À medida que as empresas integram agentes de IA nos seus fluxos de trabalho, ocorre uma mudança silenciosa.
Segurança controles baseados em políticas de acesso estáticas projetadas para comportamento previsível estão colidindo com sistemas que raciocinam em vez de simplesmente executarem. Os agentes de IA, movidos por resultados e não por regras, estão quebrando o modelo tradicional de gestão de identidade e acesso.
Considere uma empresa de varejo que implementa um assistente de vendas de IA para analisar o comportamento do cliente e melhorar a retenção. O assistente não tem acesso a informações de identificação pessoal; elas são restritas por design.
No entanto, quando solicitado a “encontrar clientes com maior probabilidade de cancelar assinaturas premium”, ele correlaciona registros de atividades, tíquetes de suporte e históricos de compras em vários sistemas. Isso gera uma lista de usuários específicos inferida por meio de padrões de comportamento, hábitos de consumo e probabilidade de rotatividade.
Cofundador e CTO da Token Security.
Nenhum nome ou cartão de crédito foi exposto, mas o agente reidentificou efetivamente os indivíduos por meio de inferência, reconstruindo insights confidenciais que o sistema nunca deveria acessar e potencialmente expondo informações de identificação pessoal (PII).
Embora não tenha quebrado controles de acessoele raciocinou em torno dos sistemas para acessar informações que originalmente não tinha como escopo acessar.
Quando o contexto se torna a exploração
Ao contrário dos fluxos de trabalho de software tradicionais, os agentes de IA não seguem uma lógica determinística; eles agem intencionalmente. Quando o objetivo de um sistema de IA é “maximizar a retenção” ou “reduzir a latência”, ele toma decisões autônomas sobre quais dados ou ações são necessários para alcançar esse resultado. Cada decisão pode ser legítima isoladamente, mas juntas podem expor informações muito além do escopo pretendido pelo agente.
É aqui que o contexto se torna uma superfície de exploração. Os modelos tradicionais concentram-se em quem pode acessar o quê, assumindo limites estáticos. Mas em sistemas agênticos, o que importa é por que a ação ocorre e como o contexto muda à medida que um agente invoca outro. Quando a intenção flui através das camadas, cada uma reinterpretando o objetivo, o contexto original do usuário é perdido e os limites de privilégios ficam confusos.
O resultado não é uma violação convencional; é uma forma de escalada de privilégios contextuais onde o significado, e não o acesso, se torna o vetor de ataque.
Deficiências dos controles determinísticos
A maioria das organizações está aprendendo que os modelos tradicionais RBAC (Role-Based Access Control) e ABAC (Attribute-Based Access Control) não conseguem acompanhar o raciocínio dinâmico. Em aplicativos clássicos, você pode rastrear cada decisão até um caminho de código. Nos agentes de IA, a lógica é emergente e adaptativa. O mesmo prompt pode desencadear ações diferentes dependendo do ambiente, das interações anteriores ou dos objetivos percebidos.
Por exemplo, um agente de desenvolvimento treinado para otimizar computação em nuvem os custos podem começar a excluir logs usados para fins de auditoria ou backups. Do ponto de vista da conformidade, isso é catastrófico, mas do ponto de vista do agente, é eficiente. O modelo de segurança pressupõe determinismo; o agente assume autonomia.
Essa incompatibilidade expõe uma falha na forma como modelamos as permissões. RBAC e ABAC respondem “O usuário X deve acessar o recurso Y?” Num ecossistema agente, a questão é: “O agente X deveria ser capaz de acessar mais do que o recurso Y e por que precisaria desse acesso adicional?” Isso não é um problema de acesso; é um problema de raciocínio.
A ascensão da deriva contextual
Em arquiteturas distribuídas e multiagentes, as permissões evoluem por meio da interação. Os agentes encadeiam tarefas, compartilham resultados e fazem suposições com base nos resultados de outros. Com o tempo, essas suposições se acumulam, formando um desvio contextual, um desvio gradual da intenção original e do escopo autorizado do agente.
Imagine um marketing agente analítico que resume o comportamento do usuário, alimentando seu resultado para um agente de previsão financeira, que o utiliza para prever receitas regionais. Cada agente vê apenas parte do processo. Mas juntos, eles construíram uma imagem completa e não intencional dos dados financeiros dos clientes.
Cada passo seguiu a política. O efeito agregado quebrou tudo.
O desvio contextual é o equivalente moderno do desvio de configuração em DevOpsexceto aqui, está acontecendo na camada cognitiva. O sistema de segurança vê conformidade; a rede de agentes vê oportunidades.
Intenção governante, não apenas acesso
Para abordar esta nova classe de risco, as organizações devem mudar do acesso governamental para a intenção governamental. Uma estrutura de segurança para sistemas agentes deve incluir:
Vinculação de intenção: Cada ação deve levar o contexto, a identidade, a finalidade e o escopo da política do usuário de origem ao longo da cadeia de execução.
Autorização Dinâmica: Vá além dos direitos estáticos. As decisões devem se adaptar ao contexto, à sensibilidade e ao comportamento em tempo de execução.
Rastreamento de Procedência: Mantenha um registro verificável de quem iniciou uma ação, quais agentes participaram e quais dados foram tocados.
Supervisão humana no circuito: Para ações de alto risco, exija verificação, especialmente quando os agentes atuam em nome de usuários ou sistemas.
Auditoria Contextual: Substitua os registros simples por gráficos de intenções que visualizam como as consultas evoluem para ações entre os agentes.
Por que as permissões por si só são falhas
As permissões estáticas assumem que a identidade e a intenção permanecem constantes. Mas os agentes operam em contextos fluidos e em evolução. Eles podem gerar subagentes, gerar novos fluxos de trabalho ou treinar novamente em dados intermediários, ações que redefinem continuamente o “acesso”.
No momento em que um sistema de identidade detecta um incidente de segurança, uma violação ou violação já ocorreu sem que uma única permissão tenha sido quebrada. É por isso que a visibilidade e a atribuição devem estar em primeiro lugar. Antes de aplicar a política, você deve mapear o gráfico do agente: o que existe, o que está conectado e quem possui o quê.
Ironicamente, os mesmos princípios de IA que desafiam os nossos controlos podem ajudar a restaurá-los. Modelos adaptativos e conscientes das políticas podem distinguir o raciocínio legítimo da inferência suspeita. Eles podem detectar quando a intenção de um agente muda ou quando um desvio contextual sinaliza um risco crescente.