Voor bedrijven met een van de belangrijkste taken op het gebied van informatiebeveiliging: het inschatten van risico’s en kansen AI voelt misschien minder als een analytische oefening en meer als het gooien van een twintigzijdige dobbelsteen.
Dit komt omdat wachtwoordbeheerders, die voorheen de meest waardevolle inloggegevens van klanten moesten verdedigen tegen aanvallers van buitenaf en onzorgvuldigheid van klanten, nu op meerdere fronten met AI moeten concurreren.
AI kan bedrijven op het gebied van wachtwoordbeheer helpen code te ontwikkelen en kwetsbaarheden sneller te vinden, maar het stelt klanten ook in staat code onzorgvuldig te verzenden. trillingsgecodeerde toepassing waardoor het wachtwoord zichtbaar wordt. En hoewel AI-agenten beloven complexe taken met één enkele focus uit te voeren, kunnen hallucinaties of snelle injectie-aanvallen ervoor zorgen dat ze fouten maken, net als vermoeide en afgeleide mensen, maar dan sneller en op grotere schaal.
“Je moet beginnen door je klanten te helpen hun ontploffingsradius te begrijpen en ook hoe wijdverspreid deze uitdaging is in hun ecosysteem”, zegt Nancy Wang, Chief Technology Officer bij 1 Wachtwoord.
Bescherm klanten tegen problemen die ze zelf veroorzaken
De AI-strategie van het in Toronto gevestigde bedrijf begon met een poging om zakelijke klanten uit de problemen te houden. Het maakt gebruik van agenten op het apparaat om het gebruik van AI-modellen te controleren en risico’s te signaleren waarvan het klantmanagement op de hoogte wil zijn.
“Hé, mevrouw CISO, wist u dat uw ontwikkelaars DeepSeek-modellen gebruiken in deze tak van uw codebase?” Wang zei over Chinees ontwikkelde LLM Dat kritiek getrokken daarboven veiligheidsrisico. “Het is echt gebeurd.”
Hij voegde eraan toe dat er “verschillende best practice-gesprekken op het gebied van beveiliging” volgden met de ontwikkelaars in kwestie.
Automatisch scannen door agenten, die ook controleren op geïnstalleerde software-updates en andere tekenen van apparaatgezondheid, helpt 1Password te herkennen slordig wachtwoordbeheer.
“Als we niet-gecodeerde inloggegevens vinden die niet op schijf worden beschermd omdat we onze eigen apparaatagent hebben, kunnen we die inloggegevens vervolgens naar onze veilige, gecodeerde kluis verplaatsen”, legt Wang uit.
1 Wachtwoord, zoals andere wachtwoordbeheerdersversleutelt opgeslagen inloggegevens end-to-end, zodat het bedrijf op geen enkele manier opgeslagen wachtwoorden kan zien. Wang voegde eraan toe dat de software zo is ontworpen dat AI-agenten de platte tekst van wachtwoorden niet kunnen zien, zelfs als deze automatisch op een site worden ingevuld.
Bedrijven kunnen hun werknemers ook opdracht geven om 1Password’s te installeren Device Trust Agent op persoonlijke apparatenricht zich op een frequente en vaak succesvolle aanvalsvector. De naleving kan echter fragmentarisch zijn, zoals het geval is bij 1Password-familieaccounts gebundeld met een businessplan die vaak niet worden gebruikt op de computers van werknemers.
Voorkomt dat agenten fouten maken
AI-agenten kunnen routinematige bedrijfstaken automatiseren, maar vanwege hun niet-deterministische aard hebben ze systematische monitoring nodig om ervoor te zorgen dat ze gefocust blijven. Wang noemde het een “nieuwe kans” voor 1Password om op grote schaal te leren door het gedrag van agenten te analyseren.
“Wat is het commando? Wat doet de agent met het commando? Wat is de output van het commando?” zei hij. De resulterende logbestanden “zullen vervolgens als leermechanisme worden teruggekoppeld naar agenten en modellen.”
In februari 1Password aangekondigd Gedragsbenchmarks voor AI-agenten, de Security Comprehension and Awareness Measure (of SCAM) index, en publiceer de code onder een open source-licentie. “We leren agenten te herkennen wat phishing-links zijn en wat onveilige verwerking van inloggegevens is”, zegt Wang. Hij stelt dat agenten, als ‘staatloze wezens’, niet kunnen worden beheerd alsof ze menselijke wezens zijn.
“We hebben nieuwe agent-specifieke identiteitsstandaarden nodig die rekening houden met de context”, voegde Wang eraan toe. “Waar de agent voor is gemaakt, wat hij doet, en ook het verschil tussen wat hij nu doet en zijn oorspronkelijke bedoelingen.”
Nu: Daarnaast onderzoekt 1Password hoe AI-ontwikkelaars en gebruikers 1Password integreren en veilige verbindingen voor AI-applicaties ontwikkelen, waardoor Anthropic- en OpenAI-agenttools momenteel uit de 1Password-kluis kunnen lezen en er uiteindelijk weer in kunnen schrijven.
Dat opdrachtregelinterface in 1Password waar de meeste niet-technische gebruikers misschien niets van weten, is erg populair gebleken bij mensen die voor hun eigen rekeningen betalen.
“Het gebruik van ons CLI-product, ons langstlopende aanbod voor ontwikkelaars, kende een 2,5-voudige toename”, zei Wang, waarbij de hoogste groei afkomstig was van gebruikers van individuele abonnementen en gezinsabonnementen.
Zijn proefschrift: “trillingscoderingsdrivers die een verhoogd gebruik stimuleren.”
AI aan het werk zetten in 1Password zelf
Het bedrijf maakt, net als vele anderen, gebruik van AI om de softwareontwikkeling te versnellen, maar vibratiecodering maakt geen deel uit van het plaatje.
1Password heeft AI-coderingsmodellen gelanceerd zoals Cursor, GitHub Copilot en Claude Code, eerst waarbij mensen hun werk controleren. “Als je het vraagt, genereert het een code”, zei hij. “Maar mensen zijn nog steeds bezig met het valideren en creëren van testtools.”
Wang noemde een vroeg succes: een refactoringproject om services vrij te geven die over een enkele MySQL-database waren gelopen.
“Kunnen we een agent gebruiken om het refactoringproces te versnellen?” herinnerde hij zich. ‘En het antwoord kwam naar voren: een volmondig ja’ – het werk was in vier weken voltooid, in plaats van de vier tot vijf maanden die menselijke ingenieurs volgens hem nodig zouden hebben.
Maar 1Password richt zich nu op het geautomatiseerd testen van deze geautomatiseerde codegeneratie. “We hebben een volledige agentenlus op de achtergrond”, zei Wang. “We hebben voor elke codeeragent een testpakket opgezet, zodat het verzoek, zodra het de evaluatie van het testpakket heeft doorstaan, daadwerkelijk wordt samengevoegd in zijn eigen coderepository.”
Het scannen van AI-code op kwetsbaarheden getuigt van enige belofte, zoals blijkt uit dit soort inspanningen Antropisch Glasswing-project en het Mythe-model hieruit ontwikkeld.
“Het ontdekken van kwetsbaarheden zal enorm worden versneld met Glasswing”, zei hij. Maar dit zal alleen maar meer werk opleveren voor ontwikkelaars, AI of mensen: “Hoe verharden we die kwetsbaarheden, hoe verdedigen we ons tegen die kwetsbaarheden?”
Dit leidt Wang tot een onzekere conclusie: “AI is een verwarrend iets, simpelweg omdat het werk zo complex en technisch is.”
