Ny forskning från Cloud Security Alliance, beställd av Strata Identity, visar att företag fastnar i pilotfasen med AI-agenter, inte på grund av tekniken, utan för att identitetshanteringen inte hänger med. Undersökningen, som omfattar 285 IT- och säkerhetsproffs, avslöjar ett allvarligt styrningsgap.

Mer än hälften av identiteterna är osynliga

I de flesta företagsmiljöer finns fler än hälften av alla identiteter utanför de system som ska hantera dem. Det handlar om tjänstekonton, automatiserade processer och nu även AI-agenter som agerar autonomt utan att vara korrekt registrerade eller övervakade.

Det skapar vad forskarna kallar "identitetskuggor": identiteter som finns och agerar i systemen, men som säkerhetsteamen inte ser eller kontrollerar.

Företag delar mänskliga inloggningsuppgifter med AI-agenter

Eftersom det saknas bra alternativ delar många team sina egna inloggningsuppgifter och åtkomsttokens med AI-agenter. Det innebär att en agent som komprometteras kan ge angripare tillgång till känsliga system med mänskliga behörigheter.

Rapporten visar att:

• Bara 18% av säkerhetscheferna litar på att deras nuvarande IAM-system kan hantera agentidentiteter
• Bara 23% av organisationerna har en formell strategi för agentidentitetshantering
• 55% uppger att exponering av känslig data är deras största oro
• 40% ökar sina säkerhetsbudgetar specifikt för att hantera AI-agentrisker

Traditionell IAM byggdes inte för autonoma agenter

AI-agenter fungerar annorlunda än mänskliga användare. De är aktiva dygnet runt, fattar beslut i realtid och arbetar samtidigt i flera system, ofta i publika moln (66%), lokala miljöer (37%) och privata moln (36%). Statiska inloggningsuppgifter och isolerade policyer räcker inte.

Ansvaret för agentidentiteter är dessutom otydligt: det är uppdelat mellan olika team, och färre än hälften av organisationerna tror att de skulle klara en regelefterlevnadsgranskning av agentbeteende.

Vad bör företag göra nu?

Innan ni skalar upp AI-agenter i produktionsmiljöer bör ni:

• Inventera alla maskinidentiteter och tjänstekonton i era system
• Sluta dela mänskliga inloggningsuppgifter med agenter, använd dedikerade agentidentiteter
• Utse ett tydligt ägarskap för agentidentitetshantering
• Granska om ert IAM-system stödjer dynamisk, kontinuerlig autentisering

Vill du veta hur ert företag ligger till? Kontakta BlckIT för en genomgång av er identitetssäkerhet.