Kokkuvõtlikult: AI-agendid stabiilsete, laialdaste õigustega muutuvad kontrollimata jõu-kasutajateks; neid tuleks selle asemel käsitleda tundlike teenuslugude kontodena, millel on minimaalsed, funktsioonile omased ja ajapiiratud juurdepääsud.
Kaubandusettevõte avastab hommikul oma süsteemides muudatusi, mille tegi öösel AI-agent: uued välised juurdepääsud, kohandatud tulemüüri reeglid, suletud piletid — ilma ühe inimese sisselogimiseta. Küsimus, mida CISOs peaksid endale küsima: Millal muutub automatiseeritud AI-agent praktiliselt jõu-kasutajaks, kellel on kontrollimata õigused?
EU AI Act loob tehisintellektsi jaoks põhjaliku õigusliku raamistiku. See eristab madala riski ja kõrge riskiga rakendusi, keelustab teatud praktikad ja sõnastab ranged nõuded AI jaoks tundlikes valdkondades — kaasa arvatud dokumentatsioon, inimlik järelevalve ja asjakohased küberjulgeoleku meetmed. Kuid operatiivsel tasandil on regulatiivsel raamistikul pilus: see ei reguleeri detailselt, milliseid kontosid, API-võtmeid ja tokenseid võivad AI-süsteemid kasutada, milliseid süsteeme nad saavad jõuda ja kes on nende õiguste eest vastutav.
Praktikas järgib AI-agentidele antud õiguste jagamine aeglase laiendamise protsessi. Äriprotsessidesse integreerimisel saavad need süsteemid algselt täpselt määratletud ülesanded — paroolide lähtestamine, konfiguratsioonide kontroll, hooldus-ülesannete käivitamine. Selleks antakse neile juurdepääs mitteinimlike identiteetide kaudu, nagu teenuslugude kontod või API-kliendid. Projektides antakse neile kontodele sageli royaalsolevad õigused, sest taheti „midagi ei blokeerida”. Funktsionaalsuse kasvades ja uute integratsioonidega ei kontrollita algse õiguste andmist põhjalikult. Tulemus: mõned tehnilised identiteedid koonduvad püsivalt laialdasteks, süsteemide vahel levivaks õigusteks — päriselt võimule ettevõtted automatiseeritud töövoogudest, mille kogu õiguste ulatus on vaid vähestele täielikult selge.
Lahendus peitub Identity-and-Access-Management-põhimõtete järjekindlal rakendamisel AI-süsteemidele. Neid tuleks käsitleda väga privileegiga identiteetidena olemasoleva rolli- ja õiguste kontseptsioonis, mitte erijuhtumina. Konkreetselt tähendab see: peab olema selgelt dokumenteeritud, milline konto millistele AI-süsteemidele kuulub, milliseid spetsiifilisi tegevusi selle kaudu on võimalik teha ja kes kannavad kutseline ning tehnilist vastutust. Agent, kes peaks paroolid lähtestama, ei peaks üheaegselt muutma tootmisandmeid ega kohandada pilveteenuse infrastruktuuri-õigusi. Üldiste adminstraatorirollide asemel tuleks määratleda funktsiooniga seotud, minimalistlikud rollid.
Eriti kriitiline on juurdepääsu kestuse küsimus. Püsivalt privileegiga kontod on atraktiivsed sihtmärgid nii vigade kui ka rünnakute jaoks. Tõhusam on Just-in-Time-juurdepääsumehhanismide kasutamine: õigused aktiveeritakse ainult konkreetse ülesande ja selle täitmisaken jaoks ning seejärel taastatakse need tehniliselt. AI-agentile, kes peab käivitama hooldusrutiini tootmisandmebaasis, antakse need õigused ajapiiratud ja kesksel kaudu hallatud juurdepääsuandmetega — ja ta kaotab need automaatselt, kui ülesanne on lõpule viidud.
Allikas: www.it-daily.net · Avaldatud 30. juuni 2026
Lumi AI News — AI-assisteeritud kuraator vastavalt art. 50 EU AI Act. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.2 kaudu.