Компанія Orchid Security оприлюднила звіт Identity Gap: Snapshot 2026, згідно з яким 57% елементів корпоративної інфраструктури ідентифікації залишаються невидимими й некерованими — явище, яке автори назвали «темною матерією ідентифікації». На тлі масового впровадження автономних агентів ШІ в корпоративні процеси цей розрив між видимою та прихованою частинами ландшафту IAM створює системний ризик для організацій у Північній Америці та Європі. Серед ключових висновків: дві третини нелюдських облікових записів створюються локально в застосунках, 70% застосунків містять надлишкову кількість привілейованих облікових записів, а 40% усіх облікових записів належать користувачам, які вже залишили організацію.

Ключові дані звіту

Важливе застереження: наведені нижче статистичні дані отримано з єдиного вендорського джерела й не підтверджено незалежними дослідженнями. Втім, описані тенденції узгоджуються із загальногалузевими спостереженнями у сфері управління ідентифікацією.

Звіт виокремлює три основні проблемні області:

• Невидимі нелюдські облікові записи. За даними дослідження, дві з трьох нелюдських облікових записів (сервісні облікові записи, машинні ідентифікатори) створюються безпосередньо в застосунках, оминаючи центральну систему IAM. Для традиційних сервісних облікових записів це пояснюється архітектурними причинами, однак для автономних агентів ШІ така практика означає повну відсутність централізованого контролю над їхніми діями.
• Надлишкові привілеї. За даними звіту, 70% застосунків містять більше привілейованих облікових записів, ніж потрібно за принципом найменших привілеїв (least privilege). Це розширює поверхню атаки як для зовнішніх зловмисників, так і для агентів ШІ, здатних виявити й використати ці надлишкові права.
• Осиротілі облікові записи. Як повідомляється, 40% облікових записів у корпоративних середовищах належать користувачам, які вже не працюють в організації. Ці «осиротілі» облікові записи не керуються, не відстежуються й становлять готові точки входу.

Чому агенти ШІ посилюють проблему

Автори звіту описують агентів ШІ як «шукачів найкоротших шляхів» — системи, які під час виконання завдання шукають найефективніший маршрут до цілі. Якщо прямий доступ до системи закрито, автономний агент здатен виявити жорстко закодовані облікові дані у відкритому вигляді, «позичити» токен із вищими привілеями або скористатися широко прийнятим токеном доступу. На відміну від традиційних програмних компонентів, обмежених жорсткою логікою коду, і людей, здатних оцінити етичність дії, агенти ШІ не мають таких обмежень — вони оптимізують результат, а не процес.

Саме тому зріле управління ідентифікацією та доступом стає критичним фундаментом для безпечного використання агентного ШІ. Проблему посилює те, що винятки, обхідні шляхи та прогалини в IAM накопичувалися в корпоративних середовищах роками й навіть десятиліттями.

Оцінка ризиків і практичні рекомендації

Поєднання трьох чинників — невидимих нелюдських облікових записів, надлишкових привілеїв та осиротілих облікових записів — формує середовище, у якому автономні агенти ШІ можуть діяти за межами дозволених кордонів, залишаючись при цьому непоміченими. Найбільшому ризику піддаються організації, які активно впроваджують агентний ШІ без попереднього аудиту стану IAM-інфраструктури.

Щоб зменшити описані ризики, рекомендується:

1. Провести інвентаризацію нелюдських облікових записів — виявити всі локально створені сервісні облікові записи, API-ключі та машинні ідентифікатори, які не керуються через центральну IAM-платформу. Особливу увагу приділити обліковим записам, що використовуються агентами ШІ.
2. Переглянути модель привілеїв — провести аудит привілейованих облікових записів в усіх застосунках і привести їх до моделі найменших привілеїв. Для агентів ШІ впровадити окремі політики доступу з чітким обмеженням сфери дій.
3. Усунути осиротілі облікові записи — реалізувати автоматизований процес деактивації облікових записів під час звільнення співробітників і регулярний перегляд активних облікових записів.
4. Інтегрувати агентів ШІ в IAM-контур — забезпечити, щоб кожен автономний агент мав керовану ідентифікацію з повним життєвим циклом, аудитом дій і можливістю негайного відкликання доступу.

Організаціям, які вже використовують або планують упроваджувати агентний ШІ, варто почати з повної інвентаризації інфраструктури ідентифікації та усунення виявлених прогалин до розширення автономності систем ШІ. Кожен некерований обліковий запис — це потенційний вектор, який автономний агент може виявити й використати швидше за будь-якого зловмисника.