Kontrola dostępu oparta na rolach dla agentów

Rozszerzenie RBAC o agentów AI jako osobny typ principal — definiujące jakie zasoby i akcje są dostępne dla agenta, niezależnie od uprawnień użytkownika w imieniu którego działa. RBAC na poziomie infrastruktury (nie promptu) jest odporny na permission injection.

W Polsce nazywane też:

RBAC agentówkontrola dostępu agentówrole agenta AIuprawnienia agenta enterprise

Role-Based Access Control (RBAC) to fundament bezpieczeństwa IT od dekad. Pracownik ma rolę — „analityk finansowy”, „manager sprzedaży”, „administrator IT” — i ta rola definiuje do czego ma dostęp. Nie osoba, nie jednostka — rola. System jest przewidywalny i audytowalny.

Gdy agent AI wchodzi do organizacji — RBAC staje przed nowym pytaniem: jaką „rolę” ma agent? Czy agent obsługi klienta powinien mieć takie same uprawnienia jak pracownik obsługi klienta? Czy powinien mieć węższe? Szersze? I co gdy ten sam agent działa dla różnych użytkowników z różnymi rolami?

Czym jest RBAC dla agentów

RBAC dla agentów (Role-Based Access Control) to rozszerzenie tradycyjnego modelu kontroli dostępu o agentów AI jako osobny typ principal — definiujące jakie zasoby, systemy i akcje są dostępne dla agenta, niezależnie od uprawnień użytkownika w imieniu którego działa, z możliwością kumulowania lub ograniczania uprawnień względem użytkownika.

Trzy modele RBAC dla agentów

Agent dziedziczy uprawnienia użytkownika: agent może robić dokładnie to co użytkownik. Prosta implementacja, ale ryzykowna — skompromitowany agent ma pełen dostęp użytkownika.

Agent ma własną rolę (mniejszą niż użytkownik): agent obsługi klienta ma dostęp do CRM — ale tylko do odczytu i tylko dla rekordów klientów przypisanych do tego użytkownika. Nie może modyfikować konfiguracji CRM nawet jeśli użytkownik może. Principle of least privilege w praktyce.

Agent ma własną rolę (większą niż użytkownik): możliwe w scenariuszach gdzie agent agreguje wiedzę z wielu źródeł dla user experience — agent widzący raporty z różnych działów, prezentujący syntezę użytkownikowi który nie ma dostępu do wszystkich źródeł. Ryzykowne, wymaga starannego zaprojektowania.

Azure RBAC dla agentów

Azure Active Directory (Microsoft Entra ID) pozwala tworzyć Service Principals dla agentów — tak jak dla aplikacji. Każdy agent ma własną tożsamość AAD z przypisanymi rolami Azure. Agent jest audytowalny przez Azure Monitor jako osobna tożsamość — nie jako „użytkownik X wykonał akcję” ale „agent Y działający dla użytkownika X wykonał akcję”.

Managed Identities pozwalają agentom uruchamianym w Azure (Azure Functions, Container Apps) uzyskiwać tokeny dostępu bez przechowywania credentials — agent „jest” tożsamością przez infrastrukturę Azure, nie przez klucz API przechowywany w kodzie.

RBAC a permission injection

RBAC zaimplementowany na poziomie infrastruktury (nie w prompcie agenta) jest odporny na permission injection. Agent nie może poprosić przez prompt o uprawnienia których nie ma — bo uprawnienia są zarządzane przez Azure RBAC/IAM, nie przez model językowy. To jest implementacja zasady że granice uprawnień muszą być na poziomie infrastruktury, nie promptu.

Powiązane pojęcia

Azure AI FoundryPlatforma Microsoft do budowania i zarządzania agentami AI w skali enterprise — z dostępem do modeli GPT i open-source, infrastrukturą RAG i fine-tuningu, narzędziami do monitoringu i enterprise-grade security (dane pozostają w tenant klienta). Dla firm z regulacjami które nie mogą wysyłać danych do publicznych API.Gotowość korporacyjna na agentówGotowość organizacji do wdrożenia agentów AI w środowisku korporacyjnym — obejmująca gotowość systemów (ERP/CRM z API), danych (ustrukturyzowane i dostępne), governance (polityki i audyt) i kulturową (pracownicy gotowi do współpracy z agentami). Fundamentalnie różna od agent-readiness strony WWW.Wstrzyknięcie uprawnieńAtak w którym złośliwe instrukcje wstrzyknięte w treść przetwarzaną przez agenta nakłaniają go do żądania lub samodzielnego przyznania sobie dodatkowych uprawnień wykraczających poza te zdefiniowane przez operatora. Kombinacja indirect prompt injection z privilege escalation — bardziej destrukcyjna niż zwykły prompt injection bo atakuje same granice działania agenta.Niekontrolowany rozrost agentówNiekontrolowana proliferacja agentów AI w organizacji — tworzonych bez centralnego nadzoru, dokumentacji ani review bezpieczeństwa — prowadząca do sytuacji w której organizacja nie wie ile agentów działa, do jakich zasobów mają dostęp i jakie ryzyko reprezentują. Enterprise-owa wersja shadow IT.Izolacja agentaZestaw mechanizmów izolacji środowiska wykonawczego agenta AI — ograniczających dostęp do zasobów systemu, sieci, danych i innych agentów — tak że kompromitacja lub błędne działanie agenta ma ograniczony zasięg i nie może się rozprzestrzeniać. Implementacja zasady defence in depth: nie eliminacja ryzyka, ale zawężenie jego konsekwencji.Uprawnienia agentaZestaw zdefiniowanych możliwości i ograniczeń agenta AI na danej stronie — co może zrobić (czytać, kupować, rezerwować) a czego nie może bez dodatkowej autoryzacji użytkownika.