Các AI agent đã nhanh chóng chuyển từ các công cụ thử nghiệm thành những thành phần cốt lõi trong quy trình làm việc hàng ngày của các bộ phận security, engineering, IT và operations. Khởi đầu là các công cụ hỗ trợ năng suất cá nhân, như các code assistants, chatbots và copilots, chúng đã phát triển thành các agent được chia sẻ trên toàn tổ chức, nhúng vào các quy trình quan trọng. Các agent này có thể điều phối quy trình làm việc trên nhiều hệ thống, ví dụ:
- Một HR Agent cấp phát hoặc thu hồi tài khoản trên các nền tảng IAM, ứng dụng SaaS, VPNs và cloud dựa trên các cập nhật từ hệ thống HR.
- Một Change Management Agent xác thực yêu cầu thay đổi, cập nhật cấu hình trong các hệ thống production, ghi lại các phê duyệt trong ServiceNow và cập nhật tài liệu trong Confluence.
- Một Customer Support Agent truy xuất ngữ cảnh khách hàng từ CRM, kiểm tra trạng thái tài khoản trong các hệ thống billing, kích hoạt các bản sửa lỗi trong các dịch vụ backend và cập nhật ticket hỗ trợ.
Để mang lại giá trị ở quy mô lớn, các AI agent tổ chức được thiết kế để phục vụ nhiều người dùng và vai trò. Chúng được cấp quyền truy cập rộng hơn so với người dùng cá nhân, nhằm truy cập các công cụ và dữ liệu cần thiết để hoạt động hiệu quả.
Sự sẵn có của các agent này đã mở khóa những cải thiện năng suất thực sự: phân loại nhanh hơn, giảm công sức thủ công và tối ưu hóa hoạt động. Nhưng những thành công ban đầu này đi kèm với một cái giá ẩn. Khi các AI agent trở nên mạnh mẽ hơn và được tích hợp sâu hơn, chúng cũng trở thành các bên trung gian truy cập. Các quyền hạn rộng lớn của chúng có thể che khuất việc ai thực sự đang truy cập cái gì, và dưới thẩm quyền nào. Khi tập trung vào tốc độ và tự động hóa, nhiều tổ chức đang bỏ qua những rủi ro truy cập mới đang được giới thiệu.
Mô hình truy cập đằng sau các AI Agent tổ chức
Các agent tổ chức thường được thiết kế để hoạt động trên nhiều tài nguyên, phục vụ nhiều người dùng, vai trò và quy trình làm việc thông qua một triển khai duy nhất. Thay vì bị ràng buộc với một người dùng cá nhân, các agent này hoạt động như các tài nguyên được chia sẻ có thể phản hồi các yêu cầu, tự động hóa các tác vụ và điều phối hành động trên các hệ thống thay mặt cho nhiều người dùng. Thiết kế này giúp các agent dễ dàng triển khai và mở rộng quy mô trên toàn tổ chức.
Để hoạt động liền mạch, các agent dựa vào các shared service accounts, API keys hoặc OAuth grants để xác thực với các hệ thống mà chúng tương tác. Các thông tin xác thực này thường có thời gian tồn tại dài và được quản lý tập trung, cho phép agent hoạt động liên tục mà không cần sự can thiệp của người dùng. Để tránh ma sát và đảm bảo agent có thể xử lý nhiều loại yêu cầu, quyền hạn thường được cấp rộng rãi, bao gồm nhiều hệ thống, hành động và dữ liệu hơn mức mà bất kỳ người dùng cá nhân nào thường yêu cầu.
Mặc dù phương pháp này tối đa hóa sự tiện lợi và phạm vi bao phủ, những lựa chọn thiết kế này có thể vô tình tạo ra các bên trung gian truy cập mạnh mẽ làm bỏ qua các ranh giới quyền hạn truyền thống.
Phá vỡ mô hình kiểm soát truy cập truyền thống
Các agent tổ chức thường hoạt động với các quyền hạn rộng hơn nhiều so với những gì được cấp cho người dùng cá nhân, cho phép chúng bao phủ nhiều hệ thống và quy trình làm việc. Khi người dùng tương tác với các agent này, họ không còn truy cập hệ thống trực tiếp nữa; thay vào đó, họ đưa ra các yêu cầu mà agent thực hiện thay mặt họ. Những hành động đó chạy dưới danh tính của agent, không phải của người dùng. Điều này phá vỡ các mô hình kiểm soát truy cập truyền thống, nơi các quyền hạn được thực thi ở cấp độ người dùng. Một người dùng có quyền truy cập hạn chế có thể gián tiếp kích hoạt các hành động hoặc truy xuất dữ liệu mà họ sẽ không được phép truy cập trực tiếp, đơn giản bằng cách thông qua agent. Bởi vì logs và audit trails gán hoạt động cho agent, chứ không phải người yêu cầu, sự leo thang đặc quyền (privilege escalation) này có thể xảy ra mà không có khả năng hiển thị rõ ràng, trách nhiệm giải trình hoặc thực thi chính sách.
Các AI Agent tổ chức có thể âm thầm bỏ qua Kiểm soát truy cập (Access Controls)
Rủi ro của privilege escalation do agent điều khiển thường xuất hiện trong các quy trình làm việc hàng ngày tinh vi hơn là lạm dụng công khai. Ví dụ, một người dùng có quyền truy cập hạn chế vào các hệ thống tài chính có thể tương tác với một AI agent tổ chức để "tóm tắt hiệu suất khách hàng". Agent, hoạt động với các quyền hạn rộng hơn, sẽ kéo dữ liệu từ các nền tảng billing, CRM và finance, trả về các thông tin chi tiết mà người dùng sẽ không được phép xem trực tiếp.
Trong một kịch bản khác, một kỹ sư không có quyền truy cập production yêu cầu một AI agent "khắc phục sự cố triển khai". Agent điều tra logs, sửa đổi cấu hình trong môi trường production và kích hoạt khởi động lại pipeline bằng các thông tin xác thực được nâng cao của chính nó. Người dùng không bao giờ chạm vào các hệ thống production, nhưng production đã được thay đổi thay mặt họ.
Trong cả hai trường hợp, không có chính sách rõ ràng nào bị vi phạm. Agent được ủy quyền, yêu cầu có vẻ hợp lệ và các kiểm soát IAM hiện có được thực thi về mặt kỹ thuật. Tuy nhiên, các kiểm soát truy cập (access controls) đã bị bỏ qua một cách hiệu quả vì ủy quyền được đánh giá ở cấp độ agent, không phải cấp độ người dùng, tạo ra privilege escalation không mong muốn và thường vô hình.
Những hạn chế của Kiểm soát truy cập truyền thống trong kỷ nguyên AI Agent
Các kiểm soát security truyền thống được xây dựng xung quanh người dùng là con người và quyền truy cập hệ thống trực tiếp, điều này khiến chúng không phù hợp với các quy trình làm việc do agent trung gian. Các hệ thống IAM thực thi quyền hạn dựa trên danh tính người dùng, nhưng khi các hành động được thực hiện bởi một AI agent, ủy quyền được đánh giá dựa trên danh tính của agent, không phải của người yêu cầu. Kết quả là, các hạn chế ở cấp độ người dùng không còn được áp dụng. Việc ghi logs và audit trails làm trầm trọng thêm vấn đề bằng cách gán hoạt động cho danh tính của agent, che giấu người đã khởi tạo hành động và lý do. Với các agent, các nhóm security đã mất khả năng thực thi least privilege, phát hiện lạm dụng hoặc gán ý định một cách đáng tin cậy, cho phép privilege escalation xảy ra mà không kích hoạt các kiểm soát truyền thống. Việc thiếu sự gán ghép cũng làm phức tạp các cuộc điều tra, làm chậm incident response và gây khó khăn trong việc xác định ý định hoặc phạm vi trong một sự kiện security.
Phát hiện Privilege Escalation trong các mô hình truy cập lấy Agent làm trung tâm
Khi các AI agent tổ chức đảm nhận trách nhiệm vận hành trên nhiều hệ thống, các nhóm security cần có khả năng hiển thị rõ ràng về cách các danh tính agent được ánh xạ tới các tài sản quan trọng như dữ liệu nhạy cảm và hệ thống vận hành. Điều cần thiết là phải hiểu ai đang sử dụng từng agent và liệu có tồn tại khoảng cách giữa các quyền của người dùng và quyền truy cập rộng hơn của agent hay không, tạo ra các privilege escalation paths không mong muốn. Nếu không có ngữ cảnh này, quyền truy cập quá mức có thể vẫn bị ẩn và không bị thách thức. Các nhóm security cũng phải liên tục giám sát các thay đổi đối với cả quyền của người dùng và agent, vì quyền truy cập sẽ phát triển theo thời gian. Khả năng hiển thị liên tục này rất quan trọng để xác định các escalation paths mới khi chúng được giới thiệu một cách âm thầm, trước khi chúng có thể bị lạm dụng hoặc dẫn đến các incident security.
Bảo mật việc triển khai Agent với Wing Security
Các AI agent đang nhanh chóng trở thành một trong những yếu tố mạnh mẽ nhất trong doanh nghiệp. Chúng tự động hóa các quy trình làm việc phức tạp, di chuyển qua các hệ thống và hành động thay mặt cho nhiều người dùng với tốc độ máy. Nhưng sức mạnh đó trở nên nguy hiểm khi các agent được tin cậy quá mức. Các quyền hạn rộng, việc sử dụng chung và khả năng hiển thị hạn chế có thể âm thầm biến các AI agent thành các privilege escalation paths và các điểm mù security.
Việc triển khai agent an toàn đòi hỏi khả năng hiển thị, nhận thức về danh tính và giám sát liên tục. Wing cung cấp khả năng hiển thị cần thiết bằng cách liên tục phát hiện những AI agent nào đang hoạt động trong môi trường của bạn, chúng có thể truy cập những gì và cách chúng đang được sử dụng. Wing ánh xạ quyền truy cập của agent tới các tài sản quan trọng, tương quan hoạt động của agent với ngữ cảnh người dùng và phát hiện các khoảng trống nơi quyền của agent vượt quá ủy quyền của người dùng.
Với Wing, các tổ chức có thể tự tin triển khai các AI agent, mở khóa tự động hóa và hiệu quả của AI mà không phải hy sinh khả năng kiểm soát, trách nhiệm giải trình hoặc security.
