Quando um agente de IA precisa fazer login em seu CRM, extrair registros de seu banco de dados e enviar um e-mail em seu nome, qual identidade ele está usando? E o que acontece quando ninguém sabe a resposta? Alex Stamos, diretor de produtos da Corridor, e Nancy Wang, CTO da 1Password juntaram-se à VB AI Impact Salon Series para se aprofundar nos novos desafios da estrutura de identidade que acompanham os benefícios da IA de agente.
"A um nível elevado, não é apenas a quem este agente pertence ou a que organização este agente pertence, mas qual é a autoridade sob a qual este agente está a agir, o que então se traduz em autorização e acesso," Wang disse.
Como o 1Password acabou no centro do problema de identidade do agente
Wang traçou o caminho do 1Password neste território através da história de seu próprio produto. A empresa começou como um gerenciador de senhas de consumo e sua presença empresarial cresceu organicamente à medida que os funcionários trouxeram ferramentas em que já confiavam para seus locais de trabalho.
"Depois que essas pessoas se acostumaram com a interface e realmente gostaram dos padrões de segurança e privacidade que oferecemos como garantia aos nossos clientes, eles a trouxeram para a empresa," ela disse. A mesma dinâmica está acontecendo agora com a IA, acrescentou ela. "Os agentes também possuem segredos ou senhas, assim como os humanos."
Internamente, o 1Password está enfrentando a mesma tensão que ajuda os clientes a gerenciar: como permitir que os engenheiros atuem rapidamente sem criar uma confusão de segurança. Wang disse que a empresa rastreia ativamente a proporção de incidentes em relação ao código gerado por IA, à medida que os engenheiros usam ferramentas como Claude Code e Cursor. "Essa é uma métrica que monitoramos atentamente para garantir que estamos gerando código de qualidade."
Como os desenvolvedores estão incorrendo em grandes riscos de segurança
Stamos disse que um dos comportamentos mais comuns observados pelo Corridor é que os desenvolvedores colem credenciais diretamente nos prompts, o que representa um enorme risco de segurança. O corredor sinaliza isso e envia o desenvolvedor de volta ao gerenciamento adequado de segredos.
"O padrão é pegar uma chave de API ou pegar seu nome de usuário e senha e colá-los no prompt," ele disse. "Encontramos isso o tempo todo porque estamos conectados e pegando o prompt."
Wang descreveu a abordagem do 1Password como trabalhando no lado da saída, escaneando o código à medida que ele é escrito e guardando quaisquer credenciais de texto simples antes que elas persistam. A tendência para o método recortar e colar de acesso ao sistema é uma influência direta nas escolhas de design do 1Password, que visa evitar ferramentas de segurança que criam atrito.
"Se for muito difícil de usar, inicializar e integrar, não será seguro porque, francamente, as pessoas irão simplesmente ignorá-lo e não usá-lo," ela disse.
Por que você não pode tratar um agente de codificação como um scanner de segurança tradicional
Outro desafio na construção de feedback entre agentes de segurança e modelos de codificação são os falsos positivos, aos quais modelos de linguagem grande, muito amigáveis e agradáveis, estão propensos. Infelizmente, esses falsos positivos dos scanners de segurança podem inviabilizar uma sessão de código inteira.
"Se você disser que isso é uma falha, será tipo, sim, senhor, é uma falha total!" Stamos disse. Mas, ele acrescentou, "Você não pode errar e ter um falso positivo, porque se você disser isso e estiver errado, arruinará completamente sua capacidade de escrever o código correto."
Essa compensação entre precisão e recall é estruturalmente diferente daquela para a qual as ferramentas tradicionais de análise estática são projetadas para otimizar, e exigiu engenharia significativa para atingir a latência necessária, da ordem de algumas centenas de milissegundos por varredura.
A autenticação é fácil, mas a autorização é onde as coisas ficam difíceis
"Um agente normalmente tem muito mais acesso do que qualquer outro software no seu ambiente," observou Spiros Xanthos, fundador e CEO da Resolve AI, em uma sessão anterior do evento. "Portanto, é compreensível que as equipes de segurança estejam tão preocupadas com isso. Porque se esse vetor de ataque for utilizado, ambos poderão resultar em uma violação de dados, mas, pior ainda, talvez você tenha algo lá que possa agir em nome de um invasor."
Então, como você fornece aos agentes autônomos identidades com escopo definido, auditáveis e com tempo limitado? Wang apontou SPIFFE e SPIRE, padrões de identidade de carga de trabalho desenvolvidos para ambientes conteinerizados, como candidatos sendo testados em contextos de agente. Mas ela reconheceu que o ajuste é difícil.
"Estamos forçando um pino quadrado em um buraco redondo," ela disse.
Mas a autenticação é apenas metade disso. Depois que um agente possui uma credencial, o que ele realmente pode fazer? É aqui que o princípio do menor privilégio deve ser aplicado às tarefas, e não às funções.
"Você não gostaria de dar a um humano um cartão-chave para um prédio inteiro que tenha acesso a todos os cômodos do prédio," ela explicou. "Você também não quer dar a um agente as chaves do reino, uma chave de API para fazer o que for necessário para sempre. Ele precisa ter um limite de tempo e também da tarefa que você deseja que o agente execute."
Em ambientes empresariais, não será suficiente conceder acesso com escopo definido; as organizações precisarão saber qual agente agiu, sob que autoridade e quais credenciais foram usadas.
Stamos apontou as extensões OIDC como as atuais pioneiras nas conversas sobre padrões, ao mesmo tempo em que descartou a safra de soluções proprietárias.
"Existem 50 startups que acreditam que sua solução patenteada será a vencedora," ele disse. "A propósito, nenhum deles vencerá, então eu não recomendaria."
Com um bilhão de usuários, casos extremos não são mais casos extremos
Do lado do consumidor, Stamos previu que o problema de identidade se consolidará em torno de um pequeno número de fornecedores confiáveis, muito provavelmente as plataformas que já ancoram a autenticação do consumidor. Aproveitando seu tempo como CISO no Facebook, onde a equipe lidava com cerca de 700.000 aquisições de contas por dia, ele reformulou o que a escala afeta ao conceito de caso extremo.
"Quando você é o CISO de uma empresa que tem um bilhão de usuários, o caso secundário é algo que significa dano humano real," ele explicou. "E assim a identidade, para pessoas normais, para agentes, daqui para frente será um problema enorme."
Em última análise, os desafios que os CTOs enfrentam no lado dos agentes decorrem de padrões incompletos para a identidade dos agentes, ferramentas improvisadas e empresas que implementam agentes mais rapidamente do que as estruturas destinadas a governá-los podem ser escritas. O caminho a seguir exige a construção de uma infraestrutura de identidade do zero em torno do que os agentes realmente são, e não a adaptação do que foi construído para os humanos que os criaram.
