Wanneer een AI-agent moet inloggen op uw CRM, records uit uw database moet halen en namens u e-mails moet verzenden, wiens identiteit wordt dan gebruikt? En wat gebeurt er als niemand het antwoord weet? Alex Stamos, chief product officer bij Corridor, en Nancy Wang, CTO bij 1Password sloten zich aan bij de VB AI Impact Salon Series om de uitdagingen te verkennen van nieuwe identiteitsframeworks die gepaard gaan met de voordelen van AI-agenten.
“Op een hoog niveau gaat het er niet alleen om tot wie deze agent behoort of tot welke organisatie de agent behoort, maar ook welke autoriteit waaronder deze agent handelt, wat zich vervolgens vertaalt in autorisatie en toegang”, aldus Wang.
Hoe 1Password het middelpunt werd van de identiteitsproblemen van agenten
Wang volgt het pad van 1Password naar dit gebied via zijn eigen productgeschiedenis. Het bedrijf begon als wachtwoordbeheerder voor consumenten en de bedrijfsvoetafdruk groeide organisch naarmate werknemers tools die ze vertrouwden naar hun werkplek brachten.
“Als mensen eenmaal gewend zijn aan de interface en echt genieten van de beveiligings- en privacynormen die we onze klanten bieden als garantie, dan brengen ze deze naar het bedrijf”, zei hij. Dezelfde dynamiek vindt nu plaats in AI, voegde hij eraan toe. “Agenten hebben net als mensen ook geheimen of wachtwoorden.”
Intern wordt 1Password geconfronteerd met dezelfde uitdagingen waarmee het klanten helpt omgaan: hoe kunnen technici snel handelen zonder een beveiligingschaos te creëren. Wang zei dat zijn bedrijf actief de verhouding tussen incidenten en door AI gegenereerde code bijhoudt wanneer ingenieurs tools als Claude Code en Cursor gebruiken. “Dat is een maatstaf die we nauwlettend volgen om ervoor te zorgen dat we kwaliteitscode produceren.”
Hoe ontwikkelaars een groot beveiligingsrisico vormen
Stamos zei dat een van de meest voorkomende gedragingen die Corridor waarneemt, is dat ontwikkelaars inloggegevens rechtstreeks in opdrachten plakken, wat een enorm veiligheidsrisico is. De corridor signaleert dit en stuurt ontwikkelaars terug naar het juiste geheimbeheer.
“Het standaard is dat je gewoon je API-sleutel neemt of je gebruikersnaam en wachtwoord en deze in de prompt plakt”, zei hij. “We vinden dit de hele tijd omdat we verbinding maken en de aanwijzingen oppikken.”
Wang beschrijft de aanpak van 1Password als werkend aan de uitvoerkant, waarbij code wordt gescand terwijl deze wordt geschreven en alle inloggegevens in leesbare tekst worden opgeslagen voordat deze doorgaat. De trend naar knip-en-plak-toegangsmethoden had een directe invloed op de ontwerpkeuzes van 1Password, namelijk het vermijden van wrijvingsloze beveiligingshulpmiddelen.
“Als het te moeilijk is om te gebruiken, op te starten of in een systeem te stoppen, dan zal het niet veilig zijn, omdat mensen het eerlijk gezegd gewoon negeren en niet gebruiken”, zei hij.
Waarom kun je codeeragenten niet behandelen als traditionele beveiligingsscanners?
Een andere uitdaging bij het tot stand brengen van feedback tussen de beveiligingsagent en het codeermodel zijn valse positieven, die vaak voorkomen in grote taalmodellen die erg vriendelijk en prettig zijn. Helaas kunnen valse positieven van deze beveiligingsscanners de hele codesessie laten ontsporen.
“Als u zegt dat dit een defect is, zal het zijn van: ja meneer, het is een totaal defect!” zei Stamos. Maar hij voegde eraan toe: “Je kunt het niet verknoeien en valse positieven krijgen, want als je dat zegt en het blijkt dat je ongelijk hebt, schaad je zijn vermogen om correcte code te schrijven.”
Deze afweging tussen precisie en herinnering is structureel anders dan wat traditionele statische analysehulpmiddelen zijn ontworpen om te optimaliseren, en vereist aanzienlijke engineering om de latentie goed te krijgen, in de orde van enkele honderden milliseconden per scan.
Authenticatie is eenvoudig, maar autorisatie is moeilijk
“Agenten hebben doorgaans meer toegang dan welke andere software in uw omgeving dan ook”, zei Spiros Xanthos, oprichter en CEO van Resolve AI, in een eerdere sessie op het evenement. “Het is dus begrijpelijk waarom beveiligingsteams zich daar zo zorgen over maken. Want als die aanvalsvectoren worden uitgebuit, kunnen beide resulteren in datalekken, maar wat nog erger is, misschien heb je daar iets dat namens de aanvaller actie kan ondernemen.”
Dus hoe voorzie je autonome agenten van bereikbare, controleerbare en tijdgebonden identiteiten? Wang wijst op SPIFFE en SPIRE, werklastidentiteitsstandaarden die zijn ontwikkeld voor containeromgevingen, als kandidaten om te testen in de agentcontext. Maar hij gaf toe dat de pasvorm moeilijk was.
“We stopten als het ware een vierkante pin in een rond gat”, zei hij.
Maar authenticatie is slechts de helft ervan. Wat kan een agent, zodra hij over de inloggegevens beschikt, eigenlijk doen? Dit is waar het principe van de minste privileges moet worden toegepast op taken, niet op rollen.
“Je wilt een mens geen sleutelkaart geven voor een heel gebouw die toegang heeft tot elke kamer in het gebouw”, legt hij uit. “Je wilt een agent ook niet de sleutels van het koninkrijk geven, een API-sleutel om voor altijd te doen wat er gedaan moet worden. Die sleutels moeten tijdsgebonden zijn en ook gekoppeld zijn aan de taken die je wilt dat de agent doet.”
In bedrijfsomgevingen is het bieden van beperkte toegang niet voldoende; organisaties moeten weten welke agenten optreden, onder welke autoriteit en welke inloggegevens worden gebruikt.
Stamos wees op de OIDC-extensie als de huidige leider in standaarddiscussies, terwijl hij propriëtaire oplossingen afwees.
“Er zijn vijftig startups die geloven dat hun gepatenteerde oplossing de winnaar zal zijn”, zei hij. “Trouwens, geen van beiden zal winnen, dus ik zou het niet aanraden.”
Met een miljard gebruikers zijn edge cases niet langer edge cases
Aan de consumentenkant verwacht Stamos dat er identiteitsproblemen zullen optreden bij een klein aantal vertrouwde providers, hoogstwaarschijnlijk platforms die consumentenauthenticatie al ondersteunen. Gebruikmakend van zijn ambtstermijn als CISO bij Facebook, waar het team ongeveer 700.000 accountovernames per dag afhandelde, herkaderde hij de impact van schaalgrootte in het licht van het edge case-concept.
“Als je de CISO bent van een bedrijf met een miljard gebruikers, zijn hoekzaken iets dat mensen echt pijn doet”, legt hij uit. “Dus identiteit, voor normale mensen, voor agenten, zal in de toekomst een groot probleem zijn.”
Uiteindelijk komen de uitdagingen waarmee CTO’s aan de agentenkant worden geconfronteerd voort uit onvolledige identiteitsnormen voor agenten, geïmproviseerde tools en bedrijven die agenten sneller inzetten dan de kaders die bedoeld zijn om hen te besturen. De weg vooruit vereist het vanaf de grond opbouwen van een identiteitsinfrastructuur op basis van wat agenten werkelijk zijn, en niet het verbeteren van wat is gebouwd voor de mensen die het hebben gecreëerd.
