Quando un agente AI deve accedere al tuo CRM, recuperare record dal tuo database e inviare un’e-mail per tuo conto, di quale identità sta utilizzando? Allora cosa succede quando nessuno conosce la risposta? Alex Stamos, Chief Product Officer di Corridor, e Nancy Wang, CTO di 1Password, si sono uniti alla serie VB AI Impact Salon per esaminare le nuove sfide del quadro di identità che derivano dai vantaggi dell’intelligenza artificiale dell’agenzia.
"Ad alto livello, non è importante solo chi possiede questo intermediario o a quale organizzazione appartiene questo intermediario, ma anche sotto quale autorità agisce questo intermediario; questo significa quindi autorizzazione e accesso." Ha detto Wang.
In che modo 1Password è diventata al centro della questione dell’identità dei delegati?
Wang ha tracciato il percorso di 1Password in questo territorio attraverso la storia del suo prodotto. L’azienda ha iniziato come gestore di password consumer e la sua presenza aziendale è cresciuta in modo organico man mano che i dipendenti hanno portato sul posto di lavoro gli strumenti di cui già si fidavano.
"Una volta che queste persone si sono abituate all’interfaccia e sono state veramente soddisfatte degli standard di sicurezza e privacy che abbiamo garantito ai nostri clienti, l’hanno portata in azienda." ha detto. La stessa dinamica si sta verificando ora nell’intelligenza artificiale, ha aggiunto. "Gli agenti, proprio come gli esseri umani, hanno segreti o password."
Internamente, 1Password è alle prese con la stessa tensione che aiuta a gestire i clienti: come consentire agli ingegneri di muoversi rapidamente senza creare problemi di sicurezza. Wang ha affermato che l’azienda monitora attivamente il rapporto tra eventi e codici generati dall’intelligenza artificiale poiché gli ingegneri utilizzano strumenti come Claude Code e Cursor. "Questa è una metrica che seguiamo attentamente per garantire la produzione di codice di qualità."
In che modo gli sviluppatori sono esposti ai principali rischi per la sicurezza?
Stamos ha affermato che uno dei comportamenti più comuni osservati da Corridor è che gli sviluppatori incollano le credenziali direttamente nei prompt, il che rappresenta un grave rischio per la sicurezza. Corridor lo segnala e rimanda lo sviluppatore alla gestione segreta appropriata.
"Lo standard è che vai a prendere una chiave API o il tuo nome utente e password e incollali nel prompt dei comandi." ha detto. "Lo troviamo continuamente perché siamo dipendenti e cogliamo il suggerimento."
Wang ha descritto l’approccio di 1Password come un lavoro sul lato dell’output, scansionando il codice mentre è scritto e memorizzando eventuali credenziali in testo normale prima di continuare. La tendenza verso il metodo taglia e incolla di accesso al sistema ha un impatto diretto sulle scelte progettuali di 1Password, che mirano a evitare strumenti di sicurezza che inducono attriti.
"Se è troppo difficile da usare, da avviare, da inserire nel sistema, non sarà sicuro perché, francamente, le persone lo aggireranno e non lo useranno." ha detto.
Perché non puoi trattare un agente di scripting come uno scanner di sicurezza tradizionale?
Un’altra sfida nella creazione di feedback tra agenti di sicurezza e modelli di codifica sono i falsi positivi a cui sono inclini i modelli linguistici di grandi dimensioni molto amichevoli e gradevoli. Sfortunatamente, questi falsi positivi provenienti dagli scanner di sicurezza possono far deragliare l’intera sessione del codice.
"Se dici che questo è un difetto, sì signore, è un difetto!" disse Stamos. Ma ha aggiunto: "Non puoi commettere un errore e ottenere il risultato sbagliato, perché se lo dici e sbagli, rovinerai completamente la sua capacità di scrivere il codice corretto."
Questo compromesso tra precisione e richiamo è intrinsecamente diverso da ciò che i tradizionali strumenti di analisi statica sono progettati per ottimizzare e richiede un’ingegneria significativa per catturare completamente la latenza richiesta dell’ordine di diverse centinaia di millisecondi per scansione.
L’autenticazione è semplice, ma l’autorizzazione è il punto in cui le cose si complicano
"Un agente in genere ha un accesso molto maggiore rispetto ad altri software nell’ambiente." In una sessione precedente dell’evento, Spiros Xanthos, fondatore e CEO di Resolve AI, ha dichiarato: "Pertanto, è possibile capire perché i team di sicurezza siano così preoccupati per questo problema. Perché se viene utilizzato questo vettore di attacco, entrambi potrebbero provocare una violazione dei dati, ma peggio ancora, forse c’è qualcosa che potrebbe agire per conto di un utente malintenzionato."
Quindi, come si possono fornire agli agenti autonomi identità complete, verificabili e limitate nel tempo? Wang ha indicato SPIFFE e SPIRE, standard di identità del carico di lavoro sviluppati per ambienti containerizzati, come candidati per i test in contesti intermedi. Ma ha riconosciuto che l’adattamento è stato difficile.
"In un certo senso, stiamo forzando un piolo quadrato in un foro rotondo." ha detto.
Ma l’autenticazione è solo la metà. Una volta che un agente ha una credenziale, cosa gli è effettivamente consentito fare? È qui che il principio del privilegio minimo dovrebbe essere applicato ai compiti piuttosto che ai ruoli.
"Non vuoi dare a qualcuno una chiave magnetica per un intero edificio con accesso a ogni stanza dell’edificio." ha spiegato. "Inoltre, non vuoi dare a un agente le chiavi del regno, una chiave API per fare tutto ciò di cui ha bisogno per sempre. Deve essere limitato nel tempo e anche legato all’attività che si desidera che l’agente svolga."
Negli ambienti aziendali, fornire un accesso completo non sarà sufficiente; Le organizzazioni dovranno sapere quale agente agisce sotto quale autorità e quali credenziali vengono utilizzate.
Sebbene Stamos abbia osservato che le estensioni OIDC sono attualmente all’avanguardia nelle discussioni sugli standard, ha anche ignorato la suite di soluzioni proprietarie.
"Sono 50 le startup che credono che le loro soluzioni brevettate proprietarie saranno vincenti." ha detto. "Nessuno di questi vincerà, comunque, quindi non lo consiglierei."
Con un miliardo di utenti, i casi limite non sono più casi limite
Dal lato del consumatore, Stamos ha previsto che la sfida dell’identità si concentrerà attorno a un piccolo numero di fornitori affidabili, molto probabilmente piattaforme che già forniscono l’autenticazione del consumatore. Attingendo al suo periodo come CISO presso Facebook, dove il team gestiva quasi 700.000 acquisizioni di account al giorno, ha ridefinito l’effetto scala sul concetto di casi limite.
"Quando sei il CISO di un’azienda con un miliardo di utenti, il caso limite significa davvero danni umani." ha spiegato. "E quindi l’identità sarà un grosso problema per le persone normali e gli agenti che andranno avanti."
Di conseguenza, le sfide che i CTO devono affrontare dal lato degli agenti derivano da standard incompleti per l’identità degli agenti, strumenti improvvisati e organizzazioni che distribuiscono agenti più velocemente di quanto possano essere scritti i framework per gestirli. La via da seguire richiede che le infrastrutture dell’identità siano costruite da zero attorno a ciò che realmente sono, piuttosto che rinnovare ciò che è stato costruito per le persone che le hanno create.
