امنیت در عصر عاملهای هوش مصنوعی (AI Agents) را نباید با هوشمندی مدلها اشتباه گرفت؛ مسئله اصلی، صراحت لایهی احراز هویت است.
در ژوئن ۲۰۲۶، ۲۰ هزار حساب کاربری اینستاگرام — از جمله یک پروفایل غیرفعال متعلق به کاخ سفید — تنها بهدلیل یک نقص ساختاری در دستیار پشتیبانی متا (Meta)e ربوده شدند. طبق گزارشهای فنی، مهاجمان از هیچ اکسپلوی پیچیده یا حدس رمز عبوری استفاده نکردند؛ آنها صرفاً ربات را متقاعد کردند تا ایمیلهای تحت کنترل آنها را به حسابهایی که متعلق بهشان نبود متصل کند و روند بازنشانی رمز عبور را فعال نماید.
این حادثه نمونهی کلاسیک مشکل «نایب سرگردان» (Confused Deputy) است؛ وضعیتی که در آن یک فرآیند دارای دسترسی بالا، توسط شخص غیرمجاز تحریک میشود تا از آن امتیازات برای اهداف مخرب استفاده کند. همانطور که در تحلیلهای پیشین ما دربارهی امنیت سیستمهای عاملمحور اشاره کردیم، لایهی دفاعی در گذشته توسط کارکنان انسانی پشتیبانی میشد که با درایت حرفهای خود، درخواستهای مشکوک تغییر ایمیل را شناسایی و مسدود میکردند.
با جایگزینی انسانها با عاملهای هوش مصنوعی، این لایهی قضاوت حذف شده و مشخص شد که بسیاری از بررسیهای احراز هویت هرگز در کد نرمافزاری تعریف نشده بودند و تنها به «عقل سلیم» اپراتور انسانی متکی بودند.
به نقل از تحلیل فنی stackoverflow.blog، دلایل فنی این رخنه عبارتند از:
- رابط کاربری عامل (زبان طبیعی) بهطور ذاتی قادر به انتقال هویت دقیقe فراخواننده نیست.
- ربات توالی درستی از عملیات مجاز را اجرا کرد، اما در تأیید «اصالت» (Principal) یا همان کاربر احراز هویتشده شکست خورد.
- مهاجمان دستورات را در قالب گفتگو به سیستم «لغزاندند» و از ناتوانی عامل در تفکیک دادههای کاربر از دستورات سیستمی بهره بردند.
طبق گزارش گارتنر (Gartner)، پیشبینی میشود تا پایان سال ۲۰۲۶، ۴۰ درصد از اپلیکیشنهای سازمانی شامل عاملهای تکوظیفه باشند، در حالی که این رقم در ابتدای سال کمتر از ۵ درصد بود.
برای جامعهی فنی، این یک هشدار است: هوشمندی مدل جایگزینی برای معماری احراز هویت نیست. مدلهای توانمندتر تنها دستور زبان بهتری برای اجرای همان اکسپلوی فراهم میکنند. راهکار باید خارج از مدل و در یک لایهی سیاستگذاری (Policy Layer) اختصاصی باشد.
گام بعدی شما
- بازبینی فوری جریانهای کاری عاملمحور (Agentic) برای شناسایی نقاطی که پیشتر تنها با درایت انسانی محافظت میشدند.
- جایگزینی اعتماد به «قضاوت» مدل با توکنهای کوتاهمدت و محدود (Scoped Tokens).
- پیادهسازی بررسیهای سختافزاری برای تأیید مالکیت پیش از هرگونه فراخوانی ابزار (Tool Call).
اما ریسک واقعی اکنون در عامل تجاری متا (Meta Business Agent) نهفته است که به APIهای پرداخت متصل است و هرگونه نقص مشابه در آن میتواند منجر به بازپرداختهای مالی غیرمجاز یا نشت دادههای حساس شود.
گفتگو