كشف تقرير حديث صادر عن Orchid Security أن الحسابات غير البشرية، مثل حسابات التطبيقات والخدمات والروبوتات، لا تزال تشكل نقطة عمياء متزايدة داخل بيئات الشركات، لا سيما في وقت تتجه فيه المؤسسات نحو توسيع استخدام وكلاء الذكاء الاصطناعي في عملياتها اليومية.
ووفقاً لتقرير “Identity Gap: 2026 Snapshot” الذي أعلنت عنه الشركة في 19 مايو 2026، فإن الهويات غير المرئية أو غير الخاضعة للإدارة المركزية باتت تمثل 57% من مشهد الهوية داخل المؤسسات، في مقابل 43% فقط للهويات التي يمكن لأنظمة إدارة الهوية والوصول (IAM) رؤيتها والتحكم بها. ويعني هذا أن جزءاً كبيراً من الوصول الفعلي لا يظهر داخل أدوات إدارة الهوية التقليدية. كما خلص إلى أن 67% من الحسابات غير البشرية تُنشأ مباشرة داخل التطبيقات، وهو ما يجعل حسابات الخدمات والروبوتات ومسارات التشغيل الآلي خارج نطاق الرقابة والرقابة المركزية في كثير من الحالات، وبعيداً عن برامج إدارة الهوية والوصول.
وتشير النتائج إلى أن المشكلة لا تقتصر على عدد الحسابات غير المدارة فحسب، بل تمتد لتشمل طبيعة الصلاحيات المرتبطة بها؛ إذ تكشف عن تداخل مخاطر عدة تزيد من أثر أي إساءة استخدام أو اختراق محتمل. وقد وجد التقرير أن 70% من تطبيقات المؤسسات تحتوي على عدد زائد من الحسابات ذات الامتيازات المرتفعة، وأن 57% من التطبيقات تتجاوز مزودي الهوية المركزيين، بينما تبقى 40% من الحسابات غير النشطة بعد مغادرة أصحابها أو انتهاء الحاجة إليها. كما رصد أن 36% من بيانات الاعتماد مخزنة داخل التطبيقات أو ملفات الإعدادات بصيغة واضحة أو مدمجة في الشيفرة.
وتزداد أهمية هذه الأرقام مع انتشار وكلاء الذكاء الاصطناعي، إذ يربط التقرير اتساع فجوة الهوية بتبني هذه التقنيات، لأن هذه الأنظمة الآلية قد تعمل عبر مسارات وصول غير خاضعة للحوكمة نفسها التي تُطبق عادة على المستخدمين البشريين، وقد تستخدم أسرع مسارات الوصول المتاحة حتى عندما تكون غير مخصصة لها أو غير خاضعة للرقابة. ووفقاً للتقرير، فإن النموذج التقليدي لإدارة الهوية مصمم أساساً للتعامل مع الموظفين والمستخدمين المعروفين، وليس مع أنظمة مستقلة قادرة على استخدام بيانات اعتماد قائمة أو التحرك عبر تطبيقات متعددة بسرعة عالية.
وفي هذا السياق، أوضح روي كاتمور، الرئيس التنفيذي والشريك المؤسس لشركة Orchid Security، أن الهويات التي لا تستطيع المؤسسات رؤيتها أصبحت تفوق تلك التي يمكنها إدارتها، معتبراً أن هذا الوضع يتحول من مجرد مشكلة أمنية وامتثالية إلى تحدٍ تشغيلي بارز في عصر وكلاء الذكاء الاصطناعي. وتؤكد الشركة أن الخطر يكمن خصوصاً في ما تسميه “التركيبات السامة”، مثل اجتماع حسابات غير نشطة مع صلاحيات مرتفعة، أو تطبيقات تتجاوز مزودي الهوية وتحتفظ في الوقت ذاته ببيانات اعتماد واضحة.
وتستند نتائج التقرير وبياناته إلى قياسات مجهولة المصدر مجمعة من تطبيقات مؤسسية منتشرة في أميركا الشمالية وأوروبا بين أبريل 2025 ومارس 2026، وتشمل قطاعات حيوية مثل الخدمات المالية، والرعاية الصحية، والتجزئة، والتصنيع، والطاقة، وهو ما يمنح النتائج طابعاً تشغيلياً مرتبطاً ببيئات حقيقية، موضحاً أن هذه الخلاصة تعكس أنماطاً فعلية من بيئات تشغيلية، ولا تقف عند مجرد مسح رأي أو تقديرات نظرية.
ويبرز التقرير في ختامه اتجاهاً أوسع في أمن الهوية المؤسسية؛ فكلما زادت المؤسسات اعتمادها على التطبيقات السحابية، والأنظمة المخصصة، ووكلاء الذكاء الاصطناعي، أصبح من الصعب الاكتفاء بضوابط الهوية المركزية التقليدية. وبناءً على ذلك، تتركز الأولوية العملية اليوم على اكتشاف الحسابات المحلية، ومراجعة الصلاحيات الزائدة، إلى جانب إزالة بيانات الاعتماد المدمجة في الشيفرة، وربط التطبيقات غير المرئية بأنظمة الحوكمة والمراجعة.
