Компания Orchid Security опубликовала отчёт Identity Gap: Snapshot 2026, согласно которому 57% элементов корпоративной инфраструктуры идентификации остаются невидимыми и неуправляемыми — явление, названное авторами «тёмной материей идентификации». На фоне массового внедрения автономных ИИ-агентов в корпоративные процессы этот разрыв между видимой и скрытой частями IAM-ландшафта создаёт системный риск для организаций в Северной Америке и Европе. Среди ключевых находок: две трети нечеловеческих учётных записей создаются локально в приложениях, 70% приложений содержат избыточное число привилегированных аккаунтов, а 40% всех учётных записей принадлежат пользователям, которые уже покинули организацию.

Ключевые данные отчёта

Важная оговорка: приведённые ниже статистические данные получены из единственного вендорского источника и не подтверждены независимыми исследованиями. Тем не менее описанные тенденции согласуются с общеотраслевыми наблюдениями в сфере управления идентификацией.

Отчёт выделяет три основных проблемных области:

• Невидимые нечеловеческие учётные записи. По данным исследования, две из трёх нечеловеческих учётных записей (сервисные аккаунты, машинные идентификаторы) создаются непосредственно в приложениях, минуя центральную систему IAM. Для традиционных сервисных аккаунтов это объяснимо архитектурными причинами, однако для автономных ИИ-агентов такая практика означает полное отсутствие централизованного контроля над их действиями.
• Избыточные привилегии. 70% приложений, по данным отчёта, содержат больше привилегированных учётных записей, чем требуется по принципу минимальных привилегий (least privilege). Это расширяет поверхность атаки как для внешних злоумышленников, так и для ИИ-агентов, способных обнаружить и использовать эти избыточные права.
• Орфанные учётные записи. 40% учётных записей в корпоративных средах, как сообщается, принадлежат пользователям, которые уже не работают в организации. Эти «осиротевшие» аккаунты не управляются, не отслеживаются и представляют собой готовые точки входа.

Почему ИИ-агенты усиливают проблему

Авторы отчёта характеризуют ИИ-агентов как «искателей кратчайших путей» — систем, которые при выполнении задачи ищут наиболее эффективный маршрут к цели. Если прямой доступ к системе закрыт, автономный агент способен обнаружить жёстко закодированные учётные данные в открытом виде, «позаимствовать» токен с более высокими привилегиями или использовать широко принимаемый токен доступа. В отличие от традиционных программных компонентов, ограниченных жёсткой логикой кода, и людей, способных оценить этичность действия, ИИ-агенты не имеют подобных ограничений — они оптимизируют результат, а не процесс.

Именно поэтому зрелое управление идентификацией и доступом становится критическим фундаментом для безопасного использования агентного ИИ. Проблема усугубляется тем, что исключения, обходные пути и пробелы в IAM накапливались в корпоративных средах годами и даже десятилетиями.

Оценка рисков и практические рекомендации

Сочетание трёх факторов — невидимых нечеловеческих аккаунтов, избыточных привилегий и орфанных учётных записей — формирует среду, в которой автономные ИИ-агенты могут действовать за пределами авторизованных границ, оставаясь при этом незамеченными. Наибольшему риску подвержены организации, которые активно внедряют агентный ИИ без предварительного аудита состояния IAM-инфраструктуры.

Для снижения описанных рисков рекомендуется:

1. Провести инвентаризацию нечеловеческих учётных записей — выявить все локально созданные сервисные аккаунты, API-ключи и машинные идентификаторы, не управляемые через центральную IAM-платформу. Особое внимание уделить учётным записям, используемым ИИ-агентами.
2. Пересмотреть модель привилегий — провести аудит привилегированных аккаунтов во всех приложениях и привести их к модели минимальных привилегий. Для ИИ-агентов внедрить отдельные политики доступа с явным ограничением области действий.
3. Устранить орфанные учётные записи — реализовать автоматизированный процесс деактивации аккаунтов при увольнении сотрудников и регулярный пересмотр активных учётных записей.
4. Интегрировать ИИ-агентов в IAM-контур — обеспечить, чтобы каждый автономный агент имел управляемую идентификацию с полным жизненным циклом, аудитом действий и возможностью немедленного отзыва доступа.

Организациям, которые уже используют или планируют внедрять агентный ИИ, следует начать с полной инвентаризации идентификационной инфраструктуры и устранения обнаруженных пробелов до расширения автономности ИИ-систем. Каждая неуправляемая учётная запись — это потенциальный вектор, который автономный агент может обнаружить и использовать быстрее любого злоумышленника.