🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Durante anos, as equipes de segurança construíram seus programas em torno de uma premissa simples: se você controlar as identidades, poderá controlar o risco. Os funcionários se autenticam por meio de provedores de identidade. As contas de serviço conectam sistemas. As chaves de API permitem que as cargas de trabalho se comuniquem com serviços e bancos de dados em nuvem.
Os atores têm sido muito previsíveis. E, como resultado, o modelo de segurança e governança de identidade seguiu essa previsibilidade. Agora, essa premissa está quebrando.
Os agentes de IA entraram na empresa silenciosamente, resumindo reuniões, redigindo e-mails e ajudando os funcionários a encontrar informações. A maioria das equipes de segurança não pensou muito sobre eles no início. Pareciam ferramentas de produtividade, porque era exatamente isso que eram.
Então, as organizações começaram a conectá-los a serviços comerciais essenciais, como Salesforce, Snowflake, GitHub, Jira, bancos de dados de produção e ambientes de nuvem. Agora, eles recuperam informações, acionam fluxos de trabalho, atualizam registros, escrevem e implantam códigos e executam ações em vários sistemas.
Às vezes em nome de um ser humano, às vezes de forma autônoma e às vezes de maneiras onde não está claro qual.
Isso torna os agentes de IA mais do que apenas ferramentas. Isso os torna identidades e a maioria das empresas não possui modelos de segurança e governança para eles.
O padrão é consistente em todas as organizações. Uma nova camada de identidade é construída sobre a infraestrutura existente com quase nenhum dos controles que as equipes de identidade passaram a última década implementando. Um agente pode ser criado por uma equipe, usado por outra, conectado a cinco aplicativos diferentes e executado com credenciais fornecidas para uma finalidade completamente diferente.
Teve amplo acesso desde o início porque alguém precisava que funcionasse e não queria atrasar as coisas. O resultado é uma expansão de atores de alto privilégio e baixa visibilidade que a maioria das equipes de segurança não consegue inventariar, muito menos governar.
Não deixe o medo te atrapalhar. IA em escala com Token Security ao seu lado.
Os agentes de IA criam, usam e alternam identidades na velocidade da máquina, ultrapassando os controles IAM tradicionais.
O Token Security ajuda as equipes a gerenciar todo o ciclo de vida das identidades dos agentes de IA, reduzir riscos com remediação e manter a governança e a prontidão para auditoria sem sacrificar a velocidade.
Solicite uma demonstração técnica
De acordo com uma pesquisa CSA de 2026 encomendada por nós aqui da Token Security, 82% das organizações descobriram pelo menos um agente de IA criado sem o conhecimento das equipes de segurança, TI ou governança no ano passado, e 41% descobriram que isso aconteceu várias vezes.
É aqui que a conversa sobre segurança ficou de lado. A maior parte da atenção sobre a segurança da IA centrou-se no risco do modelo, como injeção imediata, jailbreaks e resultados inseguros. Embora todos sejam uma parte importante do ecossistema de IA agente, eles não retratam o quadro completo que as equipes de segurança corporativa exigem. A peça mais importante que eles precisam deve responder: o que o agente pode realmente acessar?
Um agente que resume a documentação pública tem um raio de explosão limitado. Um agente conectado a registros de clientes, código-fonte, sistemas financeiros e credenciais de nuvem de nível administrativo é um problema totalmente diferente.
Um prompt incorreto, uma sessão comprometida, um plug-in malicioso ou uma integração mal configurada podem transformar um agente superprivilegiado em um caminho para exfiltração de dados, ação destrutiva ou movimento lateral através de sistemas que nunca deveriam estar conectados.
Isso não é mais teórico: 65% das organizações sofreram um incidente de segurança envolvendo um agente de IA no ano passado, com 61% relatando exposição ou manuseio incorreto de dados confidenciais como resultado (fonte).
Obter controle começa com visibilidade. As equipes de segurança precisam de descoberta e inventário de agentes de IA que vão além de apenas nomes e plataformas para responder a perguntas que realmente importam.
Quem é o dono deste agente? Quem pode invocá-lo? A quais sistemas ele está conectado? Quais credenciais ele usa? O que ele pode ler, gravar, excluir ou executar em cada aplicativo de destino?
Isto é mais difícil do que parece, porque a superfície não é óbvia. Uma equipe de segurança pode saber que existe um assistente de vendas em uma plataforma de IA sem saber que ele é executado em uma conta de serviço Snowflake com privilégios de administrador. Eles podem saber que um agente de codificação está instalado nos endpoints do desenvolvedor sem saber quais segredos, repositórios e pipelines de CI/CD ele pode alcançar.
O agente em si é apenas parte do quadro. Tudo o que a identidade do agente pode tocar é a superfície de exposição real.
A segunda peça é o propósito. A segurança e a governação não podem ser puramente baseadas em permissões com agentes de IA. Tem que levar em conta a intenção do agente. Um agente de preparação de vendas só precisa de acesso de leitura aos registros do CRM. Não é necessário excluir tabelas do banco de dados.
Um agente de fluxo de trabalho financeiro deve ler apenas faturas. Não deveria ser possível criar novos usuários privilegiados. Quando você entende o que um agente deve fazer
Os atores têm sido muito previsíveis. E, como resultado, o modelo de segurança e governança de identidade seguiu essa previsibilidade. Agora, essa premissa está quebrando.
Os agentes de IA entraram na empresa silenciosamente, resumindo reuniões, redigindo e-mails e ajudando os funcionários a encontrar informações. A maioria das equipes de segurança não pensou muito sobre eles no início. Pareciam ferramentas de produtividade, porque era exatamente isso que eram.
Então, as organizações começaram a conectá-los a serviços comerciais essenciais, como Salesforce, Snowflake, GitHub, Jira, bancos de dados de produção e ambientes de nuvem. Agora, eles recuperam informações, acionam fluxos de trabalho, atualizam registros, escrevem e implantam códigos e executam ações em vários sistemas.
Às vezes em nome de um ser humano, às vezes de forma autônoma e às vezes de maneiras onde não está claro qual.
Isso torna os agentes de IA mais do que apenas ferramentas. Isso os torna identidades e a maioria das empresas não possui modelos de segurança e governança para eles.
O padrão é consistente em todas as organizações. Uma nova camada de identidade é construída sobre a infraestrutura existente com quase nenhum dos controles que as equipes de identidade passaram a última década implementando. Um agente pode ser criado por uma equipe, usado por outra, conectado a cinco aplicativos diferentes e executado com credenciais fornecidas para uma finalidade completamente diferente.
Teve amplo acesso desde o início porque alguém precisava que funcionasse e não queria atrasar as coisas. O resultado é uma expansão de atores de alto privilégio e baixa visibilidade que a maioria das equipes de segurança não consegue inventariar, muito menos governar.
Não deixe o medo te atrapalhar. IA em escala com Token Security ao seu lado.
Os agentes de IA criam, usam e alternam identidades na velocidade da máquina, ultrapassando os controles IAM tradicionais.
O Token Security ajuda as equipes a gerenciar todo o ciclo de vida das identidades dos agentes de IA, reduzir riscos com remediação e manter a governança e a prontidão para auditoria sem sacrificar a velocidade.
Solicite uma demonstração técnica
De acordo com uma pesquisa CSA de 2026 encomendada por nós aqui da Token Security, 82% das organizações descobriram pelo menos um agente de IA criado sem o conhecimento das equipes de segurança, TI ou governança no ano passado, e 41% descobriram que isso aconteceu várias vezes.
É aqui que a conversa sobre segurança ficou de lado. A maior parte da atenção sobre a segurança da IA centrou-se no risco do modelo, como injeção imediata, jailbreaks e resultados inseguros. Embora todos sejam uma parte importante do ecossistema de IA agente, eles não retratam o quadro completo que as equipes de segurança corporativa exigem. A peça mais importante que eles precisam deve responder: o que o agente pode realmente acessar?
Um agente que resume a documentação pública tem um raio de explosão limitado. Um agente conectado a registros de clientes, código-fonte, sistemas financeiros e credenciais de nuvem de nível administrativo é um problema totalmente diferente.
Um prompt incorreto, uma sessão comprometida, um plug-in malicioso ou uma integração mal configurada podem transformar um agente superprivilegiado em um caminho para exfiltração de dados, ação destrutiva ou movimento lateral através de sistemas que nunca deveriam estar conectados.
Isso não é mais teórico: 65% das organizações sofreram um incidente de segurança envolvendo um agente de IA no ano passado, com 61% relatando exposição ou manuseio incorreto de dados confidenciais como resultado (fonte).
Obter controle começa com visibilidade. As equipes de segurança precisam de descoberta e inventário de agentes de IA que vão além de apenas nomes e plataformas para responder a perguntas que realmente importam.
Quem é o dono deste agente? Quem pode invocá-lo? A quais sistemas ele está conectado? Quais credenciais ele usa? O que ele pode ler, gravar, excluir ou executar em cada aplicativo de destino?
Isto é mais difícil do que parece, porque a superfície não é óbvia. Uma equipe de segurança pode saber que existe um assistente de vendas em uma plataforma de IA sem saber que ele é executado em uma conta de serviço Snowflake com privilégios de administrador. Eles podem saber que um agente de codificação está instalado nos endpoints do desenvolvedor sem saber quais segredos, repositórios e pipelines de CI/CD ele pode alcançar.
O agente em si é apenas parte do quadro. Tudo o que a identidade do agente pode tocar é a superfície de exposição real.
A segunda peça é o propósito. A segurança e a governação não podem ser puramente baseadas em permissões com agentes de IA. Tem que levar em conta a intenção do agente. Um agente de preparação de vendas só precisa de acesso de leitura aos registros do CRM. Não é necessário excluir tabelas do banco de dados.
Um agente de fluxo de trabalho financeiro deve ler apenas faturas. Não deveria ser possível criar novos usuários privilegiados. Quando você entende o que um agente deve fazer
#samirnews #samir #news #boletimtec #cada #agente #de #ia #é #uma #identidade. #a #maioria #das #organizações #não #as #trata #dessa #maneira
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário