La identidad corporativa fue construida para humanos, no para agentes de inteligencia artificial.

Presentado por 1Password

La incorporación de capacidades de agentes a los entornos empresariales está remodelando fundamentalmente el modelo de amenazas al introducir una nueva clase de actores en los sistemas de identidad. El problema: los agentes de IA actúan en sistemas empresariales sensibles, inician sesión, obtienen datos, llaman a herramientas LLM y ejecutan flujos de trabajo, a menudo sin la visibilidad o el control que los sistemas tradicionales de identidad y acceso fueron diseñados para imponer.

Las herramientas de inteligencia artificial y los agentes autónomos están proliferando en las empresas más rápido de lo que los equipos de seguridad pueden instrumentarlos o gobernarlos. Al mismo tiempo, la mayoría de los sistemas de identidad todavía asumen usuarios estáticos, cuentas de servicio de larga duración y asignaciones de roles aproximadas. No están diseñados para representar autoridad humana delegada, contextos de ejecución de corta duración o agentes que operan en ciclos de decisión rígidos.

Como resultado, los líderes de TI deben dar un paso atrás y repensar la propia capa de confianza. Este cambio no es teórico. NIST Arquitectura de confianza cero (SP 800-207) establece explícitamente que “todos los sujetos, incluidas las aplicaciones y las entidades no humanas, se consideran no confiables hasta que estén autenticados y autorizados”.

En un mundo agente, esto significa que los sistemas de IA deben tener identidades propias explícitas y verificables, y no operar a través de credenciales heredadas o compartidas.

“Las arquitecturas empresariales de IAM están diseñadas para asumir que todas las identidades en el sistema son humanas, lo que significa que dependen de un comportamiento consistente, una intención clara y una responsabilidad humana directa para reforzar la confianza”, dice Nancy Wang, CTO de 1Password y socia de riesgo de Felicis. “Los sistemas agentes rompen estos supuestos. Un agente de IA no es un usuario que se puede entrenar o revisar periódicamente. Es software que se puede copiar, bifurcar, escalar horizontalmente y dejar funcionando en ciclos de ejecución rígidos en múltiples sistemas. Si continuamos tratando a los agentes como humanos o cuentas de servicio estáticas, perdemos la capacidad de representar claramente para quién actúan, qué autoridad tienen y cuánto tiempo debe durar esa autoridad”.

Cómo los agentes de IA transforman los entornos de desarrollo en zonas de riesgo de seguridad

Uno de los primeros lugares donde se rompen estos supuestos de identidad es el entorno de desarrollo moderno. El entorno de desarrollo integrado (IDE) ha evolucionado más allá de un simple editor hasta convertirse en un orquestador capaz de leer, escribir, ejecutar, recuperar y configurar sistemas. Con un agente de IA en el centro de este proceso, las transiciones de inyección inmediatas no son sólo una posibilidad abstracta; se convierten en un riesgo concreto.

Debido a que los IDE tradicionales no fueron diseñados con agentes de IA como componente central, la adición de capacidades de IA no originales introduce nuevos tipos de riesgos que los modelos de seguridad tradicionales no fueron diseñados para considerar.

Por ejemplo, los agentes de IA violan sin darse cuenta los límites de confianza. Un README aparentemente inofensivo puede contener directivas ocultas que engañan a un asistente para que exponga las credenciales durante el análisis estándar. El contenido del proyecto de fuentes no confiables puede cambiar el comportamiento de los agentes de manera no deseada, incluso cuando ese contenido no tiene una similitud obvia con un mensaje.

Las fuentes de entrada ahora van más allá de los archivos que se ejecutan deliberadamente. Los agentes incorporan la documentación, los archivos de configuración, los nombres de los archivos y los metadatos de las herramientas como parte de sus procesos de toma de decisiones, lo que influye en cómo interpretan un proyecto.

La confianza disminuye cuando los agentes actúan sin intención o responsabilidad

Cuando se agregan agentes deterministas altamente autónomos que operan con privilegios elevados, con la capacidad de leer, escribir, ejecutar o reconfigurar sistemas, la amenaza aumenta. Estos agentes no tienen contexto ni capacidad para determinar si una solicitud de autenticación es legítima, quién delegó esa solicitud o los límites que deben establecerse en torno a esa acción.

“En el caso de los agentes, no se puede dar por sentado que tengan la capacidad de emitir juicios precisos y ciertamente carecen de un código moral”, afirma Wang. “Cada una de sus acciones debe restringirse adecuadamente, y el acceso a sistemas sensibles y lo que pueden hacer dentro de ellos debe definirse más claramente. La parte complicada es que continuamente están tomando medidas, por lo que también deben estar continuamente restringidos”.

Donde la IAM tradicional falla a los agentes

Los sistemas tradicionales de gestión de identidades y accesos funcionan basándose en varios supuestos básicos que la IA del agente viola:

Los modelos de privilegios estáticos fallan con los flujos de trabajo de agentes autónomos: La IAM convencional otorga permisos basados ​​en roles que permanecen relativamente estables a lo largo del tiempo. Pero los agentes realizan cadenas de acciones que requieren diferentes niveles de privilegios en diferentes momentos. El privilegio mínimo ya no puede ser una configuración de configúrelo y olvídese. Ahora debería tener un alcance dinámico con cada acción, con mecanismos de actualización y caducidad automática.

La responsabilidad humana se divide para los agentes de software: Los sistemas heredados suponen que cada identidad se remonta a una persona específica a la que se puede responsabilizar por las acciones realizadas, pero los agentes desdibujan por completo esa línea. Ahora no está claro cuándo actúa un agente ni bajo qué autoridad opera, lo que ya representa una enorme vulnerabilidad. Pero cuando ese agente se duplica, modifica o se deja en su lugar mucho después de que se haya cumplido su propósito original, el riesgo se multiplica.

La detección basada en comportamiento falla con la actividad continua del agente: Mientras que los usuarios humanos siguen patrones reconocibles, como iniciar sesión durante el horario comercial, acceder a sistemas familiares y realizar acciones alineadas con sus funciones laborales, los agentes operan continuamente en múltiples sistemas simultáneamente. Esto no solo multiplica el potencial de daño a un sistema, sino que también hace que los sistemas tradicionales de detección de anomalías marquen los flujos de trabajo legítimos como sospechosos.

Las identidades de los agentes suelen ser invisibles para los sistemas IAM tradicionales: Tradicionalmente, los equipos de TI pueden configurar y gestionar más o menos identidades que operan en su entorno. Pero los agentes pueden crear dinámicamente nuevas identidades, operar a través de cuentas de servicio existentes o aprovechar las credenciales de manera que las hagan invisibles para las herramientas IAM convencionales.

“Es todo el contexto, la intención detrás de un agente, y los sistemas IAM tradicionales no tienen la capacidad de gestionar eso”, afirma Wang. “Esta convergencia de diferentes sistemas hace que el desafío sea más amplio que la mera identidad, ya que requiere contexto y observabilidad para comprender no sólo quién actuó, sino también por qué y cómo”.

Repensar la arquitectura de seguridad para los sistemas de agentes

Proteger la IA de las agencias requiere repensar la arquitectura de seguridad empresarial desde cero. Se necesitan varios cambios importantes:

La identidad como plano de control de los agentes de IA: En lugar de tratar la identidad como un componente de seguridad entre muchos, las organizaciones deben reconocerla como el plano de control fundamental para los agentes de IA. Los principales proveedores de seguridad ya están avanzando en esta dirección, integrando la identidad en todas las pilas y soluciones de seguridad.

Acceso contextual como requisito para la IA del agente: Las políticas deben volverse mucho más granulares y específicas, definiendo no sólo a qué puede acceder un agente, sino bajo qué condiciones. Esto significa considerar quién invocó al agente, en qué dispositivo se está ejecutando, qué restricciones de tiempo se aplican y qué acciones específicas se permiten en cada sistema.

Manejo de credenciales de conocimiento cero para agentes autónomos: Un enfoque prometedor es mantener las credenciales completamente fuera de la vista de los agentes. Utilizando técnicas como el autocompletado de agentes, se pueden inyectar credenciales en los flujos de autenticación sin que los agentes las vean en texto plano, de forma similar a cómo funcionan los administradores de contraseñas para humanos, pero extendido a los agentes de software.

Requisitos de auditabilidad para agentes de IA: Los registros de auditoría tradicionales que rastrean las llamadas API y los eventos de autenticación son insuficientes. La auditabilidad del agente requiere capturar quién es el agente, bajo qué autoridad opera, qué alcance de autoridad se le ha otorgado y la cadena completa de acciones tomadas para realizar un flujo de trabajo. Esto refleja el registro de actividad detallado utilizado para los empleados humanos, pero debe adaptarse a entidades de software que realizan cientos de acciones por minuto.

Hacer cumplir los límites de confianza entre humanos, agentes y sistemas: Las organizaciones necesitan límites claros y aplicables que definan lo que un agente puede hacer cuando lo invoca una persona específica en un dispositivo específico. Esto requiere separar la intención de la ejecución: comprender lo que un usuario quiere que logre un agente y lo que el agente realmente hace.

El futuro de la seguridad empresarial en un mundo de agentes

A medida que la IA de los agentes se integra en los flujos de trabajo empresariales cotidianos, el desafío de seguridad no es si las organizaciones adoptarán agentes; se trata de si los sistemas que gobiernan el acceso pueden evolucionar para mantener el ritmo.

Es poco probable que el bloqueo de la IA en el perímetro crezca, pero tampoco lo hace la extensión de los modelos de identidad heredados. Lo que se necesita es un cambio hacia sistemas de identidad que puedan tener en cuenta el contexto, la delegación y la responsabilidad en tiempo real, tanto entre humanos, máquinas y agentes de IA.

“La funcionalidad progresiva para los agentes en producción no provendrá únicamente de modelos más inteligentes”, afirma Wang. “Esto vendrá de una autoridad predecible y límites de confianza aplicables. Las empresas necesitan sistemas de identidad que puedan representar claramente para quién actúa un agente, qué está autorizado a hacer y cuándo expira esa autoridad. Sin esto, la autonomía se convierte en un riesgo no gestionado. Al hacerlo, los agentes se vuelven gobernables”.

Los artículos patrocinados son contenidos producidos por una empresa que paga por la publicación o tiene una relación comercial con VentureBeat y siempre están claramente marcados. Para más información, póngase en contacto ventas@venturebeat.com.

Fuente