Yapay zeka ajanlarının neden kimliğe ihtiyacı var
Yapay zeka ajanları, kimlik açısından önemli bir noktada önceki otomasyonlardan ayrılır: Bir sonraki eylemlerine kendileri karar verir. Betikli bir iş her gece aynı API'yi aynı parametrelerle çağırır; bir ajan ise bir hedef üzerinde akıl yürütür ve veritabanı okumayı, bir ödeme API'sini çağırmayı ya da e-posta göndermeyi seçebilir — kimsenin açıkça programlamadığı diziler.
Böyle bir ajan bir insanın kimlik bilgileriyle veya paylaşılan bir servis hesabıyla çalıştığında üç şey bozulur. İzlenebilirlik kaybolur: Kayıtlarda ajan değil insan işlem yapmış görünür. En az ayrıcalık kaybolur: Ajan, ihtiyaç duyduğu dar dilim yerine insanın yapabildiği her şeyi devralır. İptal ise tehlikeli hale gelir: Hatalı davranan bir ajanı kesmek, kişiyi veya hesabı paylaşan tüm iş yüklerini kesmek demektir.
Her ajana kendi kimliğini vermek temelleri geri getirir: Ayrı kimlik bilgileri, kapsamlı izinler, bireysel denetim izleri ve ajanın yaptıklarından sorumlu bir sahip. Bu anlamda ajan kimliği; servis hesapları ve iş yükü kimliklerinin yanında, insan dışı kimliğin en yeni dalıdır — ancak özerkliği, riskleri büyütür.
Ajan kimliklerini yönetmek neleri içerir
Bir ajan kimliğini yönetmek, özerkliğe uyarlanmış biçimde her kimlikle aynı yaşam döngüsünü izler. Önce kayıt gelir: Her ajan, üretim sistemlerine dokunmadan önce bir sahip, bir amaç ve izin verilen eylemlerin tanımlı bir kapsamıyla kaydedilir. Kimlik bilgileri, yapılandırmaya gömülü uzun ömürlü API anahtarları yerine standart akışlarla alınan kısa ömürlü tokenlar olmalıdır.
Yetkilendirme, insan kullanıcılardan daha dar olmalıdır; çünkü ajanlar manipüle edilebilir: Prompt enjeksiyonu, bir ajanı yazarının hiç amaçlamadığı eylemleri denemeye yönlendirebilir. Bu yüzden zararı önleyecek olan, ajanın muhakemesi değil izin sınırı olmalıdır. Hassas eylemler insan onayı gerektirebilir ve vekâlet kayıt altına alınmalıdır: Bir ajan bir kullanıcı adına hareket ettiğinde denetim izinde her iki kimlik de yer almalıdır.
Son olarak ajanların yaşam döngüsü disiplinine ihtiyacı vardır: Erişimlerinin diğer tüm kimlikler gibi gözden geçirilmesi ve ajan ya da kullanım senaryosu emekliye ayrıldığında erişimin derhal kaldırılması — aksi halde ajanlar, sahipsiz hesapların yeni nesli olur.
Pratikte yapay zeka ajan kimliği
Çoğu kuruluş bu eğrinin başındadır ve pragmatik ilk adımlar, servis hesabı yönetişiminin ilk günlerini andırır. Halihazırda çalışan ajanların envanterini çıkarın — birçoğu SaaS ürünlerine gömülü gelir veya tekil ekiplerce geliştirilmiştir — ve şu anda hangi kimlik bilgilerini kullandıklarını belirleyin. Bir ajanın bir insan hesabını paylaştığı her yerde bunları ayırın.
Ardından temelleri bilinçli uygulayın: Ajan başına bir sahip, ajan başına kapsamlı kimlik bilgileri, her şeye son kullanma tarihi ve ajan eylemlerini insan eylemlerinden ayıran kayıt. Bu alandaki standartlar hâlâ şekillenmektedir; vekâlet için token değişimi gibi OAuth tabanlı kalıplar pratik temel olarak öne çıkmaktadır.
Kimlik platformları bu topluluğu yerel olarak desteklemeye başlıyor; ajan kimliklerini kaydetme ve erişimlerini insan ve makine kimlikleriyle birlikte yönetme yeteneği ekleniyor.