Anthony Grieco, vicepresidente senior di Cisco e responsabile della sicurezza e della fiducia, non ha esitato quando VentureBeat ha chiesto se gli incidenti dovuti advert agenti non autorizzati stanno raggiungendo la base clienti di Cisco.
“Al cento per cento. Li vediamo regolarmente”, ha detto Grieco a VentureBeat in un’intervista esclusiva all’RSAC 2026. “Ne ho sentiti alcuni che non posso ripetere, ma arrivano nei luoghi in cui, sai, gli agenti stanno facendo cose che pensano siano le cose giuste da fare.”
Gli incidenti descritti da Grieco seguono uno schema coerente: autenticazione superata, controlli di identità chiari. L’agente è esattamente chi afferma di essere. Quindi accede a dati che non è mai stato previsto di toccare o intraprende un’azione che nessuno ha autorizzato a quel livello di granularità. Il fallimento non è l’identità; è autorizzazione.
“L’azienda cube cose del tipo: avremo 500 agenti per dipendente”, ha detto Grieco a VentureBeat. “I chief della sicurezza sono davvero concentrati su come garantire che lo facciamo in modo sicuro.”
Rapporto Cisco sullo stato della sicurezza AI 2026 hanno rilevato che l’83% delle organizzazioni prevedeva di implementare le capacità degli agenti, ma solo il 29% si sentiva pronto a garantirle. Cinque fornitori hanno fornito framework di identità degli agenti all’RSAC 2026. Nessuno ha colmato ogni lacuna. Ciò embody Cisco.
VentureBeat ha mappato quattro lacune autorizzative nell’intervista esclusiva di Grieco e cinque fonti indipendenti. La matrice prescrittiva alla wonderful di questa storia è cosa fare al riguardo.
Nessuno ha ancora colmato il divario autorizzativo
Grieco è cresciuto attraverso le organizzazioni di ingegneria e ricerca sulle minacce di Cisco prima di assumere un ruolo a cavallo di entrambi gli aspetti delle operazioni di sicurezza dell’azienda: costruire i prodotti venduti da Cisco e gestire il programma che difende Cisco stessa.
Il divario autorizzativo da lui descritto è specifico e operativo.
“Questo agente qui è un agente finanziario, ma anche se fosse un agente finanziario, non dovrebbe accedere a tutti i dati finanziari”, ha detto Grieco a VentureBeat. “Dovrebbe accedere alle word spese, e non solo alle word spese, ma alle singole word spese in un determinato momento. Ottenere questo tipo di controllo granulare è davvero una delle cose più importanti che ci aiuterà a dire sì a molti degli sviluppi degli agenti.”
Professionisti indipendenti hanno confermato lo schema durante RSAC 2026. Kayne McGladrey, un membro senior dell’IEEE, ha dichiarato a VentureBeat che le organizzazioni per impostazione predefinita clonano i profili utente umani per gli agenti e l’espansione dei permessi inizia dal primo giorno. Carter Rees, vicepresidente dell’IA presso Reputazioneindividuato il motivo strutturale. Il piano di autorizzazione piatto di un LLM non rispetta le autorizzazioni degli utenti, ha detto Rees a VentureBeat. Un agente su quel piano non ha bisogno di aumentare i privilegi. Li ha già.
“La sfida più grande che vediamo è sapere cosa sta succedendo”, ha detto Grieco. “Essere in grado di avere mappe di controllo dell’identità e dell’accesso a questi, è davvero cruciale.”
Elia Zaitsev, CTO di CrowdStrike, ha descritto la dimensione della visibilità in un’intervista esclusiva a VentureBeat all’RSAC 2026. Nella maggior parte delle configurazioni di registrazione predefinite, l’attività di un agente è indistinguibile da quella di un essere umano. Per distinguere i due è necessario percorrere l’albero dei processi. La maggior parte dei log aziendali non è in grado di fare questa distinzione.
Cinque fornitori hanno fornito framework di identità degli agenti a RSAC, incluso Duo IAM di Cisco e controlli del gateway MCP. Nessuno ha colmato tutte le lacune identificate da VentureBeat. Le quattro lacune sottostanti sono ciò che rimane aperto.
Gli organismi di normalizzazione stanno convergendo sulla stessa diagnosi
Le lacune autorizzative e identitarie descritte da Grieco non sono solo osservazioni dei fornitori. Tre organismi di normalizzazione indipendenti hanno raggiunto conclusioni parallele all’inizio del 2026. NCCoE del NIST ha pubblicato un idea paper nel febbraio 2026, “Accelerare l’adozione di software program e identità e autorizzazione degli agenti AI”, chiedendo esplicitamente progetti dimostrativi su come gli normal di identità esistenti si applicano agli agenti autonomi.
IL OWASP Top 10 per le applicazioni agentipubblicato nel dicembre 2025, ha identificato l’uso improprio degli strumenti derivante da accessi eccessivamente privilegiati e delega non sicura come rischi di primo livello. E il La Cloud Security Alliance ha lanciato la Fondazione CSAI all’RSAC 2026 con la missione “Proteggere il piano di controllo degli agenti”, inclusa una missione dedicata Framework IAM di intelligenza artificiale costruito attorno a identificatori decentralizzati e principi zero belief. Quando NIST, OWASP e CSA segnalano tutti in modo indipendente la stessa classe di hole nello stesso ciclo di mercato, il segnale è strutturale, non specifico del fornitore.
La sicurezza MCP richiede il rilevamento prima del controllo
VentureBeat ha chiesto a Grieco del paradosso di MCP, il Mannequin Context Protocol che ogni fornitore presente a RSAC 2026 ha abbracciato pur riconoscendo le sue lacune in termini di sicurezza. Grieco non ha sostenuto che il protocollo sia sicuro. Ha sostenuto che bloccarlo non è più realistico.
“Non si può dire di no al giorno d’oggi come chief della sicurezza”, ha detto Grieco a VentureBeat. “E quindi ecco come gestirlo.”
All’interno dell’ambiente di Cisco, il group di Grieco ha aggiunto funzionalità di rilevamento, proxy e ispezione MCP Difesa dell’IA e Cisco Safe Entry. L’approccio tratta i server MCP nello stesso modo in cui le aziende trattano lo shadow IT: trovali prima di governarli.
Etay Maor, vicepresidente dell’intelligence sulle minacce presso Cato Networks, ha convalidato questo approccio dal lato antagonista. All’RSAC 2026, Maor ha dimostrato un attacco Residing Off the AI collegando MCP di Atlassian e Jira Service Administration. Gli aggressori non separano strumenti, servizi e modelli affidabili. Li incatenano tutti e tre. “Abbiamo bisogno di una visione delle risorse umane degli agenti”, ha detto Maor a VentureBeat. “Onboarding, monitoraggio, offboarding.”
Quasi la metà delle infrastrutture critiche sono out of date e prive di patch
Gli errori di autorizzazione degli agenti sono più difficili da rilevare e contenere quando l’infrastruttura sottostante non riceve una patch di sicurezza da anni – e questa lacuna aggrava ogni altra vulnerabilità in questa storia. Cisco ha commissionato una società di consulenza con sede nel Regno Unito Strategia WPI per esaminare il rischio tecnologico di wonderful vita negli Stati Uniti, nel Regno Unito, in Francia, Germania e Giappone. IL rapporto ha scoperto che quasi la metà delle infrastrutture di rete critiche in quelle aree geografiche sta invecchiando o è già obsoleta. I venditori non lo patchano più.
“Quasi il 50% delle infrastrutture critiche in queste aree geografiche stava invecchiando, period a wonderful vita o quasi”, ha detto Grieco a VentureBeat. “Significa che i fornitori non forniscono più patch di sicurezza per loro.”
Quello di Cisco Infrastruttura resiliente l’iniziativa disabilita le funzionalità inutilizzate per impostazione predefinita ed elimina gradualmente i protocolli legacy secondo un programma di deprecazione di tre versioni. Grieco ha respinto il presupposto che la sicurezza per impostazione predefinita sia un risultato statico. “Una delle cose a cui la maggior parte delle persone non pensa è che questi non sono punti statici nel tempo”, ha detto Grieco a VentureBeat. “Non è che lo fai una volta e il gioco è fatto.”
Matrice delle lacune di sicurezza aziendali agentiche
Le quattro lacune riportate di seguito rappresentano ciò che i direttori della sicurezza possono agire lunedì mattina. Ogni riga mappa da ciò che si interrompe al motivo per cui si interrompe e cosa fare al riguardo, convalidata in modo incrociato da cinque fonti indipendenti.
Fonti: analisi VentureBeat dell’intervista esclusiva di Grieco all’RSAC 2026, convalida incrociata con report indipendenti di McGladrey (IEEE), Rees (Repute), Maor (Cato Networks) e Zaitsev (CrowdStrike). Maggio 2026.
|
Divario di sicurezza |
| Cosa fallisce e quanto costa |
Perché il tuo stack attuale non lo rileva |
Dove si trovano ora i controlli dei fornitori |
Prima azione per la tua squadra |
|
Invecchiamento delle infrastrutture |
Quasi la metà delle risorse di rete critiche sono al termine del loro ciclo di vita o si stanno avvicinando advert esso (Strategia WPI); gli agenti che operano su sistemi privi di patch ereditano vulnerabilità che nessun fornitore risolverà |
La cadenza annuale delle patch non può tenere il passo con la velocità delle minacce; I sistemi EoL non ricevono aggiornamenti di sicurezza e nessun supporto da parte dei fornitori |
Infrastruttura resiliente disabilita le impostazioni predefinite non sicure, avvisa in caso di configurazioni rischiose, depreca i protocolli legacy secondo un programma di tre versioni |
Group Infra: verifica ogni risorsa di rete rispetto alle date EoL del fornitore questo trimestre. Riclassificare la sostituzione dell’EoL da aggiornamento IT a investimento in sicurezza nel prossimo ciclo di funds |
|
Scoperta dell’MCP |
I server MCP proliferano in ambienti senza visibilità della sicurezza; gli sviluppatori avviano connessioni con gli strumenti agente che aggirano la governance esistente |
Le implementazioni MCP shadow ignorano gli strumenti di rilevamento esistenti; non esiste un meccanismo di inventario normal; Maor ha dimostrato agli aggressori di concatenare MCP + Jira in un attacco Residing Off the AI |
Difesa dell’IA aggiunge rilevamento, proxy e ispezione MCP; tratta i server MCP come shadow IT |
Operazioni di sicurezza: esegui un inventario del server MCP in tutti gli ambienti prima di implementare qualsiasi controllo di governance dell’agente. Se non puoi enumerare la tua superficie MCP, non puoi proteggerla |
|
Permessi eccessivi dell’agente |
Gli agenti ereditano un ampio accesso a livello umano su un piano di autorizzazione piatto; l’agente non ha bisogno di escalare i privilegi perché li ha già (Rees) |
I group IAM clonano i profili umani per gli agenti per impostazione predefinita (McGladrey); non esistono autorizzazioni con ambito e limiti di tempo per le identità non umane |
Duo IAM registra gli agenti come oggetti di identità distinti con autorizzazioni granulari e limitate nel tempo per chiamata allo strumento |
Group IAM: interrompi immediatamente la clonazione degli account umani per gli agenti. Limita l’autorizzazione di ogni agente a un set di dati specifico, un’azione specifica e una finestra temporale specifica. Check di Grieco: questo agente finanziario può accedere solo alla nota spesa individuale di cui ha bisogno in questo momento? |
|
Visibilità comportamentale dell’agente |
Le azioni degli agenti sono indistinguibili dalle azioni umane nei log di sicurezza (Zaitsev); un agente con autorizzazioni eccessive che assomiglia a un essere umano nei registri è invisibile al SOC |
La registrazione predefinita non acquisisce la derivazione dell’albero del processo; nessun fornitore ha fornito una linea di base comportamentale multipiattaforma completa per l’attività degli agenti |
Integrazione della telemetria SOC con Splunk per il rilevamento e la risposta specifici dell’agente |
Responsabile SOC: aggiornamento della registrazione per acquisire la discendenza dell’albero dei processi in modo che le azioni avviate dall’agente siano distinguibili dalle azioni avviate dall’uomo. Se il tuo SIEM non può rispondere “period un essere umano o un agente?” per ogni sessione, il divario è aperto |
“Francamente, dobbiamo agire rapidamente ed evolverci rapidamente per tenere il passo con la direzione in cui andranno gli avversari”, ha detto Grieco a VentureBeat.
Le lacune sopra mappate non sono teoriche. Grieco ha confermato che gli incidenti stanno già accadendo. I controlli esistono in parti tra più fornitori. Nessun singolo fornitore è riuscito advert assemblare lo stack completo.
