Gepresenteerd door 1Password
Het toevoegen van agentmogelijkheden aan bedrijfsomgevingen hervormt het dreigingsmodel fundamenteel door een nieuwe klasse actoren in identiteitssystemen te introduceren. Het probleem: AI-agenten ondernemen actie binnen gevoelige bedrijfssystemen, loggen in, halen gegevens op, roepen LLM-tools aan en voeren workflows uit, vaak zonder de zichtbaarheid of controle die traditionele identiteits- en toegangssystemen moeten afdwingen.
AI-tools en autonome agenten verspreiden zich sneller binnen ondernemingen dan beveiligingsteams ze kunnen instrumenteren of controleren. Tegelijkertijd gaan de meeste identiteitssystemen nog steeds uit van statische gebruikers, serviceaccounts met een lange levensduur en grove roltoewijzingen. Ze zijn niet ontworpen om gedelegeerd menselijk gezag, uitvoeringscontexten op korte termijn of agenten die in nauwe besluitvormingscircuits opereren, te vertegenwoordigen.
Als gevolg hiervan moeten IT-leiders een stap terug doen en de vertrouwenslaag zelf heroverwegen. Deze verschuiving is niet theoretisch. NIST’s Zero Trust-architectuur (SP 800-207) stelt expliciet dat “alle items, inclusief applicaties en niet-menselijke entiteiten, als niet-vertrouwd worden beschouwd totdat ze zijn geautoriseerd en goedgekeurd.”
In een agentenwereld betekent dit dat AI-systemen hun eigen expliciete, verifieerbare identiteit moeten hebben en niet moeten werken via geërfde of gedeelde inloggegevens.
“Enterprise IAM-architecturen zijn gebouwd om aan te nemen dat alle systeemidentiteiten menselijk zijn, wat betekent dat ze rekenen op consistent gedrag, duidelijke bedoelingen en directe menselijke verantwoordelijkheid om vertrouwen af te dwingen”, zegt Nancy Wang, CTO bij 1Password en Venture Partner bij Felicis. “Agentsystemen doorbreken deze aannames. Een AI-agent is geen gebruiker die je kunt trainen of periodiek kunt beoordelen. Het is software die kan worden gekopieerd, gedistribueerd, horizontaal kan worden geschaald en in strakke uitvoeringslussen op meerdere systemen kan worden uitgevoerd. Als we agenten blijven behandelen als mensen of statische serviceaccounts, verliezen we het vermogen om duidelijk weer te geven welke autoriteit ze zouden moeten hebben en hoe lang ze moeten handelen.”
Hoe AI-agenten ontwikkelomgevingen veranderen in veiligheidsrisicozones
Een van de eerste plaatsen waar deze identiteitsaannames kapot gaan, is de moderne ontwikkelomgeving. De geïntegreerde ontwikkelomgeving (IDE) is geëvolueerd van een eenvoudige editor naar een orkestrator die systemen kan lezen, schrijven, uitvoeren, ophalen en configureren. Met een AI-agent in het hart van dit proces zijn snelle injectietransities niet alleen een abstracte mogelijkheid; ze worden een concreet risico.
Omdat traditionele IDE’s niet zijn ontworpen met AI-agents als kerncomponent, introduceert het toevoegen van AI-mogelijkheden op de aftermarket nieuwe soorten risico’s waarmee traditionele beveiligingsmodellen niet rekening konden houden.
AI-agenten schenden bijvoorbeeld onbedoeld vertrouwensgrenzen. Een ogenschijnlijk onschadelijke README kan verborgen richtlijnen bevatten die een assistent ertoe verleiden inloggegevens te onthullen tijdens standaardanalyse. Projectinhoud van onbetrouwbare bronnen kan het gedrag van agenten op onbedoelde manieren veranderen, zelfs als die inhoud geen duidelijke gelijkenis vertoont met een prompt.
Invoerbronnen reiken nu verder dan bestanden die opzettelijk worden uitgevoerd. Documentatie, configuratiebestanden, bestandsnamen en metagegevens van tools worden allemaal door agenten gebruikt als onderdeel van hun besluitvormingsprocessen, en beïnvloeden hoe zij een project interpreteren.
Vertrouwen erodeert wanneer agenten handelen zonder intentie of verantwoordelijkheid
Wanneer je zeer autonome, deterministische agenten toevoegt die met verhoogde bevoegdheden werken en systemen kunnen lezen, schrijven, uitvoeren of herconfigureren, wordt de dreiging groter. Deze agenten hebben geen context, geen mogelijkheid om te bepalen of een verzoek om goedkeuring legitiem is, wie dat verzoek heeft gedelegeerd, of de grenzen die rond die actie moeten worden gesteld.
“Er kan niet van worden uitgegaan dat agenten het vermogen hebben om nauwkeurige oordelen te vellen, en het ontbreekt hen zeker aan een morele code”, zegt Wang. “Al hun acties moeten op de juiste manier worden beperkt, en de toegang tot gevoelige systemen en wat ze daarin kunnen doen moet duidelijker worden gedefinieerd. Het lastige is dat ze voortdurend actie ondernemen, dus ze moeten ook voortdurend worden beperkt.”
Waar traditionele IAM faalt, zijn agenten
Traditionele identiteits- en toegangsbeheersystemen werken op basis van verschillende kernaannames die agent-AI schendt:
Statische privilegemodellen mislukken bij autonome agentworkflows: Conventionele IAM verleent machtigingen op basis van rollen die in de loop van de tijd relatief stabiel blijven. Maar agenten voeren reeksen acties uit die op verschillende tijdstippen verschillende privilegeniveaus vereisen. Least privilege kan niet langer een set-it-and-forget-it-configuratie zijn. Nu moet het dynamisch bereik bij elke actie worden bepaald, met automatische verval- en updatemechanismen.
De menselijke verantwoordelijkheid komt voor softwareagenten op het volgende neer: Legacy-systemen gaan ervan uit dat elke identiteit terug te voeren is op een specifieke persoon die verantwoordelijk kan worden gehouden voor de ondernomen acties, maar agenten vervagen die grens volledig. Nu is het onduidelijk wanneer een agent handelt onder wiens gezag hij opereert, wat al een enorme kwetsbaarheid is. Maar wanneer deze agent wordt gedupliceerd, gewijzigd of blijft bestaan lang nadat zijn oorspronkelijke doel is bereikt, wordt het risico vermenigvuldigd.
Gedragsdetectie mislukt bij voortdurende agentactiviteit: Terwijl menselijke gebruikers herkenbare patronen volgen, zoals inloggen tijdens werkuren, toegang krijgen tot bekende systemen en acties ondernemen die aansluiten bij hun functie, werken agenten continu op meerdere systemen tegelijk. Het vergroot niet alleen de kans op schade aan een systeem, maar zorgt er ook voor dat legitieme workflows door traditionele afwijkingendetectiesystemen als verdacht worden gemarkeerd.
Agentidentiteiten zijn vaak onzichtbaar voor traditionele IAM-systemen: Traditioneel kunnen IT-teams min of meer identiteiten configureren en beheren die in hun omgeving actief zijn. Maar agenten kunnen op dynamische wijze nieuwe identiteiten creëren, via bestaande serviceaccounts opereren of inloggegevens exploiteren op een manier die ze onzichtbaar maakt voor conventionele IAM-tools.
“Dat is het hele contextstuk, de bedoeling achter een agent, en traditionele IAM-systemen hebben geen enkele mogelijkheid om dat te beheren”, zegt Wang. “Deze convergentie van ongelijksoortige systemen maakt de uitdaging breder dan alleen identiteit, en vereist context en waarneembaarheid om niet alleen te begrijpen wie handelde, maar ook waarom en hoe.”
Heroverweging van de beveiligingsarchitectuur voor agentsystemen
Beveiligingsagent AI vereist een heroverweging van de beveiligingsarchitectuur van het bedrijf vanaf de basis. Er zijn een aantal belangrijke wijzigingen nodig:
Identiteit als controlevlak voor AI-agenten: In plaats van identiteit te behandelen als één van de vele beveiligingscomponenten, moeten organisaties identiteit erkennen als het fundamentele controlevlak voor AI-agenten. Grote beveiligingsleveranciers gaan al in deze richting, waarbij identiteit in elke beveiligingsoplossing en -stack wordt geïntegreerd.
Contextbewuste toegang als vereiste voor agent AI: Beleid moet veel gedetailleerder en specifieker worden, waarbij niet alleen wordt gedefinieerd waartoe een agent toegang heeft, maar ook onder welke voorwaarden. Dit betekent dat u moet overwegen wie de agent heeft aangeroepen, op welk apparaat deze draait, welke tijdslimieten van toepassing zijn en welke specifieke acties in elk systeem zijn toegestaan.
Zero-Knowledge-referentiebeheer voor autonome agenten: Een veelbelovende aanpak is om de inloggegevens volledig buiten het zicht van agenten te houden. Met behulp van technieken zoals het automatisch aanvullen van agenten kunnen inloggegevens in authenticatiestromen worden geïnjecteerd zonder dat agenten deze ooit in platte tekst zien, vergelijkbaar met hoe wachtwoordmanagers voor mensen werken, maar dan uitgebreid tot softwareagenten.
Auditvereisten voor AI-agenten: Traditionele auditlogboeken die API-aanroepen en authenticatiegebeurtenissen bijhouden, zijn onvoldoende. Voor de controleerbaarheid van agenten moet worden vastgelegd wie de agent is, onder wiens gezag hij opereert, welke reikwijdte van de autoriteit is verleend en de volledige reeks acties die zijn ondernomen om een workflow uit te voeren. Dit weerspiegelt de gedetailleerde activiteitenregistratie die wordt gebruikt voor menselijke werknemers, maar moet worden aangepast aan softwareapparaten die honderden acties per minuut uitvoeren.
Het afdwingen van vertrouwensgrenzen tussen mensen, agenten en systemen: Organisaties hebben duidelijke, afdwingbare grenzen nodig die definiëren wat een agent kan doen wanneer hij door een specifieke persoon op een specifiek apparaat wordt aangeroepen. Dit vereist een scheiding tussen intentie en uitvoering: begrijpen wat een gebruiker wil dat een agent doet en wat de agent daadwerkelijk doet.
De toekomst van bedrijfsbeveiliging in een agentenwereld
Nu agent-AI ingebed raakt in de dagelijkse workflows, is de beveiligingsuitdaging niet de vraag of organisaties agenten zullen adopteren; het gaat erom of de systemen die de toegang controleren, kunnen evolueren om gelijke tred te houden.
Het blokkeren van AI aan de rand zal waarschijnlijk niet schaalbaar zijn, maar het zal ook geen uitbreiding betekenen voor bestaande identiteitsmodellen. Wat nodig is, is een verschuiving naar identiteitssystemen die in realtime rekening kunnen houden met context, delegatie en verantwoordelijkheid voor zowel mensen, machines als AI-agenten.
“De stapfunctie voor agenten in de productie komt niet alleen voort uit slimmere modellen”, zegt Wang. “Het zal voortkomen uit voorspelbare autoriteit en afdwingbare vertrouwensgrenzen. Bedrijven hebben identiteitssystemen nodig die duidelijk kunnen weergeven voor wie een agent handelt, waartoe hij bevoegd is en wanneer die autoriteit vervalt. Zonder dat wordt autonomie een onbeheersbaar risico. Daarmee worden agenten controleerbaar.”
Gesponsorde artikelen zijn inhoud die is geproduceerd door een bedrijf dat voor de post betaalt of een zakelijke relatie heeft met VentureBeat, en is altijd duidelijk gemarkeerd. Voor meer informatie kunt u contact opnemen met sales@venturebeat.com.
