيل الأتمتة النهائية.
وبدون معايير حول الهوية والتسجيل والحوكمة والتكامل الآمن، ستكون النتيجة فوضوية في أحسن الأحوال ومجزأة ومليئة بالنقاط العمياء مما يؤدي إلى انتهاكات أكثر خطورة للبيانات في أسوأ الأحوال.
ستساعد خطوط الأساس المشتركة البائعين على التوافق بشأن المصطلحات والضوابط ومنهجيات الاختبار. والأهم من ذلك، أنها ستساعد CISOs على تأطير أمن الوكيل كمسألة هيكلية.
ما تحتاج المنظمات إلى القيام به الآن
والأهم من ذلك أن المعايير وحدها لن تسد هذه الفجوة. يتعين على الشركات التي تتبنى الذكاء الاصطناعي الوكيل أن تعمل بالتوازي.
أولاً، يجب عليهم إنشاء رؤية كاملة لنسيج API الخاص بهم. تُظهر أبحاثنا باستمرار أن المؤسسات تقلل من تقدير مخزون واجهات برمجة التطبيقات (API) الخاصة بها، مما يترك واجهات برمجة التطبيقات (APIs) غير الموثقة أو “الظل” مكشوفة. إذا كان بإمكان وكيل الذكاء الاصطناعي الاتصال به، فيجب اكتشافه وتصنيفه وإدارته.
ثانياً، يجب أن تصبح الهوية والأصل حجر الزاوية عندما يتعلق الأمر بالهويات غير البشرية. وبدون هوية واضحة للآلة، لا يمكن تمييز “سلوك الوكيل” عن إساءة الاستخدام الموثقة.
في عالم حيث 96% من الهجمات الناجحة تنطوي على إساءة استخدام الوصول المشروع، فإن منح نظام مستقل أذونات قراءة/كتابة واسعة النطاق دون تصميم صارم للامتيازات الأقل يمثل خطرًا هيكليًا.
ثالثا، يجب أن تتحرك الإدارة إلى ما هو أبعد من السياسة الثابتة. يقوم الوكلاء بإنشاء حركة مرور كبيرة الحجم من جهاز إلى جهاز لا تستطيع أدوات الشبكة ونقاط النهاية التقليدية تفسيرها في طبقة منطق الأعمال. تحتاج المؤسسات إلى مراقبة سلوكية تتفهم تسلسل استدعاءات واجهة برمجة التطبيقات (API)، وحساسية البيانات والغرض منها، وليس فقط الحزم والمنافذ.
وأخيرًا، يجب أن يصبح التصميم الآمن جزءًا من دورة حياة تطوير الوكيل. إن “استقلالية” التسويق دون التسجيل غير القابل للتغيير والتحقق من صحة وقت التشغيل وإنفاذ السياسات ليست ابتكارًا. إنه التعرض.
هل انسحب الحصان بالفعل؟
ومن العدل أن نتساءل ما إذا كان توحيد المعايير قد وصل بعد فوات الأوان. يتم بالفعل نشر وكلاء الذكاء الاصطناعي في دعم العملاء وتطوير البرمجيات وعمليات تكنولوجيا المعلومات وأدوات الإنتاجية الشخصية. في بعض الحالات، كما رأينا مع منصات الوكلاء المبكرة، تجاوز الحماس أساسيات البنية التحتية.
ولكن هذه ليست قضية خاسرة. ولا تزال نافذة الحوكمة الاستباقية مفتوحة.
على عكس موجات التكنولوجيا السابقة، أصبحت المؤسسات تدرك الآن تكلفة تحديث الأمان. لقد قدمت أزمات التكوين الخاطئ للسحابة وتسويات سلسلة التوريد دروسًا صعبة. الفرق مع الذكاء الاصطناعي الوكيل هو السرعة. الحكم الذاتي يقيس المخاطر. عندما تقوم بإزالة الإنسان من الحلقة، فإنك تقوم بإزالة حارس البوابة اليدوي.
ولذلك، لا ينبغي لنا أن ننظر إلى مبادرة NIST باعتبارها جهداً للتنظيف، بل باعتبارها دعوة لإضفاء الطابع الرسمي على الضوابط قبل أن يصبح توسع الوكلاء خارج نطاق السيطرة.
التحول الأكبر
وعلى نطاق أوسع، تعزز مبادرة معايير وكيل الذكاء الاصطناعي حقيقة أعمق مفادها أن واجهات برمجة التطبيقات لم تعد بمثابة سباكة خلفية. هم نظام التشغيل للأعمال الحديثة. يعمل وكلاء الذكاء الاصطناعي على تضخيم هذا الواقع من خلال تحويل كل واجهة برمجة تطبيقات إلى نقطة عمل محتملة.
إذا كانت نقاط النهاية والشبكات والبنية التحتية السحابية هي التي تحدد الركائز الثلاث الأولى للأمن السيبراني، فإن الأنظمة البيئية لواجهة برمجة التطبيقات التي تعتمد على الذكاء الاصطناعي هي التي تحدد الركائز الرابعة. والتوحيد هو الخطوة الأولى في الاعتراف بهذه الحقيقة. يجب أن يتبع التنفيذ.
بالنسبة للمنظمات، الرسالة واضحة. لا يمكنك التحكم في ما لا يمكنك رؤيته. لا يمكنك توسيع نطاق الذكاء الاصطناعي بأمان دون تأمين مسارات واجهة برمجة التطبيقات التي تمنحه القوة. لقد حان الوقت الآن لمواءمة الابتكار مع المعايير القابلة للتنفيذ، وضوابط الهوية، وحماية وقت التشغيل، وليس بعد ظهور أول خرق يحركه الوكيل في عناوين الأخبار.
لقد عرضنا أفضل برامج التشفير.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات