|

Autorização de agentes de IA: Porque é que o acesso à entrada não é suficiente

Como é que os agentes de IA mudam as regras do jogo?

A maioria dos programas de segurança encara o acesso como um momento isolado, e não como um processo contínuo. Uma credencial é verificada, é iniciada uma sessão e parte-se do princípio de que o ambiente é seguro. Esta suposição é válida quando a identidade do outro lado corresponde a uma pessoa que toma decisões deliberadas dentro de um âmbito bem definido. No entanto, deixa de ser válida quando se trata de um agente que herda acessos, opera de forma autónoma e não conta com supervisão humana para detetar ações indevidas.

O Mythos demonstrou isto em grande escala. Um sistema de IA capaz de desenvolver autonomamente exploits funcionais para vulnerabilidades que resistiram a décadas de revisão humana opera de forma muito semelhante a um agente comprometido ou a um utilizador malicioso dentro do seu ambiente. Dispõe de velocidade, autonomia e acesso herdado, sem qualquer supervisão humana. A Cloud Security Alliance classificou os agentes de IA como uma superfície de ataque crítica precisamente por este motivo.

Os agentes operam com as credenciais de um utilizador ou de uma conta de serviço partilhada, herdando todos os acessos associados a essa conta. Esses acessos não foram concebidos para o agente, mas sim para um propósito mais abrangente, acumulado ao longo do tempo e raramente revisto tendo em conta a tarefa específica que o agente irá desempenhar.

O resultado é um agente com acesso permanente a dados privilegiados aos quais nunca deveria ter acesso, a operar com permissões que ninguém lhe atribuiu explicitamente. Os controlos de acesso não foram concebidos para detetar este cenário.

Para compreender a razão, é necessário distinguir dois conceitos frequentemente utilizados como sinónimos, mas que representam funções distintas: autenticação e autorização.

A autenticação não é autorização

A autenticação confirma a identidade de um agente no momento em que este estabelece ligação. A sua função termina aí. A autorização determina que ações esse agente pode executar ao longo da sessão. Sem autorização, um agente autenticado opera com os acessos herdados, sem qualquer controlo, durante toda a duração da sessão. É aí que reside o risco.

Exemplo: autorização versus autenticação

Imagine-se um agente implementado para consultar uma base de dados. O agente autentica-se corretamente através de uma conta de serviço herdada. No entanto, essa mesma conta possui também permissões de escrita num sistema financeiro ao qual o agente nunca deveria aceder. A autenticação decorreu sem qualquer problema. Em nenhum momento foi avaliado se o agente deveria ter acesso ao sistema financeiro. Nada impediu a utilização desse acesso. O agente foi autenticado, mas nunca foi autorizado.

Este não é um caso excecional. É, na realidade, o cenário por defeito na maioria das implementações de agentes de IA. Os agentes herdam acessos que nunca foram concebidos para eles e, sem autorização em tempo de execução, esses acessos permanecem sem controlo durante toda a sessão.

A autorização em tempo de execução é a resposta

A autorização em tempo de execução significa que cada ação executada pelo agente é avaliada continuamente com base na sua identidade, nos recursos envolvidos e no contexto do pedido. O acesso é limitado apenas ao estritamente necessário para a tarefa em causa. Cada ação privilegiada é analisada no momento em que ocorre, de acordo com políticas definidas por pessoas. A aplicação dessas políticas é automática em cada ação do agente, sem necessidade de intervenção humana durante a execução.

Esta distinção é fundamental porque os agentes não são determinísticos. Ao contrário de um processo programado, que executa sempre os mesmos passos pela mesma ordem, o comportamento de um agente varia em função do contexto e das instruções recebidas. Uma ação adequada numa sessão pode deixar de o ser na sessão seguinte. As revisões estáticas de acesso não conseguem acompanhar esta variabilidade. A autorização em tempo de execução consegue.

É na sessão que o controlo acontece

Saber que existe um agente e compreender o risco que representa são apenas os primeiros passos. Nenhum destes aspetos impede, por si só, que um agente aceda a informação que não deveria consultar. O controlo acontece ao nível da sessão e tem de ser contínuo.

A maioria das organizações consegue indicar que um agente estabeleceu ligação. No entanto, poucas conseguem explicar com precisão o que aconteceu a seguir. O agente manteve-se dentro dos limites previstos? Em que momento começou a executar ações para as quais não foi concebido? É precisamente nesta lacuna que a aplicação de políticas em tempo de execução se torna essencial.

Cada ação realizada pelo agente durante uma sessão é avaliada de acordo com a política aplicável. Se uma ação não cumprir essa política, a resposta é imediata. Não é gerado um alerta nem a ação fica pendente para análise posterior. A ação é bloqueada antes de ser concluída.

A gravação das sessões acrescenta uma dimensão essencial de responsabilização. Um registo completo de todas as ações privilegiadas realizadas por um agente durante uma sessão não serve apenas para satisfazer requisitos de auditoria. Permite também às equipas de segurança compreender exatamente o que o agente fez, por que ordem e se permaneceu dentro dos limites definidos. Quando ocorre um incidente, a resposta já está documentada.

A autorização em tempo de execução controla aquilo que um agente faz. A gravação da sessão comprova-o.

O que significa, na prática, a responsabilização

Hoje espera-se que os responsáveis pela segurança respondam pelas ações dos agentes de IA utilizados pelas suas organizações. Trata-se de uma expectativa legítima que, atualmente, a maioria das organizações ainda não consegue satisfazer.

É necessária evidência: um registo completo e auditável de todas as ações privilegiadas executadas por um agente, associado à pessoa que aprovou a política que rege essas ações. Cada sessão é monitorizada. Cada ação é registada antes mesmo de alguém solicitar essa informação.

A pressão regulatória em torno da responsabilização da IA está a aumentar rapidamente. A capacidade de auditar atividades iniciadas por sistemas de IA está a deixar de ser considerada uma boa prática para passar a constituir uma exigência legal em vários enquadramentos regulamentares, e tudo indica que esta tendência irá intensificar-se. As organizações que desenvolvem estas capacidades desde já não estão apenas a preparar-se para cumprir futuros requisitos legais; estão a construir a postura de segurança que os seus conselhos de administração irão exigir muito antes de qualquer prazo regulamentar entrar em vigor.

Os agentes de IA vieram para ficar. A verdadeira questão é saber se o programa de segurança que os governa foi concebido para o novo tipo de identidade que estes agentes representam.

Ver o artigo original aqui.

Próximos eventos

¿Necesitas más información?


    Em cumprimento do artigo 13.º do Regulamento (UE) 2016/679 Geral sobre a Proteção dos Dados, informamos que a IGNITON irá tratar os seus dados pessoais para gerir a sua consulta. Pode exercer os seus direitos em matéria de proteção de dados através de pedido enviado para o nosso DPO em gdpr@ingecom.net. Pode obter informações adicionais sobre o tratamento de dados na nossa Política de Privacidade publicada em www.ignition-technology.pt/.