Wanneer een AI-agent zich moet aanmelden bij uw CRM, records uit uw database moet halen en namens u een e-mail moet sturen, wiens identiteit gebruikt hij dan? En wat gebeurt er als niemand het antwoord weet? Alex Stamos, Chief Product Officer bij Corridor, en Nancy Wang, CTO bij 1Password sloten zich aan bij de VB AI Impact Salon Series om zich te verdiepen in de nieuwe identiteitsframework-uitdagingen die gepaard gaan met de voordelen van agent AI.
“Op een hoog niveau gaat het niet alleen om wie deze agent is, of tot welke organisatie deze agent behoort, maar ook om de autoriteit waaronder deze agent handelt, wat zich vervolgens vertaalt in autorisatie en toegang,” zei Wang.
Hoe 1Password centraal kwam te staan in het identiteitsprobleem van agenten
Wang volgde het pad van 1Password naar deze ruimte via zijn eigen productgeschiedenis. Het bedrijf begon als wachtwoordbeheerder voor consumenten en de bedrijfsvoetafdruk groeide organisch naarmate werknemers tools die ze al vertrouwden naar hun werkplek brachten.
“Toen deze mensen eenmaal gewend waren aan de interface en echt genoten van de beveiligings- en privacystandaarden die we bieden als garanties voor onze klanten, brachten ze dat in het bedrijf”, zei ze. Dezelfde dynamiek vindt nu plaats met AI, voegde ze eraan toe. “Agenten hebben ook geheimen of wachtwoorden, net als mensen.”
Intern hanteert 1Password hetzelfde spanningsveld waarmee klanten kunnen omgaan: hoe kunnen engineers snel handelen zonder een veiligheidspuinhoop te creëren. Wang zei dat het bedrijf actief de relatie tussen gebeurtenissen en door AI gegenereerde code volgt terwijl ingenieurs tools zoals Claude Code en Cursor gebruiken. “Het is een doel dat we nauwlettend volgen om ervoor te zorgen dat we kwaliteitscode genereren.”
Hoe ontwikkelaars grote veiligheidsrisico’s lopen
Stamos zei dat een van de meest voorkomende gedragingen die Corridor waarneemt, is dat ontwikkelaars inloggegevens rechtstreeks in prompts invoegen, wat een enorm veiligheidsrisico is. Corridor markeert het en stuurt de ontwikkelaar terug naar goed geheimbeheer.
“De standaard is dat je gewoon een API-sleutel neemt of je gebruikersnaam en wachtwoord en dat plak je gewoon in de prompt”, zei hij. “We vinden het de hele tijd omdat we verslaafd zijn en de prompt pakken.”
Wang beschreef de aanpak van 1Password als werkend aan de uitvoerkant, waarbij de code wordt gescand terwijl deze wordt geschreven en alle inloggegevens in platte tekst worden bewaard voordat verder wordt gegaan. De neiging tot knippen en plakken bij systeemtoegang heeft een directe invloed op de ontwerpkeuze van 1Password, namelijk het vermijden van beveiligingstools die wrijving veroorzaken.
“Als het te moeilijk is om het te gebruiken, te booten, aan boord te komen, zal het niet veilig zijn, omdat mensen het eerlijk gezegd gewoon zullen omzeilen en niet zullen gebruiken”, zei ze.
Waarom je een encryptieagent niet kunt behandelen als een traditionele beveiligingsscanner
Een andere uitdaging bij het opbouwen van feedback tussen beveiligingsagenten en codeermodellen zijn valse positieven, waar zeer vriendelijke en aangename grote taalmodellen gevoelig voor zijn. Helaas kunnen deze valse positieven van beveiligingsscanners een hele codeersessie doen ontsporen.
“Als je zegt dat dit een vergissing is, zal het zijn van: ja meneer, het is een totale vergissing!” zei Stamos. Maar hij voegde eraan toe: “Je kunt het niet verpesten en een vals positief resultaat krijgen, want als je het vertelt en je hebt ongelijk, vernietig je het vermogen om correcte code te schrijven volledig.”
Deze afweging tussen precisie en herinnering is structureel anders dan waarvoor traditionele statische analysehulpmiddelen zijn ontworpen om te optimaliseren, en er was aanzienlijke engineering voor nodig om de vereiste latentie te bereiken, in de orde van een paar honderd milliseconden per scan.
Authenticatie is eenvoudig, maar autorisatie is waar het moeilijk wordt
“Een agent heeft doorgaans veel meer toegang dan welke andere software in uw omgeving dan ook”, merkte Spiros Xanthos, oprichter en CEO van Resolve AI, op in een eerdere sessie op het evenement. “Dus het is begrijpelijk waarom beveiligingsteams zich daar grote zorgen over maken. Want als die aanvalsvector wordt gebruikt, kan dit zowel resulteren in een datalek, maar erger nog, er zit misschien iets in dat namens een aanvaller kan optreden.”
Dus hoe geef je autonome agenten omvangrijke, controleerbare, tijdgebonden identiteiten? Wang wees op SPIFFE en SPIRE, werklastidentiteitsstandaarden die zijn ontwikkeld voor containeromgevingen, als kandidaten die worden getest in agentische contexten. Maar ze erkende dat de pasvorm moeilijk is.
“We passen met kracht een vierkante pin in een rond gat”, zei ze.
Maar authenticatie is slechts de helft ervan. Wat moet een agent doen als hij eenmaal een legitimatiebewijs heeft? Hier moet het beginsel van de minste privileges worden toegepast op taken in plaats van op rollen.
“Je wilt een mens geen sleutelkaart geven voor een heel gebouw dat toegang heeft tot elke kamer in het gebouw”, legde ze uit. “Je wilt een agent ook niet de sleutels van het koninkrijk geven, een API-sleutel om voor altijd te doen wat hij moet doen. Het moet getimed zijn en ook gekoppeld aan de taak die je wilt dat de agent doet.”
In bedrijfsomgevingen zal het niet voldoende zijn om beperkte toegang te bieden; organisaties moeten weten welke agent heeft gehandeld, onder welke autoriteit en welke inloggegevens zijn gebruikt.
Stamos wees op OIDC-extensies als de huidige koploper in standaardbesprekingen, terwijl hij de reeks propriëtaire oplossingen van de hand wees.
“Er zijn vijftig startups die denken dat hun gepatenteerde oplossing de winnaar zal zijn”, zei hij. “Trouwens, geen van beiden zal winnen, dus ik zou het niet aanraden.”
Met één miljard gebruikers zijn marginale kwesties niet langer marginale kwesties
Aan de consumentenkant voorspelde Stamos dat het identiteitsprobleem zich zal consolideren rond een klein aantal vertrouwde providers, hoogstwaarschijnlijk de platforms die consumentenauthenticatie al verankeren. Op basis van zijn tijd als CISO bij Facebook, waar het team ongeveer 700.000 accountovernames per dag afhandelde, herdefinieerde hij wat schaal doet met het concept van een edge case.
“Als je de CISO bent van een bedrijf met een miljard gebruikers, zijn hoekzaken iets dat echte menselijke schade betekent”, legde hij uit. “En dus zal identiteit, voor normale mensen, voor agenten, in de toekomst een enorm probleem worden.”
Uiteindelijk komen de uitdagingen waarmee CTO’s aan de agentenkant worden geconfronteerd voort uit onvolledige standaarden voor de identiteit van agenten, geïmproviseerde tools en bedrijven die agenten sneller inzetten dan de raamwerken die bedoeld zijn om hen te besturen, kunnen worden geschreven. De weg vooruit vereist het vanaf de grond opbouwen van een identiteitsinfrastructuur rond wat agenten feitelijk zijn, en niet het achteraf aanpassen van wat is gebouwd voor de mensen die ze hebben gemaakt.
