AI Agent กำลังสร้างช่องโหว่ด้านความปลอดภัยในองค์กร แต่ปัญหาที่แท้จริงไม่ใช่แค่ตัว Agent เอง แต่เป็นเรื่องของการมอบอำนาจ (delegation) จาก identities ที่มีอยู่แล้ว ไม่ว่าจะเป็นผู้ใช้จริง, machine identities, bots หรือ service accounts ซึ่งทำให้ Agent-AI แตกต่างจากทั้งคนและซอฟต์แวร์ทั่วไป

ประเด็นสำคัญคือลำดับขั้นตอน: องค์กรไม่สามารถควบคุม Agent-AI ได้อย่างปลอดภัย หากยังไม่จัดการ identities ดั้งเดิมที่กระจัดกระจายอยู่ตามแอปพลิเคชัน, API, embedded credentials และ service accounts ที่ไม่ได้รับการจัดการ สิ่งเหล่านี้คือ “identity dark matter” ที่ Orchid อธิบายไว้ หากไม่ถูกตรวจสอบ Agent ก็จะสืบทอดโมเดลอำนาจที่บกพร่องและกลายเป็นตัวขยายช่องโหว่

Orchid เสนอแนวทาง Continuous Observability เพื่อสร้าง baseline พฤติกรรม identity ที่แท้จริง ทั้งในสภาพแวดล้อมที่จัดการและไม่จัดการ ก่อนที่จะนำข้อมูลนั้นไปใช้ในการกำหนดนโยบายแบบ real-time สำหรับ Agent-AI ซึ่งจะช่วยให้องค์กรสามารถควบคุมการมอบอำนาจได้อย่างมีประสิทธิภาพ

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• AI Agent – โปรแกรมอัจฉริยะที่ทำงานอัตโนมัติแทนผู้ใช้
• Delegation Gap – ช่องว่างในการควบคุมการมอบอำนาจให้ AI Agent
• Identity Dark Matter – ข้อมูล identity ที่ซ่อนอยู่และไม่ได้รับการจัดการในระบบ
• Continuous Observability – การตรวจสอบพฤติกรรม identity อย่างต่อเนื่องแบบ real-time