AI Security

Agenty AI przewyższają liczebnie załogę

Tożsamości maszynowe już teraz przewyższają liczebnie pracowników nawet w stosunku 80 do 1, a większość z nich pozostaje niezarządzana. Dlaczego agenty AI to twoje najszybciej rosnące ryzyko bezpieczeństwa.

Autor Leon Soliman · 2026-06-26 · 2 min czytania

Najważniejsze punkty

Tożsamości nieludzkie, w tym agenty AI, konta serwisowe i klucze API, już teraz przewyższają liczebnie pracowników nawet w stosunku 80 do 1 w dużych organizacjach.
Większość z nich posiada stałe poświadczenia i szeroki dostęp, którego nikt nie rotuje ani nie wycofuje; w wielu środowiskach 47 procent tych tożsamości ma ponad rok i nigdy nie zostało poddanych przeglądowi.
Marketplace umiejętności agentów stały się żywym łańcuchem dostaw: w jednym z powszechnie używanych marketplace badacze stwierdzili, że mniej więcej jedna na pięć umiejętności została uzbrojona.
Rozwiązaniem jest zarządzanie, a nie kolejne narzędzie: rzetelny spis tożsamości nieludzkich, zasada najmniejszych uprawnień, rotacja oraz działający proces wycofywania agentów.

Zatrudniliście załogę, którą nikt nie zarządza

Każdy wdrożony przez was agent AI to pracownik z kluczem do waszych systemów. Loguje się, czyta dane, wywołuje inne usługi i działa bez nadzoru człowieka. Różnica polega na tym, że nikt w firmie nie traktuje go jak członka załogi, więc nikt nie stosuje wobec niego kontroli, które zastosowałby wobec pracownika.

Liczb nie da się już ignorować. KPMG raportuje, że tożsamości nieludzkie, czyli konta serwisowe, klucze API, poświadczenia automatyzacji oraz agenty AI działające wewnątrz firmy, przewyższają liczebnie użytkowników ludzkich nawet w stosunku 80 do 1 w dużych organizacjach. Badania branżowe wykazują, że 47 procent tych tożsamości ma ponad rok bez rotacji poświadczeń, a zdecydowana większość posiada o wiele szerszy dostęp, niż kiedykolwiek potrzebuje.

Łańcuch dostaw agentów stał się powierzchnią ataku

Nowoczesne agenty nie działają samotnie. Pobierają umiejętności, wtyczki i konektory ze wspólnych marketplace, a każdy z nich to pakiet z dostępem do waszych danych i waszych systemów. Ta wygoda jest zarazem furtką. Gdy instalujecie umiejętność, dziedziczycie wszystko, co jej autor w niej umieścił.

To już nie jest teoria. W jednym z powszechnie używanych marketplace umiejętności agentów badacze bezpieczeństwa stwierdzili, że mniej więcej jedna na pięć opublikowanych umiejętności została uzbrojona, a ponad jedna trzecia niosła co najmniej jedną lukę bezpieczeństwa, od prompt injection po ujawnione sekrety. Agenty autonomiczne odpowiadają już za około jeden na osiem zgłoszonych incydentów bezpieczeństwa AI, a większość firm przyznaje, że w minionym roku doświadczyła co najmniej jednego incydentu z agentem.

Zarządzajcie agentami tak, jak zarządzacie ludźmi

Odpowiedzią nie jest spowalnianie adopcji ani kolejny produkt detekcyjny doczepiony po fakcie. Jest nią traktowanie tożsamości nieludzkich z dyscypliną, którą już stosujecie wobec pracowników: pełny spis tego, jakie agenty istnieją, jakie poświadczenia posiadają i czego wolno im dotykać.

Oznacza to zasadę najmniejszych uprawnień domyślnie, zaplanowaną rotację poświadczeń, monitorowanie tego, co każdy agent faktycznie robi, oraz rzeczywisty proces wycofywania, tak aby wycofany agent tracił dostęp tego samego dnia, w którym przestaje być używany. Firmy, które robią to dobrze, zachowują szybkość agentów bez dziedziczenia niezarządzanej powierzchni ataku. Te, które tego nie robią, przekonają się, że ich największą załogą była ta, której nigdy nie wdrożyły.

Czytaj dalej: Twoje szyfrowanie ma datę ważności · Nieprzejrzystość AI działa teraz na twoją niekorzyść

Często zadawane pytania

Czym jest tożsamość nieludzka?

Tożsamość nieludzka to dowolne poświadczenie należące do oprogramowania, a nie do człowieka: konta serwisowe, klucze API, tokeny OAuth, boty automatyzujące oraz agenty AI. Każde z nich może uwierzytelnić się i działać wewnątrz waszych systemów, dlatego wymagają takiego samego zarządzania jak konta ludzkie.

Jak zacząć zarządzać agentami AI?

Zacznijcie od spisu: wymieńcie każdego agenta i każdą tożsamość nieludzką, posiadane przez nie poświadczenia oraz dostęp, który mają. Następnie zastosujcie zasadę najmniejszych uprawnień, rotujcie poświadczenia według harmonogramu, monitorujcie aktywność i zdefiniujcie krok wycofywania, który usuwa dostęp w momencie, gdy agent zostaje wycofany.

Wasze agenty AI są już waszą największą załogą. Zarządzanie nimi nie jest już opcjonalne.

AI Agents Non-Human Identity AI Security Governance Supply Chain

Więcej z Servola Journal

Information Security

Twoje szyfrowanie ma datę ważności

2026-06-26 · 2 min czytania

Przeczytaj artykuł →

AI Risk and Governance

Nieprzejrzystość AI działa teraz na twoją niekorzyść

2026-06-25 · 3 min czytania

Przeczytaj artykuł →

AI Governance

Rada zakładowa może zawetować twoje AI

2026-06-25 · 3 min czytania

Przeczytaj artykuł →

Servola

Servola pomaga firmom spisać, objąć zarządzaniem oraz wycofać ich agenty AI i tożsamości nieludzkie, zanim staną się one włamaniem, po niemiecku i angielsku.

Poproś o poufną rozmowę O Servoli →

Servola to doradztwo technologiczne dla niewielkiej liczby rodzin i family offices. Gdy decyzji nie można delegować, siadamy po Twojej stronie stołu.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Wszystkie artykuły