Presentato da 1Password
L’aggiunta di funzionalità di intermediazione agli ambienti aziendali rimodella radicalmente il modello di minaccia aggiungendo una nuova classe di attori ai sistemi di identità. Il problema: gli agenti IA operano su sistemi aziendali sensibili, effettuando l’accesso, recuperando dati, invocando strumenti LLM ed eseguendo flussi di lavoro spesso senza la visibilità o il controllo che i tradizionali sistemi di identità e accesso sono progettati per implementare.
Gli strumenti di intelligenza artificiale e gli agenti autonomi stanno proliferando nelle organizzazioni più velocemente di quanto i team di sicurezza possano gestirli o gestirli. Allo stesso tempo, la maggior parte dei sistemi di identità presuppone ancora utenti statici, account di servizio di lunga durata e assegnazioni di ruoli grossolane. Non sono progettati per rappresentare autorità umane delegate, contesti applicativi di breve durata o agenti che operano in cicli decisionali ristretti.
Di conseguenza, i leader IT devono fare un passo indietro e ripensare il livello di fiducia. Questo cambiamento non è teorico. NIST Architettura Zero Trust (SP 800-207) afferma chiaramente che “tutti i soggetti, comprese le applicazioni e le entità non umane, sono considerati inaffidabili finché non vengono autenticati e autorizzati”.
In un mondo di perpetratori, ciò significa che i sistemi di intelligenza artificiale dovrebbero avere identità proprie chiare e verificabili, non operare attraverso credenziali ereditate o condivise.
"Le architetture IAM aziendali sono progettate per presupporre che tutte le identità di sistema siano umane; Ciò significa che si affidano a un comportamento coerente, a intenti chiari e a una responsabilità umana diretta per stabilire la fiducia." afferma Nancy Wang, CTO di 1Password e Venture Partner presso Felicis. “I sistemi di agenti rompono questi presupposti. Un agente AI non è un utente che è possibile addestrare o rivedere periodicamente. È un software che può essere copiato, biforcato, scalato orizzontalmente e lasciato funzionare in cicli di esecuzione serrati su più sistemi. Se continuiamo a trattare gli agenti come persone o account di servizio statici, perdiamo la capacità di rappresentare chiaramente per conto di chi agiscono, quale autorità hanno e quanto tempo dovrebbe durare tale autorità.”
In che modo gli agenti IA trasformano gli ambienti di sviluppo in zone a rischio per la sicurezza?
Uno dei primi luoghi in cui questi presupposti sull’identità vengono meno è nell’ambiente di sviluppo moderno. L’ambiente di sviluppo integrato (IDE) si è evoluto da un semplice editor a un orchestratore in grado di leggere, scrivere, eseguire, recuperare e configurare sistemi. Con un agente AI al centro di questo processo, le transizioni di iniezione rapida non sono solo una possibilità astratta; diventano un rischio tangibile.
Poiché gli IDE tradizionali non sono progettati con agenti AI come componente principale, l’aggiunta di funzionalità AI aftermarket introduce nuovi tipi di rischi di cui i modelli di sicurezza tradizionali non tengono conto.
Ad esempio, gli agenti IA violano accidentalmente i confini della fiducia. Un README apparentemente innocuo può contenere istruzioni nascoste che inducono un assistente a rivelare le credenziali durante l’analisi standard. Il contenuto del progetto proveniente da fonti non attendibili può alterare il comportamento dell’agente in modi imprevisti, anche se il contenuto non presenta alcuna somiglianza evidente con un prompt.
Le fonti di input ora si estendono oltre i file eseguiti deliberatamente. La documentazione, i file di configurazione, i nomi dei file e i metadati degli strumenti vengono tutti presi dagli agenti come parte del loro processo decisionale e influenzano il modo in cui interpretano un progetto.
La fiducia viene erosa quando gli agenti agiscono senza intenzione o responsabilità
La minaccia aumenta quando si aggiungono agenti deterministici e altamente autonomi che operano con privilegi elevati e hanno la capacità di leggere, scrivere, eseguire o riconfigurare i sistemi. Questi intermediari non hanno contesto, né capacità di determinare se una richiesta di autenticazione è legittima, chi ha delegato tale richiesta o i limiti che dovrebbero essere posti attorno a tale azione.
"Non si può dare per scontato che gli agenti abbiano la capacità di prendere buone decisioni e certamente mancano di un codice morale." Wang dice. "Ciascuna delle loro azioni deve essere opportunamente limitata, il loro accesso ai sistemi sensibili e ciò che possono fare al loro interno più chiaramente definiti. La parte difficile è che devono essere costantemente attivati e quindi costantemente frenati."
Dove l’IAM tradizionale fallisce con gli agenti
I tradizionali sistemi di gestione delle identità e degli accessi funzionano con diversi presupposti chiave che l’intelligenza artificiale dell’agenzia viola:
I modelli di privilegi statici non riescono a far fronte ai flussi di lavoro degli agenti autonomi: L’IAM tradizionale concede autorizzazioni in base a ruoli che rimangono relativamente costanti nel tempo. Tuttavia, gli agenti eseguono catene di azioni che richiedono diversi livelli di privilegio in momenti diversi. Il privilegio minimo non può più essere una configurazione “imposta e dimentica”. Ora deve essere definito in modo dinamico per ciascuna azione, con meccanismi automatici di scadenza e rinnovo.
La responsabilità umana si interrompe per gli agenti software: I sistemi tradizionali presuppongono che ogni traccia di identità sia riconducibile a una persona specifica che può essere ritenuta responsabile delle azioni intraprese, ma le spie offuscano completamente quella linea. Non è più chiaro quando un agente che opera sotto la cui autorità agisce, il che rappresenta già un’enorme vulnerabilità della sicurezza. Ma il rischio aumenta quando questo strumento viene copiato, modificato o lasciato in funzione molto tempo dopo che il suo scopo originale è stato raggiunto.
Il rilevamento basato sul comportamento non riesce a causa dell’attività costante dell’agente: Mentre gli utenti umani seguono modelli riconoscibili, come effettuare il login durante l’orario lavorativo, accedere a sistemi familiari e intraprendere azioni coerenti con le loro funzioni lavorative, gli agenti lavorano costantemente su più sistemi contemporaneamente. Ciò non solo aumenta il rischio di danni al sistema, ma fa anche sì che i flussi di lavoro legittimi vengano contrassegnati come sospetti dai tradizionali sistemi di rilevamento delle anomalie.
Gli ID agente generalmente non vengono visualizzati nei tradizionali sistemi IAM: Tradizionalmente, i team IT sono stati in grado più o meno di configurare e gestire le identità in esecuzione nei loro ambienti. Tuttavia, gli agenti possono creare dinamicamente nuove identità, lavorare tramite account di servizio esistenti o utilizzare le credenziali in modi che le rendono invisibili agli strumenti IAM tradizionali.
"Questo è l’intero contesto che costituisce l’intento dietro un agente e i sistemi IAM tradizionali non hanno la capacità di gestirlo." Wang dice. "Questa convergenza di sistemi disparati rende il problema più ampio della semplice identità e richiede contesto e osservabilità per comprendere non solo chi agisce, ma perché e come."
Ripensare l’architettura di sicurezza per i sistemi ad agenti
Per proteggere l’intelligenza artificiale delle agenzie è necessario ripensare l’architettura di sicurezza aziendale da zero. Sono necessarie alcune modifiche importanti:
Identità come piano di controllo per gli agenti AI: Invece di considerare l’identità come un singolo componente di sicurezza tra tanti, le organizzazioni devono considerarla il piano di controllo fondamentale per gli agenti IA. I principali fornitori di sicurezza si stanno già muovendo in questa direzione, integrando l’identità in ogni soluzione e stack di sicurezza.
Accesso sensibile al contesto come requisito dell’intelligenza artificiale dell’agenzia: le politiche devono diventare molto più dettagliate e specifiche, definendo non solo a cosa può accedere un agente, ma anche a quali condizioni può accedervi. Ciò significa prendere in considerazione chi sta chiamando l’agente, su quale dispositivo è in esecuzione, quali restrizioni temporali si applicano e quali azioni specifiche sono consentite su ciascun sistema.
Gestione delle credenziali a conoscenza zero per agenti autonomi: Un approccio promettente è quello di mantenere le credenziali completamente fuori dalla vista degli agenti. Utilizzando tecniche come il riempimento automatico mediato, le credenziali possono essere inserite nei flussi di autenticazione senza richiedere agli agenti di visualizzarle in testo normale; Simile al modo in cui funzionano i gestori di password per gli esseri umani, ma può essere esteso anche agli agenti software.
Requisiti di verificabilità per gli agenti AI: I registri di controllo tradizionali che tengono traccia delle chiamate API e degli eventi di autenticazione sono inadeguati. La verificabilità dell’agente richiede l’acquisizione di chi è l’agente, sotto quale autorità opera, quale ambito di autorità gli viene concesso e l’intera catena di azioni intraprese per realizzare un flusso di lavoro. Questo rispecchia il registro dettagliato delle attività utilizzato per i lavoratori umani, ma deve essere adattato anche per le risorse software che eseguono centinaia di azioni al minuto.
Rafforzare i confini di fiducia tra persone, agenti e sistemi: Le organizzazioni necessitano di confini chiari e applicabili che definiscano cosa può fare un agente quando richiamato da una persona specifica su un dispositivo specifico. Ciò richiede la separazione dell’intento dall’esecuzione: capire cosa un utente vuole che un agente realizzi da ciò che l’agente effettivamente fa.
Il futuro della sicurezza aziendale nel mondo dello spionaggio
Poiché l’intelligenza artificiale degli agenti viene incorporata nei flussi di lavoro aziendali quotidiani, la domanda di sicurezza non è se le organizzazioni adotteranno gli agenti; La domanda è se i sistemi che gestiscono gli accessi potranno evolversi per stare al passo.
È improbabile che la disabilitazione dell’intelligenza artificiale nell’ambiente sia destinata a crescere, ma non lo è nemmeno l’estensione dei modelli di identità legacy. Ciò che serve è uno spostamento verso sistemi di identità in grado di tenere conto del contesto, della delega e della responsabilità in tempo reale sia per gli esseri umani, che per le macchine e gli agenti di intelligenza artificiale.
“La funzionalità passo-passo per gli agenti in produzione non deriverà solo da modelli intelligenti”, afferma Wang. “Proverrirà da un’autorità prevedibile e da confini di fiducia applicabili. Le organizzazioni hanno bisogno di sistemi di identità che possano rappresentare chiaramente per chi un agente agisce per conto, cosa è autorizzato a fare e quando tale autorità termina. Senza questo, l’autonomia diventa un rischio non gestito. Con esso, gli agenti diventano gestibili.”
Gli articoli sponsorizzati sono contenuti prodotti da un’azienda che ha pagato per il post o ha un rapporto commerciale con VentureBeat e sono sempre chiaramente contrassegnati. Contatta per maggiori informazioni sales@venturebeat.com.
