نقطة
الكتابات/blog/2026/06
Blog7 يونيو 2026·6 دقيقة

هوية وكلاء الذكاء الاصطناعي: أزمة الهويات غير البشرية

وكلاء الذكاء الاصطناعي يفوقون المستخدمين البشر بنسبة 82 إلى 1، و90% منهم يملكون صلاحيات مفرطة. دليل عملي 2026 لهوية الوكلاء وإدارة الهويات غير البشرية.

AI Bot
AI Bot
Author
·EN · FR · AR

على الأرجح نشرت مؤسستك وكلاء ذكاء اصطناعي هذا العام: روبوتات دعم العملاء، ووكلاء البرمجة، وعمّال خطوط البيانات، ومساعدو المشتريات. كل واحد منهم سجّل الدخول إلى الأنظمة، واستدعى واجهات برمجية، وقرأ قواعد بيانات، واتخذ إجراءات نيابةً عنك. والآن أجب عن سؤال واحد: مَن هم هؤلاء، وما الذي يُسمح لهم بفعله بالضبط؟

بالنسبة لمعظم المؤسسات، الإجابة الصادقة هي لا نعرف. وهذه الفجوة تحوّلت بهدوء إلى واحدة من أكبر الثغرات الأمنية في عام 2026.

مشكلة 82 إلى 1

وجد بحث من Rubrik Zero Labs أن وكلاء الذكاء الاصطناعي وغيرهم من الهويات غير البشرية (NHIs) يفوقون الآن عدد المستخدمين البشر بنسبة 82 إلى 1 في المؤسسة المتوسطة. كل موظف بشري لديه حساب دخول يُظلّله عشرات من الهويات الآلية: حسابات الخدمة، ومفاتيح الـ API، وبيانات اعتماد أحمال العمل، والآن وكلاء مستقلّون قادرون على التفكير والتخطيط والتنفيذ.

المشكلة أن هذه الهويات لم تُصمَّم قط لتُدار كما يُدار البشر. والأرقام مقلقة:

  • 97% من الهويات غير البشرية تحمل صلاحيات مفرطة، ونحو 90% من الوكلاء المنشورين يملكون أذونات أكثر مما يحتاجون.
  • 44% من المؤسسات لا تزال تصادق الوكلاء بمفاتيح API ثابتة، و43% تعتمد على ثنائيات اسم المستخدم وكلمة المرور.
  • 21% فقط يحتفظون بسجل لحظي لوكلائهم، أي أن أربعًا من كل خمس شركات لا تستطيع حتى إنتاج قائمة محدثة بما يعمل لديها.
  • 78% ليس لديهم سياسة موثّقة لإنشاء هوية وكيل أو إزالتها.

عندما سأل استطلاع لـ Cloud Security Alliance وOasis Security في يناير 2026 قادة الأمن عن مدى ثقتهم في إدارة هويات الوكلاء، أبدى 18% فقط ثقة عالية، و84% شكّوا في قدرتهم على اجتياز تدقيق امتثال لسلوك الوكلاء وضوابط الوصول. وفي الوقت نفسه، 88% تعرّضوا فعليًا لحادث أمني مؤكَّد أو مشتبه به يتعلق بوكلاء الذكاء الاصطناعي.

هذه هي أزمة الهوية في عصر الوكلاء: تبنٍّ متفجّر فوق نموذج هوية بُني للبشر ولحسابات الخدمة البليدة.

لماذا يفشل تفكير "حساب الخدمة" مع الوكلاء

على مدى عقدين، كانت الهوية الآلية تعني حساب خدمة: بيانات اعتماد ثابتة، وصلاحيات واسعة، وكلمة مرور لا يُحدّثها أحد. صمد هذا النموذج لأن حسابات الخدمة كانت متوقَّعة؛ تُشغّل مهمة واحدة، وفق جدول واحد، مقابل نظام واحد.

أما وكلاء الذكاء الاصطناعي فيكسرون كل هذه الافتراضات:

  • ديناميكيون. يقرر الوكيل في وقت التشغيل أي الأدوات يستدعي وأي الأنظمة يلمس. نمط وصوله ليس نصًا ثابتًا.
  • يفوّضون. طلب مستخدم واحد قد يولّد وكلاء فرعيين، يرث كل منهم نطاق وصول الوكيل الأب إلى البيانات. وكيل جذر واحد مفرط الصلاحيات يلوّث الشجرة بأكملها.
  • حِواريون. يقبل الوكلاء تعليمات بلغة طبيعية، ما يعني أن حقن التعليمات (prompt injection) قد يحوّل هوية موثوقة إلى وكيل في يد مهاجم.
  • يتكاثرون دون تنسيق. تُطلق الفرق المختلفة وكلاء عبر السحابات والـ SaaS والأنظمة المحلية دون موافقة مركزية، وهو التعريف الحرفي لتقنية الظل، لكن مع استقلالية هذه المرة.

معاملتهم كحسابات خدمة تعني منح شخص داخلي ذي صلاحيات بطاقة دائمة وأملًا بأن يحسن التصرف. 34% فقط من المؤسسات تطبّق على وكلاء الذكاء الاصطناعي الضوابط الأمنية نفسها التي تطبّقها على الموظفين البشر. أما الثلثان الباقيان فيعملون في العمى.

ماذا تعني "هوية الوكيل" فعليًا في 2026

التوافق الناشئ بسيط في صياغته صعب في تطبيقه: يجب أن يكون كل وكيل ذكاء اصطناعي هوية من الدرجة الأولى، له دورة حياته الخاصة، وبيانات اعتماده الخاصة، وأذوناته المحدودة بدقة، منفصلًا عن البشري الذي شغّله وعن حسابات الخدمة القديمة.

هوية الوكيل السليمة تملك سمات لم يملكها مفتاح API ثابت قط:

  • هوية فريدة قابلة للتحقق (تشفيرية، لا سرًّا مشتركًا)
  • فريق مالك وراعٍ بشري مسؤولان عنها
  • نطاق مُعلَن: أي أنظمة، أي إجراءات، أي بيانات
  • سلسلة تفويض تُثبت نيابةً عمّن يتصرف
  • تاريخ انتهاء ومحفّز إلغاء تلقائي

وهنا تحرّكت الصناعة بسرعة في 2026، إذ تتقارب المعايير بدل أن تتفتت:

  • مسودة IETF AIMS (نظام إدارة هوية الوكلاء)، المنشورة في 2 مارس 2026، تجمع ثلاثة معايير قائمة: WIMSE لهوية أحمال العمل، وSPIFFE/SPIRE للهوية التشفيرية، وOAuth 2.0 للتفويض، في إطار واحد.
  • مبادرة NIST NCCoE بعنوان "تسريع تبنّي هوية البرمجيات ووكلاء الذكاء الاصطناعي" (5 فبراير 2026) تُسمّي اللبنات المرشّحة: Model Context Protocol، وOAuth 2.0/2.1، وOIDC، وSPIFFE/SPIRE، وSCIM.
  • اقتراح OIDC-A 1.0 من OpenID Foundation يوسّع OpenID Connect بادّعاءات خاصة بالوكلاء للتحقق من سلسلة التفويض والتفويض الدقيق.

يتوقع المحللون استقرار هذه المعايير خلال 12 إلى 18 شهرًا. والخلاصة العملية لأي فريق يبني اليوم: صمّم للتوافقية مع هذه المعايير، لا للاحتجاز في حلٍّ مملوك.

دليل عملي يمكنك البدء به هذا الربع

لست بحاجة إلى انتظار اكتمال المعايير. الخطوات التالية تتطابق مباشرة مع المواضع التي يتركّز فيها الخطر.

1. اكتشِف قبل أن تحوكم

لا يمكنك تأمين ما لا تراه. ابدأ بجرد كامل لكل وكيل عبر كل نمط نشر: السحابة، وSaaS، والأنظمة المحلية. بدون الحصر، يبقى كل ضابط لاحق ناقصًا. ابنِ سجلًّا يدوّن لكل وكيل: الفريق المالك، والراعي البشري، والأنظمة التي يصل إليها، ونطاق الصلاحيات، وتاريخ الانتهاء.

2. اقضِ على بيانات الاعتماد الثابتة

استبدل مفاتيح API طويلة العمر ببيانات اعتماد قصيرة العمر ومحدّدة النطاق فرديًا. والأداتان الأساسيتان:

  • للوكلاء المفوَّضين من المستخدم، استخدم تدفّقات OAuth 2.0 On-Behalf-Of كي يتصرف الوكيل بإذن المستخدم المحدود، لا بمفتاح كامل الصلاحيات.
  • للوكلاء الآليين المستقلين، أصدِر شهادات SPIFFE/SPIRE SVIDs، وهي هويات تشفيرية تتجدد تلقائيًا ولا يمكن نسخها من ملف إعداد.

3. تبنَّ مبدأ "صفر صلاحيات دائمة"

أهم تحوّل معماري: لا يحصل الوكلاء على أي وصول دائم إلى الموارد الحساسة. تُمنح الأذونات في الوقت المناسب لمهمة محددة، ثم تُلغى تلقائيًا. الوكيل المخترَق في حالة السكون لا يصل إلى شيء. هذا النمط وحده يحيّد الإفراط في الصلاحيات الذي يصيب 90% من عمليات النشر.

4. ضع البشر عند نقاط التفتيش عالية العواقب

الاستقلالية الكاملة ليست الهدف في كل مكان. أدرِج تحققًا بشريًا قبل أن ينفّذ الوكيل معاملة مالية، أو يغيّر إعدادًا إنتاجيًا، أو يصل إلى بيانات منظَّمة، أو يرسل اتصالًا خارجيًا. استقلالية للروتيني، ونقطة تفتيش لما لا رجعة فيه.

5. ابنِ زر الإيقاف قبل أن تحتاجه

اكتب دليل الاستجابة للحوادث الآن: كيف تحدد نشاط الوكيل أثناء حادث، وكيف تُلغي بيانات اعتماده دون إسقاط الخدمات المعتمِدة عليه، وكيف تعيد بناء ما فعله جنائيًا. زرّ إيقاف فوري ودقيق هو الفرق بين حادث محتوى واختراق كامل.

ماذا يعني هذا لشركات منطقة الشرق الأوسط وشمال إفريقيا

بالنسبة للمؤسسات في تونس والسعودية والمنطقة الأوسع، ليست هوية الوكيل مشكلة مؤسسية بعيدة، بل هي تذكرة الدخول لنشر الذكاء الاصطناعي بأمان في ظل أنظمة حماية البيانات المتشدّدة. نظام حماية البيانات الشخصية السعودي (PDPL) وأطر مماثلة تعامل الوصول غير المصرّح به إلى البيانات كإخفاق امتثال، سواء تسبّب فيه إنسان أو وكيل. وكيل مفرط الصلاحيات يقرأ سجلات عملاء لم يكن بحاجة إليها يُعدّ حادثًا واجب الإبلاغ.

والخبر الجيد: المؤسسات التي تتبنّى الذكاء الاصطناعي الآن تستطيع بناء حوكمة الهوية منذ اليوم الأول بدل إعادة تركيبها فوق فوضى من وكلاء الظل. عامِل كل وكيل كهوية من الدرجة الأولى، قصيرة العمر، محدودة النطاق منذ أول نشر، وستتجاوز أزمة التنظيف التي يعيشها اليوم المتبنّون الأكبر والأسبق.

الخلاصة

وكلاء الذكاء الاصطناعي أشخاص داخليون ذوو صلاحيات تنشئهم في ثوانٍ وتنساهم في دقائق. نسبة 82 إلى 1 لن تزداد إلا ارتفاعًا، وعلى النموذج الأمني أن ينمو معها. الفائزون في 2026 ليسوا من ينشرون أكثر الوكلاء عددًا، بل من يستطيعون أن يجيبوا في أي لحظة: مَن وكلاؤهم، وما الذي يمكنهم لمسه، وكيف يوقفونهم.

ابدأ بالاكتشاف، واقضِ على المفاتيح الثابتة، وامنح الصلاحية فقط عند الحاجة، وأبقِ إنسانًا عند القرارات التي لا رجعة فيها. هكذا تبدو هوية الوكيل حين تُنجَز كما يجب.

تبني وكلاء ذكاء اصطناعي في أعمالك وتريدهم محوكَمين منذ اليوم الأول؟ تساعد نقطة مؤسسات المنطقة على تصميم أنظمة وكلاء آمنة وواعية بالهوية. تواصل معنا.