Подлинные пользователи не всегда люди - и это не должно вас пугать
18 июня 2025 г.Переосмыслить, кого (или что) мы доверяем онлайн
Интернет был построен на предположении, что люди являются единственными подлинными пользователями. Он запечен в наши потоки аутентификации, наши капчи, нашу эвристику безопасности и даже наш язык. Мы говорим о «пользователях» как о людях, и о «ботах» как об угрозах.
Но это предположение ломается.
Сегодня некоторые из самых важных участников программных систем вообще не являются людьми. Это агенты: безголовые, автоматизированные, учетные материалы программного обеспечения, которые делают все, от извлечения данных о заработной плате до согласования страховых претензий к обработке гонораров в масштабе. Они глубоко интегрированы в услуги, на которые мы полагаемся каждый день, и все же многие платформы рассматривают их как вторжения.
«Пришло время прекратить путать автоматизацию с противниками», - говорит Лоран Левиле, менеджер сообщества в Deck. «Многие из этих ботов не являются злоумышленниками. Это рабочие процессы ваших клиентов, молча ломаясь, потому что ваша система не знает, как им доверять».
Наследие моделей доверия, ориентированных на человека,
Команды безопасности долгое время полагались на бинарную эвристику: люди хороши; Машины плохие. Это привело к распространению каптч, фильтров бота, ограниченных показателей и ненужщиков-пользователей, которые не проводят различий между состязательной автоматизацией и продуктивными агентами.
Эти модели работали какое -то время. Но современный интернет работает на API, запланированных заданиях и без серверных триггеров. Внутренние агенты и внешние интеграции ведут себя так же, как боты, потому что они есть. Они входят в систему, запрашивают данные, действуют предсказуемо и не щелкают, как человек. И вот в чем дело.
«То, что мы видим сейчас, так это то, что та же эвристика, предназначенная для того, чтобы не допустить, чтобы плохие актеры разбивали законные случаи использования внутри»,-говорит YG Leboeuf, соучредитель Deck. "Это включает в себя все, отот вознаграждений авиакомпаний до медицинских страховых поставщиков"
Лучшее определение "подлинного"
Итак, как вы различаете вредные боты и полезные?
Deck предлагает сдвиг: от моделей первого человека до первых намерений. Подлинные пользователи определяются не по биологии, а по его поведению.
Настоящий пользователь:
- Аутентифицирован: Они то, кем они утверждают.
- Разрешается: Они получают доступ к тому, что они должны.
- Целенаправленный: Их действия согласуются с известным и разрешенным вариантом использования.
Рассмотрим запланированный агент, который получает данные о расходах с 150 учетных записей сотрудников в конце каждого месяца. Это полномочия, общеизвестные и проверенные. Но большинство систем помечают его как подозрительно просто потому, что он входит в систему слишком быстро или слишком много доступно.
Между тем, настоящий человек может заниматься неустойчивой или злонамеренной деятельностью, которая летает под радаром просто потому, что использует браузер.
Это ошибочная парадигма. Нам нужно перевернуть это.
Скрытые затраты на это неправильно
Неверно классифицируя агентов как угрозы не только приводит к плохому UX. Он вводит риск:
- Продукт: Автоматизированные потоки разбиваются тихо. Заработная плата не работает. Отчеты не поданы. Данные теряются.
- Отток клиентов: Пользователи обвиняют продукт, а не правила безопасности. Поддержка билетов Spike.
- Инженерный долг: Разработчики вынуждены создавать специальные исключения. Хрупкость ползуется.
- Безопасность слепых пятен: Исключения ослабляют системы, открывая пути для фактического злоупотребления.
В Deck один клиент построил многоэтапный рабочий процесс апелляции, который полагался на внутренний агент, синхронизированный DAB Data Nightly. Когда их устаревший поставщик безопасности начал ограничивать ставку агента, он создал каскад сбоев вниз по течению. Потребовались недели, чтобы диагностировать.
Проектирование для гибридной идентичности
Современные системы должны вместить как людей, так и нечеловеческих моделей. Вот как это выглядит:
- Отдельные полномочия: Не используйте человеческие жетоны для агентов. Используйте учетные записи Scoped Service.
- Ограничения по цене: Ожидайте, что агенты будут быстро двигаться и работать 24/7. Дроссель по роли, а не сырой объем.
- Аудитория: Агенты должны регистрировать свои действия. Создать структурированные телеметрические трубопроводы.
- Управление жизненным циклом: Отслеживайте владение агентом, поверните секреты и установите устаревшие процессы.
- Поведенческие базовые показатели: Следите за тем, как выглядит «нормальный» для каждой личности. Флаг аномалии, а не автоматизации.
Культурный сдвиг в безопасности
Безопасность - это не просто сказать «нет». Речь идет о том, чтобы обеспечить систему работать так, как предполагалось, безопасно.
«Команды, которые выигрывают, - это не те, у кого самая жесткая защита», - говорит Левиле. «Это те, кто разрабатывает инфраструктуру, которая понимает разницу между риском и трением».
Это означает:
- Переход от привратника на включение
- Замена правил обнаружения тупого контекстуального анализа
- Создание не только для профилактики, но и для устойчивости
Не бойтесь агентов. Учиться у них.
Не каждый пользователь человек. Это не угроза. Это реальность. И все чаще это возможность.
Признавая и уважая автоматизацию как часть пользовательской базы, мы разблокируем лучшую надежность, более быстрой масштаб и более сильные системы. Компании, которые охватывают этот сдвиг, будут нанимать те, которые противостоят этому.
Пришло время перестать спрашивать: «Это бот?» И начните спрашивать: «Это доверяет?»
Оригинал