تتجه الشركات بسرعة إلى تبني وكلاء الذكاء الاصطناعي لتنفيذ مهام كانت تحتاج سابقًا إلى تدخل بشري مباشر، لكن هذا الانتشار السريع كشف فجوة كبيرة في الحوكمة والأمن. وفي هذا السياق، أعلنت مايكروسوفت إخراج منصة Agent 365 من مرحلة التجربة إلى الإتاحة العامة، في خطوة تعكس أن إدارة الوكلاء لم تعد مسألة مستقبلية، بل تحديًا عمليًا يضغط على فرق تقنية المعلومات والأمن اليوم.
المنصة الجديدة صُممت لتكون طبقة تحكم مركزية تتيح للمؤسسات اكتشاف الوكلاء ومراقبتهم وتنظيم صلاحياتهم أينما عملوا: داخل بيئة مايكروسوفت، أو على منصات سحابية منافسة مثل AWS وGoogle Cloud، أو على أجهزة الموظفين الشخصية والمحمولة، أو ضمن تطبيقات وخدمات SaaS التابعة لشركاء تقنيين. الفكرة الأساسية هنا أن الوكيل لم يعد مجرد أداة مساعدة، بل كيان برمجي يمكنه الوصول إلى البيانات، وتشغيل الأدوات، والتصرف بالنيابة عن المستخدم أو بشكل مستقل.
لماذا أصبح أمن الوكلاء أولوية عاجلة؟
ترى مايكروسوفت أن المؤسسات دخلت مرحلة جديدة من الفوضى التقنية، حيث تجاوزت قدرات وكلاء الذكاء الاصطناعي الأطر التي بُنيت أصلًا لإدارة التطبيقات السحابية والبرامج التقليدية. الفرق هنا ليس في عدد الأدوات فقط، بل في طبيعة عملها؛ فالوكيل يستطيع أن يتصل بأنظمة متعددة، ويجمع المعلومات، وينسق بين مهام مختلفة، ثم يتخذ إجراءً قد يكون حساسًا من الناحية الأمنية أو التنظيمية.
وتشير الشركة إلى أن هناك ثلاث مشكلات بارزة تظهر بالفعل داخل بيئات العمل. الأولى تتعلق بربط الوكلاء بخوادم أو أنظمة خلفية حساسة دون ضوابط كافية، ما قد يفتح الباب لتسريب بيانات شخصية أو معلومات تشغيلية. الثانية هي هجمات الحقن عبر البيانات غير الموثوقة، حيث يُخفى في المستندات أو التذاكر أو المواقع نصّ خبيث يدفع الوكيل إلى تنفيذ أوامر غير مقصودة. أما الثالثة فتتمثل في أن كثيرًا من أنظمة حماية البيانات الحالية ليست مهيأة لفهم أنماط وصول الوكلاء، وبالتالي قد تمنحهم صلاحيات أو تكشف لهم بيانات لا ينبغي الوصول إليها.
ما الذي يقدمه Agent 365 للمؤسسات؟
تعمل Agent 365 كقاعدة مركزية لتسجيل الوكلاء وإدارة سياساتهم، بحيث تمنح مسؤولي التقنية والأمن رؤية موحدة لكل وكيل يعمل داخل المؤسسة. وتشمل هذه الرؤية الوكلاء الذين يُبنون عبر أدوات مايكروسوفت، أو يُشغّلون على خدمات خارجية، أو يأتون عبر تكاملات من شركاء برامج الأعمال. وبذلك يصبح لدى الفريق التقني سجل أوضح لمن يستخدم ماذا، وأين يعمل، وما الصلاحيات المرتبطة به.
المنصة تدعم أيضًا مستويات مختلفة من التشغيل. فهناك وكلاء يعملون بالنيابة عن المستخدم وفق صلاحياته، وهناك وكلاء يملكون صلاحياتهم الخاصة ويؤدون مهامًا خلف الكواليس، وهناك فئة ثالثة تدخل ضمن سير العمل الجماعي وتتاح الآن في المعاينة العامة. هذا التقسيم مهم لأنه يساعد المؤسسات على فرز المخاطر بحسب نمط الاستخدام، بدل التعامل مع جميع الوكلاء باعتبارهم كيانًا واحدًا متشابهًا.
وتتوفر Agent 365 ضمن حزمة Microsoft 365 E7 أو كمنتج مستقل بسعر 15 دولارًا لكل مستخدم شهريًا. هذه التسعيرة لا تعتمد على عدد الوكلاء أنفسهم، بل على عدد الأشخاص الذين يديرونهم أو يستخدمونهم أو يموّلون عملهم داخل المؤسسة، وهي آلية تعكس أن عدد الوكلاء قد يتغير باستمرار بينما يظل الموظفون أو المشرفون هم نقطة التحكم الأساسية.
اكتشاف «الذكاء الظلّي» على أجهزة الموظفين
أكثر ما يلفت الانتباه في التحديث الجديد هو تركيزه على ما تسميه مايكروسوفت الذكاء الظلّي، وهو الوكلاء أو الأدوات الذكية التي يثبتها الموظفون على أجهزتهم دون علم قسم التقنية أو موافقته. هذا النوع من الاستخدام يشبه إلى حد كبير ظاهرة البرامج الظلية في المؤسسات، لكنه أكثر تعقيدًا لأنه قد يمتلك قدرة مباشرة على الوصول إلى البيانات والنماذج والأدوات الداخلية.
ولمواجهة ذلك، بدأت مايكروسوفت عبر برنامج Frontier في تمكين المؤسسات من استخدام Agent 365 لاكتشاف بعض الوكلاء المحليين على أجهزة ويندوز المدارة، بالاعتماد على Microsoft Defender وIntune. ويمكن للمسؤولين الاطلاع على الأجهزة التي تشغّل هذه الأدوات، ثم فرض سياسات تمنع طرق تشغيل شائعة، مع وجود صفحة مخصصة داخل مركز إدارة Microsoft 365 تجمع المعلومات المتعلقة بهذا النوع من المخاطر.
وتعتزم الشركة توسيع نطاق التعرف على الوكلاء المحليين ليشمل أنواعًا أكثر خلال الأشهر المقبلة، من بينها أدوات مثل GitHub Copilot CLI وClaude Code. وتعتمد آلية الاكتشاف على بيانات القياس عن بُعد في الأجهزة، حيث يمكن تحديد التطبيقات التي تتصل بنقاط استدلال الذكاء الاصطناعي، ثم نقل هذه الرؤية إلى فرق الأمن لتقييم إن كانت تلك الاتصالات مناسبة أو تشكل خطرًا على المؤسسة.
من الرؤية إلى الاحتواء: دور Defender وIntune
لا تكتفي Agent 365 بعرض قائمة الوكلاء، بل تمتد إلى ما تسميه مايكروسوفت ربط أصول المخاطر أو asset context mapping. هذه الميزة تبني خريطة علاقات توضّح على أي جهاز يعمل الوكيل، وبأي خوادم يتصل، وما الهوية المرتبطة به، وإلى أي موارد سحابية يمكن لتلك الهوية الوصول. الهدف هنا هو قياس نطاق الضرر المحتمل إذا تم اختراق الوكيل أو تصرف بطريقة غير سليمة.
هذه الرؤية تساعد فرق الأمن على الإجابة عن سؤال أساسي: ما الذي يمكن أن يتأثر إذا خرج هذا الوكيل عن السيطرة؟ فعندما يكون الوكيل مرتبطًا بجهاز حساس أو قاعدة بيانات مهمة أو مجموعة واسعة من الحسابات، يصبح أي خلل فيه ذا أثر أوسع بكثير من مجرد خطأ فردي في برنامج عادي.
كما تسمح المنصة بفرض ضوابط تعتمد على السياسات، بحيث يمكن حظر الوكلاء عند رصد سلوك مشبوه، مثل محاولة الوصول إلى بيانات حساسة أو سحبها إلى خارج البيئة المسموح بها. وفي هذه الحالة لا يقتصر الأمر على التنبيه، بل يمكن لـ Defender التدخل في الزمن الحقيقي ووقف النشاط المريب وإرفاق سياق تحقيق يسهّل على فرق الحوادث فهم ما حدث.
امتداد الحوكمة إلى السحابة المنافسة
في خطوة لافتة من الناحية الاستراتيجية، لا تضع مايكروسوفت Agent 365 داخل حدود منظومتها فقط، بل تمدها إلى منصات سحابية أخرى. فقد بدأت الشركة في طرح مزامنة سجل الوكلاء مع AWS Bedrock ومع بيئة Google Cloud الخاصة بوكلاء Gemini Enterprise، ما يسمح لفرق التقنية باكتشاف الوكلاء هناك وإدارتهم مبدئيًا من مكان واحد.
هذا التوجه يعكس واقعًا شائعًا في الشركات الكبيرة، وهو أن البنية التحتية لم تعد تدور حول مزود واحد. لذلك، ترى مايكروسوفت أن أي منصة حوكمة ناجحة يجب أن تعمل عبر أكثر من سحابة، حتى لو اختلفت التفاصيل الدقيقة للضوابط من مزود إلى آخر. وفي المستوى العملي، تتيح هذه المزامنة إنشاء جرد موحد ثم تنفيذ إجراءات مثل بدء الوكلاء أو إيقافهم أو حذفهم وفق الحاجة.
وبالتوازي، توسّع الشركة ضوابط الشبكة في Entra لتشمل حركة مرور الوكلاء القادمين من Copilot Studio أو من الأجهزة المحلية. هذا يضيف طبقة حماية أخرى تسمح بمراقبة الاتصالات، وحجب الوجهات غير المصرح بها، وتقليل احتمالات تمرير الأوامر الضارة أو نقل الملفات الخطرة عبر مسارات غير آمنة.
منع المخاطر عبر العزل والتقسيم
إلى جانب الحوكمة والمراقبة، تقدم مايكروسوفت خيارًا آخر مهمًا وهو Windows 365 for Agents، المتاح حاليًا في المعاينة العامة داخل الولايات المتحدة. الفكرة هي توفير بيئة سحابية معزولة تُشغَّل فيها بعض وكلاء الذكاء الاصطناعي بدلًا من تشغيلهم مباشرة على أجهزة الموظفين، خاصة عندما تكون طبيعة العمل عالية الحساسية.
هذا النموذج يحقق ما يشبه “الحجر الأمني” للوكيل: بدلاً من منحه وصولًا مباشرًا إلى جهاز الموظف، يمكن تشغيله داخل Cloud PC منفصل، مع إدارة مركزية عبر Intune وربطه بسياسات الهوية والأمان نفسها المستخدمة للموظفين. وتعتبر مايكروسوفت أن هذا النهج يناسب المؤسسات التي تريد الاستفادة من قدرات الوكلاء دون تعريض بيئتها الأساسية لمخاطر غير ضرورية.
شراكات أوسع وواضح أن الوكلاء أصبحوا فئة برمجية جديدة
كما وسّعت مايكروسوفت شبكة الشركاء الذين يمكن إدارة وكلائهم عبر Agent 365، بما يشمل شركات ومنصات متعددة في مجالات الإنتاجية وإدارة الأعمال وخدمات المؤسسات. وتتم عملية الإعداد عادة عبر الهوية أولًا، ثم عبر أدوات تطوير أعمق عند الحاجة إلى رؤية تشغيلية أدق. وهذا يعني أن المؤسسة يمكن أن تبدأ بخطوة بسيطة نسبيًا، ثم تتدرج لاحقًا نحو مستوى أكبر من التكامل والرقابة.
الرسالة الأوسع من هذا الإطلاق واضحة: الوكلاء لم يعودوا مجرد امتداد لتطبيقات الذكاء الاصطناعي، بل أصبحوا طبقة برمجية جديدة تحتاج إلى أدوات إدارة شبيهة بتلك التي استُخدمت لعقود مع التطبيقات والأجهزة والحسابات. وإذا كانت المؤسسات قد تعلّمت سابقًا كيف تدير السحابة والهوية والأجهزة الطرفية، فإنها اليوم مطالبة بتعلم كيفية إدارة الذكاء الاصطناعي الوكيلي بالقدر نفسه من الانضباط.
ومع اتساع استخدام هذه الأدوات داخل أقسام التطوير والدعم وخدمة العملاء والعمليات، يبدو أن التحدي الحقيقي لن يكون في تبنيها فقط، بل في معرفة أين تعمل، وما الذي تصل إليه، وكيف يمكن إيقافها عندما تتحول من أداة مفيدة إلى مصدر تهديد. وهنا بالضبط تراهن مايكروسوفت على Agent 365 باعتبارها طبقة ضبط تحاول أن تسبق الفوضى قبل أن تتحول إلى واقع دائم داخل المؤسسة.