Wanneer een AI-agent zich moet aanmelden bij uw CRM, records uit uw database moet halen en namens u een e-mail moet sturen, wiens identiteit gebruikt hij dan? En wat gebeurt er als niemand het antwoord weet? Alex Stamos, chief product officer bij Corridor, en Nancy Wang, CTO bij 1Password sloten zich aan bij de VB AI Impact Salon Series om zich te verdiepen in de nieuwe identiteitsframework-uitdagingen die gepaard gaan met de voordelen van agentische AI.
“Op een hoog niveau gaat het er niet alleen om tot wie deze agent behoort of tot welke organisatie deze agent behoort, maar ook wat de autoriteit is waaronder deze agent handelt, wat zich vervolgens vertaalt in autorisatie en toegang,” zei Wang.
Hoe 1Password centraal kwam te staan in het identiteitsprobleem van agenten
Wang volgde de weg van 1Password naar dit gebied via zijn eigen productgeschiedenis. Het bedrijf begon als wachtwoordbeheerder voor consumenten en de bedrijfsvoetafdruk groeide organisch naarmate werknemers tools die ze al vertrouwden naar hun werkplek brachten.
“Toen die mensen eenmaal gewend waren aan de interface en echt genoten van de beveiligings- en privacynormen die we bieden als garanties voor onze klanten, hebben ze deze in de onderneming geïntroduceerd”, zei ze. Dezelfde dynamiek vindt nu plaats met AI, voegde ze eraan toe. “Agenten hebben ook geheimen, of wachtwoorden, net als mensen.”
Intern kampt 1Password met dezelfde spanning waarmee het klanten helpt om te gaan: hoe kunnen engineers snel handelen zonder een veiligheidspuinhoop te creëren. Wang zei dat het bedrijf actief de verhouding tussen incidenten en door AI gegenereerde code bijhoudt, terwijl ingenieurs tools als Claude Code en Cursor gebruiken. “Dat is een maatstaf die we nauwlettend volgen om er zeker van te zijn dat we kwaliteitscode genereren.”
Hoe ontwikkelaars grote veiligheidsrisico’s lopen
Stamos zei dat een van de meest voorkomende gedragingen die Corridor waarneemt, is dat ontwikkelaars inloggegevens rechtstreeks in prompts plakken, wat een enorm veiligheidsrisico is. Corridor markeert het en stuurt de ontwikkelaar terug naar het juiste geheimbeheer.
“Het standaard is dat je gewoon een API-sleutel pakt of je gebruikersnaam en wachtwoord gebruikt en deze in de prompt plakt”, zei hij. “We ontdekken dit de hele tijd omdat we verslaafd zijn en de prompt pakken.”
Wang beschreef de aanpak van 1Password als werkend aan de uitvoerkant, waarbij code wordt gescand terwijl deze wordt geschreven en alle inloggegevens in platte tekst worden bewaard voordat ze blijven bestaan. De neiging tot het knippen en plakken van systeemtoegang heeft een directe invloed op de ontwerpkeuzes van 1Password, namelijk het vermijden van beveiligingstools die wrijving veroorzaken.
“Als het te moeilijk is om het te gebruiken, op te starten, om aan boord te komen, zal het niet veilig zijn, omdat mensen het eerlijk gezegd gewoon zullen omzeilen en niet zullen gebruiken”, zei ze.
Waarom je een codeeragent niet kunt behandelen als een traditionele beveiligingsscanner
Een andere uitdaging bij het opbouwen van feedback tussen beveiligingsagenten en codeermodellen zijn valse positieven, waar zeer vriendelijke en aangename grote taalmodellen gevoelig voor zijn. Helaas kunnen deze valse positieven van beveiligingsscanners een hele codesessie laten ontsporen.
“Als je hem vertelt dat dit een fout is, zal het zijn van: ja meneer, het is een totale fout!” zei Stamos. Maar hij voegde eraan toe: “Je kunt het niet verpesten en een vals positief resultaat krijgen, want als je dat vertelt en je hebt ongelijk, verpest je het vermogen om correcte code te schrijven volledig.”
Die afweging tussen precisie en herinnering is structureel anders dan waarvoor traditionele statische analysehulpmiddelen zijn ontworpen om te optimaliseren, en er was aanzienlijke engineering voor nodig om de vereiste latentie precies te bereiken, in de orde van een paar honderd milliseconden per scan.
Authenticatie is eenvoudig, maar autorisatie is waar het moeilijk wordt
“Een agent heeft doorgaans veel meer toegang dan welke andere software in uw omgeving dan ook”, merkte Spiros Xanthos, oprichter en CEO van Resolve AI, op in een eerdere sessie op het evenement. “Het is dus begrijpelijk waarom beveiligingsteams zich daar grote zorgen over maken. Want als die aanvalsvector wordt gebruikt, kan dit zowel resulteren in een datalek, maar erger nog, misschien heb je daar iets in zitten dat actie kan ondernemen namens een aanvaller.”
Dus hoe geef je autonome agenten een bereikbare, controleerbare, in de tijd beperkte identiteit? Wang wees op SPIFFE en SPIRE, werklastidentiteitsstandaarden die zijn ontwikkeld voor containeromgevingen, als kandidaten die worden getest in agentische contexten. Maar ze erkende dat de pasvorm ruw is.
“We passen een vierkante pin met kracht in een rond gat”, zei ze.
Maar authenticatie is slechts de helft ervan. Wat mag een agent, zodra hij een referentie heeft, eigenlijk doen? Hier moet het principe van de minste privileges worden toegepast op taken in plaats van op rollen.
“Je zou een mens geen sleutelkaart willen geven voor een heel gebouw dat toegang heeft tot elke kamer in het gebouw”, legde ze uit. “Je wilt een agent ook niet de sleutels van het koninkrijk geven, een API-sleutel om voor altijd te doen wat hij moet doen. Het moet tijdsgebonden zijn en ook gebonden aan de taak die je wilt dat die agent doet.”
In bedrijfsomgevingen zal het niet voldoende zijn om beperkte toegang te verlenen; organisaties moeten weten welke agent heeft gehandeld, onder welke autoriteit en welke inloggegevens zijn gebruikt.
Stamos wees op OIDC-extensies als de huidige koploper in standaardgesprekken, terwijl hij de reeks propriëtaire oplossingen van de hand wees.
“Er zijn vijftig startups die geloven dat hun gepatenteerde oplossing de winnaar zal zijn”, zei hij. “Geen van deze zal trouwens winnen, dus ik zou het niet aanraden.”
Bij een miljard gebruikers zijn randgevallen geen randgevallen meer
Aan de consumentenkant voorspelde Stamos dat het identiteitsprobleem zich zal consolideren rond een klein aantal vertrouwde providers, hoogstwaarschijnlijk de platforms die consumentenauthenticatie al verankeren. Op basis van zijn tijd als CISO bij Facebook, waar het team ongeveer 700.000 accountovernames per dag afhandelde, herformuleerde hij wat schaal doet met het concept van een edge case.
“Als je de CISO bent van een bedrijf met een miljard gebruikers, is een hoekgeval iets dat echte menselijke schade betekent”, legde hij uit. “En dus zal identiteit, voor normale mensen, voor agenten, in de toekomst een gigantisch probleem worden.”
Uiteindelijk komen de uitdagingen waarmee CTO’s aan de agentenkant worden geconfronteerd voort uit onvolledige standaarden voor de identiteit van agenten, geïmproviseerde tools en bedrijven die agenten sneller inzetten dan de raamwerken die bedoeld zijn om hen te besturen, kunnen worden geschreven. De weg voorwaarts vereist dat we een identiteitsinfrastructuur vanaf het begin opbouwen rond wat agenten werkelijk zijn, en niet achteraf aanpassen wat is gebouwd voor de mensen die ze hebben gemaakt.
