Az AI-ügynökök csendben forradalmasítják a vállalati folyamatokat, a beszerzéstől az adatelemzésig. Ezzel párhuzamosan egy új, eddig nagyrészt láthatatlan kockázati réteget is létrehoznak. A SailPoint, az identitásbiztonság egyik ismert szereplője, erre a kihívásra reagálva mutatta be Agentic Fabric nevű platformját, amely kifejezetten az AI-ügynökök és más nem emberi identitások kezelésére szolgál. Ahogy Matt Mills, a SailPoint elnöke fogalmazott:
„Az AI-ügynökök átalakítják a munkavégzést, de egyúttal egy új identitáskockázati osztályt is bevezetnek, amelyre a legtöbb szervezet nincs felkészülve.”
AI Biztonság kérdésed van? Itt elérsz minket:
A probléma gyökere, hogy a hagyományos identitásbiztonsági rendszereket emberekre tervezték, nem pedig autonóm szoftverekre. Az Agentic Fabric ezt a hiányt hivatott pótolni, kiegészítve a cég meglévő, emberi identitásokat kezelő Identity Security Cloud platformját.
A Felfedezéstől a Védelemig: Az Agentic Fabric Működése
A SailPoint platformja három alapvető pillérre épül, hogy teljes körű láthatóságot és irányítást biztosítson a nem emberi identitások felett.
1. Felfedezés (Discovery)
Az első és legfontosabb lépés a láthatóság megteremtése. A platform feltérképezi a környezetben működő AI-ügynököket, gépi identitásokat és alkalmazásokat. Ebből egy identitásgráfot épít, amely vizuálisan összekapcsolja az ügynököket az általuk érintett adatokkal és rendszerekkel. Ez a képesség kulcsfontosságú az úgynevezett „shadow AI” jelenség felszámolásában, ahol a szervezeteknek nincs tudomásuk a felügyeletükön kívül működő AI-eszközökről.
2. Kormányzás (Governance)
A láthatóság önmagában nem elég. A kormányzási réteg minden egyes ügynököt egy emberi tulajdonoshoz rendel. Ez a felelősségi lánc elengedhetetlen a számonkérhetőséghez. A platform életciklus-kezelési kontrollokat és szabályalapú hozzáférést biztosít, lehetővé téve a szervezetek számára, hogy pontosan meghatározzák, melyik ügynök mihez férhet hozzá.
3. Védelem (Protection)
A harmadik pillér a proaktív védelem. A rendszer a least-privilege (minimális jogosultság) elvét érvényesíti valós idejű engedélyezéssel. Emellett fenyegetésészlelést és automatizált válaszlépéseket is tartalmaz, hogy megakadályozza a jogosultságokkal való visszaélést vagy a kompromittálódott ügynökök által okozott károkat.
A SailPoint két csomagot vezet be: az Agentic Business alapvető kormányzást és minimális jogosultságú hozzáférést kínál, míg az Agentic Business Plus ezt kiegészíti a zero-standing privilege (alapértelmezetten nulla jogosultság) és a just-in-time (éppen időben történő) hozzáférés elveivel a még szigorúbb kontroll érdekében.
Az AIQ nézőpontja: Mit jelent ez az EU-s vállalatok számára?
Vállalati kontextusban ez a bejelentés több, mint egy új termék piacra dobása. Az AIQ szerint ez egyértelműen jelzi azt az iparági elmozdulást, amely az identitáskezelést kiterjeszti az emberi felhasználókon túlra. Az európai uniós szabályozási környezetben ennek különös jelentősége van.
- GDPR Megfelelőség: Ha egy AI-ügynök személyes adatokat kezel, ki a felelős adatkezelő vagy adatfeldolgozó? Az Agentic Fabric „emberi tulajdonoshoz” kötési mechanizmusa segít megválaszolni ezt a kérdést, és megteremti a GDPR által megkövetelt elszámoltathatóságot. Egy gazdátlan, autonóm ügynök súlyos megfelelési kockázatot jelent.
- EU AI Act Felkészülés: A hamarosan teljeskörűen hatályba lépő AI Act szigorú követelményeket támaszt a magas kockázatú AI-rendszerekkel szemben, beleértve a robusztus kockázatkezelést és az emberi felügyeletet. Egy olyan platform, amely láthatóságot, szabályalapú kontrollt és emberi felelősségi láncot biztosít az AI-ügynökök felett, közvetlenül támogatja ezen követelmények teljesítését.
Hogyan illeszkedik ez az OWASP LLM Top 10-be?
Az AIQ szerint a SailPoint új platformja közvetlenül reflektál az OWASP LLM Top 10-ben azonosított kockázatokra, különösen az egyik legveszélyesebbre.
- LLM08: Excessive Agency (Túlzott Cselekvőképesség): Ez a kockázat akkor merül fel, amikor egy LLM-alapú ügynök a kelleténél több jogosultsággal rendelkezik, és autonóm módon káros vagy nem szándékolt műveleteket hajt végre. Az Agentic Fabric kormányzási és védelmi funkciói – a minimális jogosultság elve, a policy-alapú hozzáférés és a valós idejű engedélyezés – pontosan ezt a kockázatot hivatottak mérsékelni.
- LLM10: Unmanaged Assets (Nem Kezelt Eszközök): A „shadow AI” jelenség tökéletes példája a nem kezelt eszközöknek. A platform Discovery funkciója éppen ezeknek a rejtett, nem regisztrált alkalmazásoknak és ügynököknek a felderítésére szolgál, ami az első lépés a kockázatkezelés felé.
Audit tanulságok és a következő lépések
A bejelentés legfontosabb tanulsága a biztonsági és technológiai vezetők számára, hogy az identitáskezelési stratégiájukat sürgősen újra kell gondolniuk. Nem elég már csak az emberi felhasználókra fókuszálni.
Az AIQ javaslata szerint a vállalatoknak érdemes megtenniük az első lépéseket:
- Készítsenek leltárt: Használják ki a SailPoint által kínált ingyenes Discovery Tool próbaverziót, amely már most elérhető. Ez segít felmérni a jelenlegi helyzetet és azonosítani a rejtett AI-eszközöket. A próbaverzió új ügyfeleknek és a meglévő IdentityIQ vagy Identity Security Cloud felhasználóknak is nyitott.
- Vezessék be az „emberi tulajdonos” elvét: Kezdjék el a szervezeti kultúrába beépíteni, hogy minden automatizált folyamatnak, minden ügynöknek legyen egyértelműen kijelölt emberi felelőse.
- Tervezzenek előre: Bár az Agentic Fabric és a teljes csomagok általános elérhetősége csak 2026 nyarán várható, a felkészülést már most el kell kezdeni. Az identitáskezelési rendszerek átalakítása időigényes folyamat.
Chandra Gnanasambandam, a SailPoint termékekért és technológiáért felelős alelnöke szerint „a szervezeteknek szükségük van egy olyan megoldásra, amellyel együtt tudják kormányozni és védeni az emberi, gépi és AI-identitásokat”. Ez a kijelentés tökéletesen összefoglalja a jövő kihívását, amelyre minden előrelátó szervezetnek fel kell készülnie.