Gepresenteerd door 1Password
Het toevoegen van agentmogelijkheden aan een bedrijfsomgeving hervormt in wezen het dreigingsmodel door een nieuwe reeks actoren in het identiteitssysteem te introduceren. Het probleem: AI-agenten ondernemen acties in gevoelige bedrijfssystemen, loggen in, halen gegevens op, roepen LLM-tools aan en voeren workflows uit, vaak zonder de zichtbaarheid of controle waarvoor traditionele identiteits- en toegangssystemen zijn ontworpen.
AI-tools en autonome agenten verspreiden zich sneller door de onderneming dan beveiligingsteams ze kunnen instrumenteren of beheren. Tegelijkertijd gaan de meeste identiteitssystemen nog steeds uit van statische gebruikers, serviceaccounts met een lange levensduur en grofkorrelige roltoewijzingen. Ze zijn niet ontworpen om gedelegeerd menselijk gezag, kortstondige uitvoeringscontexten of agenten die binnen nauwe besluitvormingslussen opereren, te vertegenwoordigen.
Als gevolg hiervan moeten IT-leiders een stap terug doen en de vertrouwenslaag zelf heroverwegen. Deze verschuiving is niet theoretisch. NIST Zero Trust-architectuur (SP 800-207) stelt expliciet dat “alle onderwerpen – inclusief applicaties en niet-menselijke entiteiten – als onbetrouwbaar worden beschouwd totdat ze zijn geauthenticeerd en geauthenticeerd.”
In een agentische wereld betekent dit dat AI-systemen hun eigen expliciete, verifieerbare identiteit moeten hebben en niet moeten werken via geërfde of gedeelde inloggegevens.
“Enterprise IAM-architecturen zijn gebouwd op de veronderstelling dat alle systeemidentiteiten menselijk zijn, wat betekent dat ze vertrouwen op consistent gedrag, duidelijke bedoelingen en gerichte menselijke verantwoordelijkheid om vertrouwen af te dwingen”, zegt Nancy Wang, CTO bij 1Password en Venture Partner bij Felicis. “Agentsystemen doorbreken die veronderstelling. Een AI-agent is geen gebruiker die je kunt trainen of periodiek kunt beoordelen. Het is software die kan worden gekopieerd, gevorkt, horizontaal kan worden geschaald en in een strakke uitvoeringslus op meerdere systemen kan worden uitgevoerd. Als we agenten als mensen of statische serviceaccounts blijven behandelen, verliezen we het vermogen om duidelijk weer te geven voor wie ze handelen, welke autoriteit ze hebben en hoe lang die autoriteit zou moeten duren.”
Hoe AI-agents ontwikkelomgevingen veranderen in veiligheidsrisicozones
Een van de eerste plaatsen waar we deze identiteitsaannames kunnen doorbreken is de moderne gebouwde omgeving. Geïntegreerde ontwikkelaarsomgevingen (IDE’s) zijn van eenvoudige editors geëvolueerd naar orkestrators die systemen kunnen lezen, schrijven, uitvoeren, ophalen en configureren. Nu AI-agenten de kern van dit proces vormen, zijn snelle injectietransities niet alleen een abstracte mogelijkheid; ze worden een reëel risico.
Omdat traditionele IDE’s niet zijn ontworpen met AI-agents als kerncomponent, introduceert het toevoegen van AI-mogelijkheden op de aftermarket nieuwe soorten risico’s waar traditionele beveiligingsmodellen geen rekening mee kunnen houden.
Een AI-agent schendt bijvoorbeeld per ongeluk een vertrouwensgrens. Een ogenschijnlijk onschadelijke README kan verborgen richtlijnen bevatten die de assistent ertoe verleiden inloggegevens te onthullen tijdens standaardanalyse. Projectinhoud van niet-vertrouwde bronnen kan het gedrag van agenten op ongewenste manieren veranderen, zelfs als de inhoud geen duidelijke gelijkenis vertoont met de opdracht.
De invoerbron reikt nu verder dan het bestand dat opzettelijk is uitgevoerd. Documentatie, configuratiebestanden, bestandsnamen en metagegevens van tools worden allemaal door agenten opgenomen als onderdeel van het besluitvormingsproces, en beïnvloeden hoe zij een project interpreteren.
Het vertrouwen wordt uitgehold wanneer agenten handelen zonder intentie of verantwoordelijkheid
Wanneer je zeer autonome en deterministische agenten toevoegt die met hogere rechten werken en het systeem kunnen lezen, schrijven, uitvoeren of herconfigureren, wordt de dreiging nog groter. Deze agenten hebben geen context, geen mogelijkheid om te bepalen of een authenticatieverzoek legitiem is, wie het verzoek heeft gedelegeerd of welke beperkingen aan de actie moeten worden opgelegd.
“Je kunt er niet van uitgaan dat agenten het vermogen hebben om nauwkeurige oordelen te vellen, en ze hebben zeker geen morele code”, zegt Wang. “Elke actie van hen moet goed worden beperkt, en de toegang tot gevoelige systemen en wat ze daarin kunnen doen moet duidelijker worden gedefinieerd. Het moeilijke is dat ze actie blijven ondernemen, dus ze moeten ook voortdurend worden beperkt.”
Waar traditionele IAM faalt, zijn agenten
Traditionele identiteits- en toegangsbeheersystemen werken op basis van verschillende kernaannames die agent-AI schendt:
Statische privilegemodellen mislukken bij autonome agentworkflows: Conventionele IAM verleent machtigingen op basis van rollen die in de loop van de tijd relatief stabiel zijn. Maar agenten voeren reeksen acties uit die op verschillende momenten verschillende privilegeniveaus vereisen. Least privilege kan niet langer een set-it-and-forget-it-configuratie zijn. Nu moet de reikwijdte bij elke actie dynamisch zijn, met automatische verval- en vernieuwingsmechanismen.
Menselijke verantwoordelijkheid gedetailleerd voor softwareagenten: Legacy-systemen gaan ervan uit dat elke identiteit kan worden herleid tot een specifieke persoon die verantwoordelijk kan worden gehouden voor de ondernomen acties, maar agenten vervagen deze grens volledig. Het is nu onduidelijk wanneer een agent handelt en onder wiens gezag hij opereert, en dit is al een enorme kwetsbaarheid. Maar als de agent wordt gedupliceerd, aangepast of lang nadat zijn oorspronkelijke doel is bereikt, blijft bestaan, vermenigvuldigen de risico’s zich.
Op gedrag gebaseerde detectie mislukt bij voortdurende agentactiviteit: Terwijl menselijke gebruikers herkenbare patronen volgen, zoals inloggen tijdens werkuren, toegang krijgen tot bekende systemen en acties ondernemen die aansluiten bij hun functie, werken agenten continu, op meerdere systemen tegelijk. Dit vergroot niet alleen de potentiële schade aan het systeem, maar zorgt er ook voor dat legitieme workflows als verdacht worden gemarkeerd door traditionele anomaliedetectiesystemen.
Agentidentiteiten zijn vaak onzichtbaar voor traditionele IAM-systemen: Traditioneel zijn IT-teams in staat geweest de identiteiten die in hun omgeving actief zijn, te configureren en te beheren. Maar agenten kunnen op dynamische wijze nieuwe identiteiten creëren, via bestaande serviceaccounts opereren of inloggegevens gebruiken op een manier die ze onzichtbaar maakt voor conventionele IAM-tools.
“Het gaat om de hele context, de intentie achter de agent, en traditionele IAM-systemen kunnen dat niet aan”, zegt Wang. “De convergentie van deze ongelijksoortige systemen maakt de uitdaging breder dan identiteit alleen, en vereist context- en observatievaardigheden om niet alleen te begrijpen wie handelt, maar ook waarom en hoe.”
Heroverweeg de beveiligingsarchitectuur voor agentsystemen
Beveiligingsagent AI vereist een heroverweging van de bedrijfsbeveiligingsarchitectuur vanaf de basis. Er zijn een aantal belangrijke veranderingen nodig:
Identiteit als controlevlak voor AI-agenten: In plaats van identiteit te behandelen als een onderdeel van beveiliging, moeten organisaties het erkennen als een fundamenteel controlegebied voor AI-agenten. Grote beveiligingsleveranciers bewegen zich al in deze richting, waarbij identiteit in elke oplossing en beveiligingsstack is geïntegreerd.
Contextbewuste toegang als vereiste voor agent AI: Beleid moet veel gedetailleerder en specifieker worden, niet alleen specificeren waartoe agenten toegang hebben, maar ook onder welke voorwaarden. Dit betekent dat u moet overwegen wie de agent belt, op welk apparaat deze draait, welke tijdsbeperkingen van toepassing zijn en welke specifieke acties binnen elk systeem zijn toegestaan.
Zero-knowledge-referentieverwerking voor autonome agenten: Een veelbelovende aanpak is om de inloggegevens volledig uit het zicht van de agent te houden. Met behulp van technieken zoals het automatisch aanvullen van agenten kunnen inloggegevens in de authenticatiestroom worden ingevoerd zonder dat de agent ze in platte tekst ziet, vergelijkbaar met hoe wachtwoordmanagers voor mensen werken, maar dan uitgebreid tot softwareagenten.
Controleerbaarheidsvereisten voor AI-agenten: Traditionele auditlogboeken die API-aanroepen en authenticatiegebeurtenissen bijhouden, zijn niet voldoende. Agent-auditmogelijkheden vereisen een beeld van wie de agent is, onder wiens gezag de agent opereert, de reikwijdte van welke autoriteit wordt verleend en de volledige reeks acties die zijn ondernomen om de workflow te voltooien. Dit weerspiegelt de gedetailleerde activiteitenregistratie die wordt gebruikt voor menselijke werknemers, maar moet worden aangepast voor software-entiteiten die honderden acties per minuut uitvoeren.
Het afdwingen van vertrouwensgrenzen tussen mensen, agenten en systemen: Organisaties hebben duidelijke, afdwingbare grenzen nodig die definiëren wat een agent kan doen wanneer hij door een specifieke persoon op een specifiek apparaat wordt aangeroepen. Dit vereist een scheiding tussen intentie en uitvoering: begrijpen wat de gebruiker wil dat de agent bereikt en wat de agent feitelijk doet.
De toekomst van bedrijfsbeveiliging in een wereld van agentschappen
Nu AI-agents ingebed raken in de dagelijkse bedrijfsworkflows, is de beveiligingsuitdaging niet de vraag of organisaties agenten zullen adopteren; waar het om gaat is of de systemen die de toegang regelen, kunnen evolueren om gelijke tred te houden.
Het is onwaarschijnlijk dat AI-blokkering aan de rand wijdverspreid zal worden, maar dat geldt ook voor oudere identiteitsmodellen. Wat nodig is, is een verschuiving naar identiteitssystemen die in realtime rekening kunnen houden met context, delegatie en verantwoordelijkheid, voor mensen, machines en AI-agenten.
“De functie van agentstappen in de productie zal niet alleen voortkomen uit slimmere modellen”, aldus Wang. “Dit zal voortkomen uit voorspelbare autoriteit en afdwingbare vertrouwensgrenzen. Bedrijven hebben een identiteitssysteem nodig dat duidelijk kan weergeven wie als agent optreedt, wat ze mogen doen en wanneer die autoriteit vervalt. Zonder dit wordt autonomie een onbeheersbaar risico. Op deze manier worden agenten gemakkelijk te beheren.”
Gesponsorde artikelen zijn inhoud die is geproduceerd door bedrijven die voor de post hebben betaald of die een zakelijke relatie hebben met VentureBeat, en worden altijd duidelijk als zodanig gemarkeerd. Voor meer informatie kunt u contact opnemen met sales@venturebeat.com.
