كيفاش نسدو "فجوة السلطة" ديال AI Agents: علاش المراقبة المستمرة هي الأولوية الجديدة للي كيسيرو التكنولوجيا فـالمغرب
Bridging the AI Agent Authority Gap: Continuous Observability as the Decision Engine
كيفاش نسدو "فجوة السلطة" ديال AI Agents: علاش المراقبة المستمرة هي الأولوية الجديدة للي كيسيرو التكنولوجيا فـالمغرب
مع التوجه الكبير ديال الشركات والمقاولات الناشئة فـالمغرب لاستعمال الـ AI Agents باش يسرعو الخدمة (workflows) ويطورو الـ DevOps، بان واحد المشكل أمني خطير. بزاف ديال الفرق التقنية عندنا مركزين غير على الـ Large Language Models (LLMs) بوحدهم، وناسيين واحد الثغرة هيكلية بدات كاتبين فـالأفق، وهي: فجوة السلطة فـالـ AI Agent (The AI Agent Authority Gap).
هاد الثغرة كتمثل تحول جذري فـالطريقة اللي كنسيرو بيها الهوية والوصول (IAM). مابقاش كافي نسولو "شكون اللي عندو الحق يدخل؟"، ولكن دابا خاصنا نسولو "أما سلطة تعطات لهاد الـ Agent؟ وتحت أما شروط؟ وشكون اللي عطاه هاد التفويض؟"
باختصار: التحدي الأساسي
الـ AI Agents ماشي فاعلين مستقلين؛ هما كياخدو "السلطة" ديالهم من عند البشر، الـ bots، ولا الـ service accounts. هادشي كيكريي واحد "فجوة تفويض" فين يقدر هاد الـ Agent يضاعف نقط الضعف الأمنية اللي ديجا كاينة، ولا داكشي اللي كيتسمى "مادة الهوية المظلمة" (identity dark matter) اللي مخبية فـالـ infrastructure ديالك. باش نسدو هاد الفجوة، خاصنا نتحولو من IAM ستاتيك (static) لواحد الموديل مبني على المراقبة المستمرة (continuous observability) والتحكم الديناميكي فـالتفويض.
فهم فجوة التفويض (Delegation Gap)
على حساب واحد البحث من Orchid تنشر مؤخراً فـ The Hacker News (أبريل 2026)، الـ AI agents كيمثلو فجوة أمنية هيكلية حيت كيخدمو كـ هويات مفوضة (delegated identities). ماشي بحال المستخدم العادي اللي كيدخل بـ credentials باينين، الـ AI agent كياخد القوة ديالو من هويات كاينة أصلاً فـالشركة.
وحيت هاد الـ agents مرتبطين بزاف بالناس اللي كيخدموهم، فهما مختلفين تماماً على البرامج الكلاسيكية وعلى المستخدمين البشر. هما جايين فواحد المنطقة وسطى فين القوة ديالهم معتمدة كلياً على الـ "delegator" (المفوض) — واش هو developer، ولا identity ديال ماشين، ولا service account.
مشكل "مادة الهوية المظلمة" (Identity Dark Matter)
فالسياق ديال الـ IT فـالمغرب — فين كنلقاو بزاف ديال الـ legacy systems (الأنظمة القديمة) مخلطة مع cloud APIs جداد — الشركات غالباً كيعانيو من هاد الـ "identity dark matter". هاد المصطلح كيقصدو بيه هاديك السلطة والامتيازات اللي كاينة ولكن ما بايناش لـأنظمة الـ IAM التقليدية.
هاد "المادة المظلمة" فيها:
- هويات مشتتة بين بزاف ديال الـ APIs.
- Credentials (كلمات السر) مخبيين وسط الكود.
- Service accounts منسيين كيبقاو يجمعو فـالـ permissions مع الوقت.
إلا دخلنا AI agent لهاد البيئة اللي غارقة فـالـ identity dark matter، راه ما غاديش غير يخدم وسط هاد العيوب، بل غادي يضاعف الخطورة ديالهم. كايولي الـ agent أداة فعالة باش يستغل صلاحيات مخبية وطرائق تنفيذ (execution paths) اللي يقدر فرقة الـ Security ما تكونش عارفة بلي راه كاينة أصلاً.
التحول للمراقبة المستمرة (Continuous Observability)
باش نسدو هاد الفجوة، خاص الاستراتيجية الأمنية تمشي بمراحل صحيحة. ما يمكنش تحكم فـ AI agent بوحدو ومنعزل؛ خاصك أولاً تحكم فالهويات اللي كتعطيه التفويض.
الـ Continuous Observability Platform ديال Orchid كتقترح واحد الموديل كيبني قاعدة بيانات على السلوك الحقيقي للهوية. بلاصة ما نعتمدو غير على قوانين (policies) ستاتيك اللي غالباً كتكون ناقصة ولا قديمة، هاد الطريقة كتشوف كيفاش الهويات البشرية والآلية كيديرو الـ authentication وكينفذو الـ workflows فـالوقت الحقيقي (real-time). فاش كنقصو من هاديك الـ identity dark matter، الشركات كيضمنو بللي الـ agents ما وارثينش صلاحيات "مرونة".
من صلاحيات جامدة لـ حكامة ديناميكية
الـ IAM التقليدي تصاوب لواحد الوقت كان فيه كولشي بسيط. مع الـ AI agents، محتاجين لـ Dynamic Sequential Delegation Control. هادشي كيعني بلي السلطة ديال الـ agent خاصها تكون محكومة بـ:
- وضعية المفوض (Posture of the Delegator): إلا كان المستخدم (بشر) عندو "posture" ضعيفة (مثلاً كيدير سلوك فيه خطر ولا عندو صلاحيات مخبية بزاف)، الـ AI agent اللي غادي يخدمو خاص تكون عندو سلطة محدودة بزاف.
- القصد والسياق (Intent and Context): السيستيم خاصو يقيم "شنو القصد" من ورا هاد الطلب والسياق ديال الـ application اللي بغى يوصل ليها.
- القياس عن بعد فـالوقت الحقيقي (Real-Time Telemetry): استعمال بيانات حية باش نقررو واش نخليو الـ agent يخدم، ولا نعطيوه غير دور "المقترح" (recommendation-only)، ولا نحبسوه بمرة.
فهاد الإطار، الصلاحيات الورقية (nominal permissions) ديال الـ agent كتولي قل أهمية من الحالة الحقيقية ديال هاداك اللي عطاه السلطة فديك اللحظة.
خطوات عملية للتطبيق
بالنسبة للفرق التقنية فـالمغرب اللي باغيين يخدمو بهاد التكنولوجيات بأمان، خاص يركزو على هاد النقط:
- كشف كاع الهويات: رسم خريطة للهويات البشرية والآلية فـالبيئات المسيرة (managed) وغير المسيرة.
- تحديد السلوك العادي (Baseline): خدم بـ continuous observability باش تفهم كيفاش الـ workflows كيتمو فعلياً، ماشي غير شنو مكتوب فـالـ permissions.
- ربط الـ Agent بالـ Workflow: حدد بوضوح العلاقة بين هوية الـ agent والـ applications اللي كيقيسهم.
- التطبيق على أساس خطر المفوض: دير سيستيمات يقدروا ينقصو من سلطة الـ agent إلا بان بلي الـ service account ولا المستخدم اللي خدمو فيه شوشرة أمنية.
خلاصة وعلامات استفهام
التحول لـ الـ AI agents جاي جاي، ولكن كيطلب منا نتحولو من مجرد "تحكم فـالوصول" (access control) لـ "حكامة السلطة" (authority governance). فاش ك نركزو على سلسلة التفويض، الشركات المغربية غتجنب يولي الـ AI عبء أمني عليها.
ولكن، خاص المهنيين يبقاو رادين البال لبعض التعقيدات التقنية. واخا القضية ديال "سد الفجوة" واضحة نظرياً، الطريقة باش غادي ندمجو منصات بحال Orchid مع أنظمة الـ IAM القديمة تقدر تختلف. زيد عليها أن هاد المجال باقي كيبحث فـالقدرة على تحليل "القصد" (intent analysis) فـالوقت الحقيقي وبسرعة الآلة فـالشركات الكبيرة بزاف.
المصدر: Bridging the AI Agent Authority Gap: Continuous Observability as the Decision Engine (The Hacker News، أبريل 2026)