Quando un agente AI deve accedere al tuo CRM, estrarre document dal tuo database e inviare un’e-mail per tuo conto, di quale identità sta utilizzando? E cosa succede quando nessuno conosce la risposta? Alex Stamos, chief product officer di Hall, e Nancy Wang, CTO di 1Password si sono uniti alla serie VB AI Affect Salon per approfondire le nuove sfide del quadro di identità che derivano dai vantaggi dell’intelligenza artificiale degli agenti.
“Advert alto livello, non è solo a chi appartiene questo agente o a quale organizzazione appartiene, ma qual è l’autorità sotto la quale agisce questo agente, che poi si traduce in autorizzazione e accesso”, ha detto Wang.
Come 1Password è finito al centro del problema dell’identità dell’agente
Wang ha tracciato il percorso di 1Password in questo territorio attraverso la storia del proprio prodotto. L’azienda ha iniziato come gestore di password shopper e la sua impronta aziendale è cresciuta in modo organico man mano che i dipendenti hanno portato sul posto di lavoro strumenti di cui già si fidavano.
“Una volta che queste persone si sono abituate all’interfaccia e hanno apprezzato davvero gli customary di sicurezza e privateness che forniamo come garanzia ai nostri clienti, l’hanno introdotta nell’azienda”, ha affermato. La stessa dinamica si sta verificando ora con l’intelligenza artificiale, ha aggiunto. “Anche gli agenti hanno segreti, o password, proprio come fanno gli esseri umani.”
Internamente, 1Password sta affrontando la stessa tensione che aiuta i clienti a gestire: come consentire agli ingegneri di muoversi velocemente senza creare problemi di sicurezza. Wang ha affermato che l’azienda monitora attivamente il rapporto tra incidenti e codice generato dall’intelligenza artificiale poiché gli ingegneri utilizzano strumenti come Claude Code e Cursor. “Si tratta di un parametro che monitoriamo attentamente per assicurarci di generare codice di qualità.”
Come gli sviluppatori corrono gravi rischi per la sicurezza
Stamos ha affermato che uno dei comportamenti più comuni osservati da Hall è che gli sviluppatori incollano le credenziali direttamente nei immediate, il che rappresenta un enorme rischio per la sicurezza. Hall lo segnala e rimanda lo sviluppatore alla corretta gestione dei segreti.
“La cosa customary è semplicemente prendere una chiave API o prendere il nome utente e la password e incollarli nel immediate”, ha detto. “Lo troviamo continuamente perché siamo coinvolti e afferriamo il suggerimento.”
Wang ha descritto l’approccio di 1Password come un lavoro sul lato dell’output, la scansione del codice mentre viene scritto e l’archiviazione di qualsiasi credenziale in testo semplice prima che persista. La tendenza verso il metodo taglia e incolla di accesso al sistema ha un’influenza diretta sulle scelte progettuali di 1Password, che consiste nell’evitare strumenti di sicurezza che creano attriti.
“Se è troppo difficile da usare, da avviare, da integrare, non sarà sicuro perché francamente le persone lo ignoreranno e non lo useranno”, ha detto.
Perché non è possibile trattare un agente di codifica come uno scanner di sicurezza tradizionale
Un’altra sfida nella creazione di suggestions tra agenti di sicurezza e modelli di codifica sono i falsi positivi, a cui sono inclini i modelli linguistici di grandi dimensioni molto amichevoli e gradevoli. Sfortunatamente, questi falsi positivi provenienti dagli scanner di sicurezza possono far deragliare un’intera sessione di codice.
“Se gli dici che questo è un difetto, sarà come, sì signore, è un difetto totale!” Ha detto Stamos. Ma, ha aggiunto, “non puoi sbagliare e avere un falso positivo, perché se glielo dici e ti sbagli, rovinerai completamente la sua capacità di scrivere il codice corretto.”
Questo compromesso tra precisione e richiamo è strutturalmente diverso da ciò per cui gli strumenti di analisi statica tradizionali sono progettati per ottimizzare e ha richiesto un’ingegneria significativa per ottenere la latenza richiesta, dell’ordine di poche centinaia di millisecondi per scansione.
L’autenticazione è semplice, ma l’autorizzazione è il punto in cui le cose si fanno difficili
“Un agente in genere ha molto più accesso di qualsiasi altro software program nel tuo ambiente”, ha osservato Spiros Xanthos, fondatore e CEO di Resolve AI, in una precedente sessione dell’evento. “Quindi è comprensibile il motivo per cui i group di sicurezza siano molto preoccupati per questo. Perché se quel vettore di attacco viene utilizzato, può provocare una violazione dei dati, ma peggio ancora, forse c’è qualcosa che può agire per conto di un aggressore.”
Quindi, come si forniscono agli agenti autonomi identità con ambito, verificabili e limitate nel tempo? Wang ha indicato SPIFFE e SPIRE, customary di identità del carico di lavoro sviluppati per ambienti containerizzati, come candidati testati in contesti di agenti. Ma ha riconosciuto che la situazione è dura.
“Stiamo inserendo a forza un piolo quadrato in un foro rotondo”, ha detto.
Ma l’autenticazione è solo la metà. Una volta che un agente ha una credenziale, cosa gli è effettivamente consentito fare? È qui che il principio del privilegio minimo dovrebbe essere applicato ai compiti piuttosto che ai ruoli.
“Non vorrai dare a un essere umano una chiave magnetica per un intero edificio che ha accesso a ogni stanza dell’edificio”, ha spiegato. “Inoltre, non vuoi dare a un agente le chiavi del regno, una chiave API per fare tutto ciò che deve fare per sempre. Deve essere limitata nel tempo e anche vincolata al compito che vuoi che quell’agente svolga.”
Negli ambienti aziendali non sarà sufficiente garantire un accesso mirato: le organizzazioni dovranno sapere quale agente ha agito, sotto quale autorità e quali credenziali sono state utilizzate.
Stamos ha indicato le estensioni OIDC come l’attuale apripista nelle conversazioni sugli customary, respingendo al contempo il raccolto di soluzioni proprietarie.
“Ci sono 50 startup che credono che la loro soluzione brevettata sarà la vincitrice”, ha detto. “Nessuno di questi vincerà, comunque, quindi non lo consiglierei.”
Per un miliardo di utenti, i casi limite non sono più casi limite
Dal lato del consumatore, Stamos prevede che il problema dell’identità si consoliderà attorno a un piccolo numero di fornitori affidabili, molto probabilmente le piattaforme che già ancorano l’autenticazione del consumatore. Attingendo al suo periodo come CISO presso Fb, dove il group gestiva circa 700.000 acquisizioni di account al giorno, ha riformulato l’effetto scala sul concetto di caso limite.
“Quando sei il CISO di un’azienda che ha un miliardo di utenti, il caso limite è qualcosa che significa un vero danno umano”, ha spiegato. “E quindi l’identità, per le persone normali, per gli agenti, in futuro sarà un problema enorme.”
In definitiva, le sfide che i CTO devono affrontare dal lato degli agenti derivano da customary incompleti per l’identità degli agenti, strumenti improvvisati e aziende che distribuiscono agenti più velocemente di quanto possano essere scritte le strutture destinate a governarli. Il percorso da seguire richiede la costruzione da zero di un’infrastruttura di identità attorno a ciò che realmente sono gli agenti, non l’adeguamento di ciò che è stato costruito per gli esseri umani che li hanno creati.
