Autonomni AI agenti sve se brže spajaju na ključne korporativne sustave, stvarajući veću i složeniju površinu napada nego bilo koji drugi softver dosad. Upravo zato sigurnosni timovi ostaju bez provjerenog okvira za nadzor, upozorili su čelni ljudi dviju tvrtki koje razvijaju agentske platforme.
„Ako se taj napadni vektor iskoristi, posljedica može biti krađa podataka ili nešto još gore”, rekao je Spiros Xanthos, osnivač i direktor Resolve AI-a. Njegova tvrtka razvija agente za upravljanje pouzdanošću i održavanje sustava, ali priznaje da „industriji potpuno nedostaje okvir” za autonomne agente te da je na samim proizvođačima da definiraju ograničenja.
Model Context Protocol (MCP) dodatno potpiruje zabrinutost jer dramatično olakšava povezivanje među agentima, alatima i bazama podataka, ali pritom ostaje – kako ga opisuje Jon Aniano, potpredsjednik za proizvode u Zendesku – „ekstremno permisivan”. „Zapravo je vjerojatno gori od klasičnog API-ja, jer API ima više ugrađenih kontrola”, pojasnio je.
Bez zajedničkog protokola
Aniano je stanje nazvao „Divljim zapadom”: „Nemamo dogovoreni tehnički protokol za komunikaciju agent-na-agenta. Kako uskladiti očekivanja korisnika s onim što platformu čini sigurnom?”
Situaciju komplicira i rapidno širenje ovlasti koje agenti dobivaju. Danas oni djeluju uz izričite ljudske dozvole, no sutra bi mogli imati vlastite identitete i masovno proširene pristupe. „To postaje vrlo složena matrica”, upozorio je Xanthos.
Tko snosi krivnju za pogrešnu autentifikaciju?
U Zendeskovim sustavima AI već sudjeluje u milijunima korisničkih interakcija. Kada stroj pomaže čovjeku, revizijski trag postaje zapetljan: „Sad imate čovjeka koji razgovara s čovjekom koji razgovara s AI-jem. Tko je kriv ako se napravi krivi korak?”, pita Aniano. Pitanje postaje još osjetljivije kad agent preuzme zadatke poput slanja jednokratnih lozinki ili provjere identiteta.
Zato Zendesk, kako kaže, strogo ograničava doseg i pristup: agenti smiju čitati baze znanja, ali ne i izvršavati kod ili pokretati naredbe na serverima, a svaki API poziv mora biti „deklarativno dizajniran i izričito odobren”. No interes klijenata raste i „trenutno praktički držimo branu”.
Polagane dozvole, veliki planovi
Xanthos vjeruje da će agenti u budućnosti možda uživati veće ovlasti nego ljudi, no zasad strah od pogrešaka usporava širenje. Resolve AI zato prvo daje „stalno odobrenje” samo u rutinskim, niskorizičnim situacijama poput automatiziranog ispravljanja kôda, a tek će kasnije prijeći na otvorenije scenarije.
Što se može učiniti odmah?
Obojica sugovornika slažu se da postoje barem privremena rješenja:
• korištenje postojećih alata s finim granulanjem pristupa (npr. indeksna razina u analitičkim sustavima); • deklarativni API pozivi s jasno navedenim akcijama; • stroga kontrola opsega i ljudski nadzor prije svakog proširenja ovlasti.
„Neprestano provjeravamo ta vrata i gledamo koliko ih možemo širom otvoriti”, kaže Aniano, ali dok se ne uspostavi zajednički standard, dodaje, „nitko si ne može priuštiti da ih otvori do kraja”.