Các AI Agent đang thúc đẩy tốc độ hoàn thành công việc. Chúng lên lịch họp, truy cập dữ liệu, kích hoạt quy trình làm việc, viết code và thực hiện các hành động theo thời gian thực, đẩy năng suất vượt xa tốc độ của con người trong toàn doanh nghiệp.
Sau đó là khoảnh khắc mà mọi nhóm security cuối cùng cũng gặp phải:
“Khoan đã… ai đã phê duyệt cái này?”
Không giống như người dùng hay ứng dụng, các AI Agent thường được triển khai nhanh chóng, chia sẻ rộng rãi và được cấp quyền truy cập rộng, khiến việc truy vết quyền sở hữu, phê duyệt và trách nhiệm giải trình trở nên khó khăn. Một câu hỏi từng rất đơn giản giờ lại khó trả lời một cách đáng ngạc nhiên.
AI Agent phá vỡ các mô hình truy cập truyền thống
AI Agent không chỉ là một loại người dùng khác. Chúng khác biệt cơ bản so với cả con người và service account truyền thống, và chính những khác biệt đó đã phá vỡ các mô hình truy cập và phê duyệt hiện có.
Quyền truy cập của con người được xây dựng dựa trên mục đích rõ ràng. Các quyền được gắn với một vai trò, được xem xét định kỳ và bị ràng buộc bởi thời gian và ngữ cảnh. Service account, mặc dù không phải con người, thường được xây dựng cho mục đích cụ thể, phạm vi hẹp và gắn với một ứng dụng hoặc chức năng nhất định.
AI Agent thì khác. Chúng hoạt động với quyền hạn được ủy thác và có thể hành động thay mặt nhiều người dùng hoặc nhóm mà không cần sự tham gia liên tục của con người. Khi đã được ủy quyền, chúng tự chủ, tồn tại liên tục và thường hoạt động trên nhiều hệ thống, di chuyển giữa các hệ thống và nguồn dữ liệu khác nhau để hoàn thành nhiệm vụ từ đầu đến cuối.
Trong mô hình này, quyền truy cập được ủy thác không chỉ tự động hóa các hành động của người dùng mà còn mở rộng chúng. Người dùng bị giới hạn bởi các quyền được cấp rõ ràng, nhưng các AI Agent thường được cấp quyền truy cập rộng hơn, mạnh hơn để hoạt động hiệu quả. Kết quả là, agent có thể thực hiện các hành động mà bản thân người dùng chưa bao giờ được ủy quyền. Một khi quyền truy cập đó tồn tại, agent có thể hành động – ngay cả khi người dùng không có ý định thực hiện hành động đó, hoặc không biết điều đó là có thể, agent vẫn có thể thực thi nó. Kết quả là, agent có thể tạo ra rủi ro – đôi khi vô tình, đôi khi ngầm định, nhưng luôn hợp lệ từ góc độ kỹ thuật.
Đây là cách xảy ra access drift. Các agent âm thầm tích lũy quyền khi phạm vi của chúng mở rộng. Các tích hợp được thêm vào, vai trò thay đổi, các nhóm đến rồi đi, nhưng quyền truy cập của agent vẫn còn. Chúng trở thành một bên trung gian mạnh mẽ với các quyền rộng, tồn tại lâu dài và thường không có chủ sở hữu rõ ràng.
Không có gì ngạc nhiên khi các giả định về IAM hiện có bị phá vỡ. IAM giả định một danh tính rõ ràng, một chủ sở hữu được xác định, các vai trò tĩnh và các đánh giá định kỳ tương ứng với hành vi của con người. Các AI Agent không tuân theo những mô hình đó. Chúng không phù hợp một cách gọn gàng vào các danh mục người dùng hoặc service account, chúng hoạt động liên tục và quyền truy cập hiệu quả của chúng được xác định bởi cách chúng được sử dụng, chứ không phải cách chúng được phê duyệt ban đầu. Nếu không suy nghĩ lại những giả định này, IAM sẽ trở nên mù mờ trước rủi ro thực sự mà các AI Agent mang lại.
Ba loại AI Agent trong doanh nghiệp
Không phải tất cả các AI Agent đều mang cùng một mức độ rủi ro trong môi trường doanh nghiệp. Rủi ro thay đổi dựa trên chủ sở hữu của agent, mức độ sử dụng rộng rãi và quyền truy cập của nó, dẫn đến các danh mục riêng biệt với các ý nghĩa về security, trách nhiệm giải trình và blast-radius rất khác nhau:
Personal Agent (thuộc sở hữu người dùng)
Personal Agent là trợ lý AI được sử dụng bởi các cá nhân nhân viên để hỗ trợ các tác vụ hàng ngày. Chúng soạn thảo nội dung, tóm tắt thông tin, lên lịch họp hoặc hỗ trợ coding, luôn trong ngữ cảnh của một người dùng duy nhất.
Các agent này thường hoạt động trong phạm vi quyền hạn của người dùng sở hữu chúng. Quyền truy cập của chúng được kế thừa, không được mở rộng. Nếu người dùng mất quyền truy cập, agent cũng vậy. Vì quyền sở hữu rõ ràng và phạm vi giới hạn, blast-radius tương đối nhỏ. Rủi ro gắn trực tiếp với từng người dùng, khiến Personal Agent dễ hiểu, dễ quản lý và khắc phục nhất.
Third-Party Agent (thuộc sở hữu nhà cung cấp)
Third-Party Agent được tích hợp vào các nền tảng SaaS và AI, do các nhà cung cấp cung cấp như một phần của sản phẩm của họ. Các ví dụ bao gồm các tính năng AI được nhúng vào hệ thống CRM, công cụ cộng tác hoặc nền tảng security.
Các agent này được quản lý thông qua các kiểm soát của nhà cung cấp, hợp đồng và mô hình trách nhiệm chia sẻ. Mặc dù khách hàng có thể có khả năng hiển thị hạn chế về cách chúng hoạt động nội bộ, trách nhiệm giải trình được xác định rõ ràng: nhà cung cấp sở hữu agent.
Mối quan tâm chính ở đây là rủi ro chuỗi cung ứng AI: tin tưởng rằng nhà cung cấp bảo mật các agent của họ một cách thích hợp. Nhưng từ góc độ doanh nghiệp, quyền sở hữu, đường dẫn phê duyệt và trách nhiệm thường được hiểu rõ.
Organizational Agent (chia sẻ và thường không có chủ sở hữu)
Organizational Agent được triển khai nội bộ và chia sẻ giữa các nhóm, quy trình làm việc và trường hợp sử dụng. Chúng tự động hóa các quy trình, tích hợp hệ thống và hoạt động thay mặt nhiều người dùng. Để hoạt động hiệu quả, các agent này thường được cấp quyền rộng rãi, tồn tại lâu dài và vượt quá quyền truy cập của bất kỳ người dùng đơn lẻ nào.
Đây là nơi rủi ro tập trung. Các Organizational Agent thường không có chủ sở hữu rõ ràng, không có người phê duyệt duy nhất và không có vòng đời xác định. Khi có sự cố, không rõ ai chịu trách nhiệm hoặc thậm chí ai hiểu rõ hoàn toàn những gì agent có thể làm.
Do đó, Organizational Agent đại diện cho rủi ro cao nhất và blast-radius lớn nhất, không phải vì chúng độc hại, mà vì chúng hoạt động ở quy mô lớn mà không có trách nhiệm giải trình rõ ràng.
Vấn đề Agentic Authorization Bypass
Như chúng tôi đã giải thích trong bài viết của mình, các agent tạo ra các đường dẫn authorization bypass, AI Agent không chỉ thực hiện nhiệm vụ, chúng còn hoạt động như các trung gian truy cập. Thay vì người dùng tương tác trực tiếp với hệ thống, các agent hoạt động thay mặt họ, sử dụng thông tin xác thực, token và các tích hợp của riêng chúng. Điều này làm thay đổi nơi các quyết định ủy quyền thực sự diễn ra.
Khi các agent hoạt động thay mặt người dùng cá nhân, chúng có thể cung cấp cho người dùng quyền truy cập và khả năng vượt quá các quyền được phê duyệt của người dùng. Một người dùng không thể truy cập trực tiếp dữ liệu nhất định hoặc thực hiện các hành động cụ thể vẫn có thể kích hoạt một agent có thể làm được. Agent trở thành một proxy, cho phép các hành động mà người dùng không bao giờ có thể tự thực hiện.
Những hành động này được ủy quyền về mặt kỹ thuật – agent có quyền truy cập hợp lệ. Tuy nhiên, chúng không an toàn về mặt ngữ cảnh. Các kiểm soát truy cập truyền thống không kích hoạt bất kỳ cảnh báo nào vì thông tin xác thực là hợp lệ. Đây là cốt lõi của authorization bypass của agent: quyền truy cập được cấp chính xác, nhưng được sử dụng theo những cách mà các mô hình security chưa bao giờ được thiết kế để xử lý.
Suy nghĩ lại về rủi ro: Điều gì cần thay đổi
Bảo mật AI Agent đòi hỏi một sự thay đổi cơ bản trong cách định nghĩa và quản lý rủi ro. Các agent không thể được coi là phần mở rộng của người dùng hoặc là các quy trình tự động hóa nền. Chúng phải được coi là các thực thể nhạy cảm, có khả năng rủi ro cao với danh tính, quyền hạn và hồ sơ rủi ro riêng.
Điều này bắt đầu bằng quyền sở hữu và trách nhiệm giải trình rõ ràng. Mỗi agent phải có một chủ sở hữu được xác định chịu trách nhiệm về mục đích, phạm vi truy cập và việc xem xét liên tục của nó. Nếu không có quyền sở hữu, việc phê duyệt sẽ vô nghĩa và rủi ro vẫn không được quản lý.
Quan trọng là, các tổ chức cũng phải lập bản đồ cách người dùng tương tác với các agent. Không đủ để hiểu một agent có thể truy cập những gì; các nhóm security cần khả năng hiển thị về những người dùng nào có thể gọi một agent, trong những điều kiện nào và với những quyền hạn hiệu quả nào. Nếu không có bản đồ kết nối người dùng-agent này, các agent có thể âm thầm trở thành các đường dẫn authorization bypass, cho phép người dùng gián tiếp thực hiện các hành động mà họ không được phép thực hiện trực tiếp.
Cuối cùng, các tổ chức phải lập bản đồ quyền truy cập, tích hợp và đường dẫn dữ liệu của agent trên các hệ thống. Chỉ bằng cách tương quan người dùng → agent → hệ thống → hành động, các nhóm mới có thể đánh giá chính xác blast-radius, phát hiện lạm dụng và điều tra đáng tin cậy các hoạt động đáng ngờ khi có sự cố xảy ra.
Chi phí của các Organizational AI Agent không được kiểm soát
Các Organizational AI Agent không được kiểm soát biến lợi ích năng suất thành rủi ro hệ thống. Được chia sẻ giữa các nhóm và được cấp quyền truy cập rộng, liên tục, các agent này hoạt động mà không có quyền sở hữu hoặc trách nhiệm giải trình rõ ràng. Theo thời gian, chúng có thể được sử dụng cho các nhiệm vụ mới, tạo ra các đường dẫn thực thi mới và hành động của chúng trở nên khó theo dõi hoặc kiểm soát hơn. Khi có sự cố xảy ra, không có chủ sở hữu rõ ràng để phản hồi, khắc phục hoặc thậm chí hiểu rõ blast-radius đầy đủ. Nếu không có khả năng hiển thị, quyền sở hữu và kiểm soát truy cập, Organizational AI Agent trở thành một trong những yếu tố nguy hiểm nhất và ít được quản lý nhất trong bối cảnh security doanh nghiệp.
Để tìm hiểu thêm, hãy truy cập https://wing.security/
