Desafios de Identidade em Agentes de IA: Uma Nova Era de Segurança Digital
No mundo digital em rápida evolução, a identidade dos agentes de IA gera novas questões de segurança e autorização. Alex Stamos, chefe de produto da Corridor, e Nancy Wang, CTO da 1Password, exploraram essas complexidades durante a série VB AI Impact Salon. Wang destacou que a questão não é apenas a quem o agente pertence, mas sob que autoridade ele opera, o que influencia diretamente a autorização e o acesso.
A Trajetória da 1Password no Problema de Identidade de Agentes
Wang explicou como a 1Password, inicialmente um gerenciador de senhas para consumidores, expandiu-se organicamente para o espaço corporativo. Essa transição aconteceu à medida que ferramentas confiáveis foram introduzidas nas empresas por funcionários. “Os agentes de IA enfrentam desafios semelhantes aos humanos, como a gestão de segredos”, afirmou Wang.
Equilibrando Agilidade e Segurança
Internamente, a 1Password monitora a proporção de incidentes em relação ao código gerado por IA, usando ferramentas como Claude Code e Cursor, para garantir a qualidade do código sem comprometer a segurança.
Riscos de Segurança em Desenvolvimento de Software
Stamos apontou que muitos desenvolvedores inserem credenciais diretamente nos prompts, um risco de segurança significativo. A Corridor identifica essas práticas para redirecionar os desenvolvedores para uma gestão de segredos adequada.
Wang destacou que a abordagem da 1Password envolve escanear o código conforme é escrito, armazenando em cofres qualquer credencial em texto simples antes que persista.
Desafios com Scanners de Segurança Tradicionais
Os modelos de linguagem podem gerar falsos positivos, que podem interromper sessões inteiras de codificação. Por isso, é crucial que os scanners de segurança sejam precisos, evitando interromper o fluxo de trabalho com alertas imprecisos.
A Complexidade da Autorização em Agentes de IA
Segundo Spiros Xanthos, fundador da Resolve AI, agentes autônomos possuem mais acesso do que qualquer outro software no ambiente corporativo, o que preocupa as equipes de segurança. A questão é fornecer identidades limitadas e auditáveis para esses agentes.
Wang mencionou padrões de identidade como SPIFFE e SPIRE, que estão sendo testados em contextos de agentes, mas reconheceu que a adaptação não é perfeita. A aplicação do princípio do menor privilégio é essencial, garantindo que agentes tenham acesso apenas às tarefas necessárias.
Abordagens para Identidade de Agentes
Para Stamos, extensões OIDC são as principais candidatas para padrões de identidade, enquanto soluções proprietárias não devem prevalecer. “Existem muitas startups com soluções proprietárias, mas nenhuma deve se estabelecer”, afirmou.
Identidade em Larga Escala: Um Desafio Crescente
Na esfera do consumidor, Stamos prevê que o problema de identidade se concentrará em poucos provedores confiáveis. Ele destacou que, em grandes plataformas, casos extremos podem se transformar em situações de dano real para os usuários.
Conclusão
Os desafios enfrentados pelos CTOs em relação aos agentes de IA derivam de padrões incompletos para identidade de agentes e ferramentas improvisadas. O futuro exige a construção de uma infraestrutura de identidade do zero, adaptada às características dos agentes, em vez de tentar adaptar sistemas projetados para humanos.
