La brecha de autoridad de los agentes de IA: de la no gobernanza a la delegación
Como comentamos en un artículo anterior, los agentes de IA están exponiendo brechas estructurales en la seguridad empresarial, pero el problema a menudo se ve de manera muy limitada.
El problema no es simplemente que los agentes sean sujetos nuevos. Eso significa que los agentes son actores delegados. No emergen con autoridad independiente. Son activados, lanzados, aprovisionados o autorizados por identidades empresariales existentes (usuarios humanos, identidades de máquinas, bots, cuentas de servicio y otros actores no humanos).
Como tal, Agent-AI es fundamentalmente diferente de los humanos y el software, pero sigue siendo inseparable de ambos.
Es por eso que la brecha de autoridad de los agentes de IA es en realidad una brecha de delegación. Las empresas buscan gestionar a los actores emergentes sin gestionar primero las identidades a las que delegan autoridad.
La IAM tradicional se creó para responder a la pregunta más específica de quién tiene acceso. Pero una vez que se despliegan los agentes de IA, la verdadera pregunta es: ¿qué autoridad se delega, quién, en qué términos, con qué fines y en qué medida?
Lo primero es lo primero: gestionar la cadena de delegación antes que la IA del agente
El punto importante es el orden. Las empresas no pueden gestionar de forma segura el Agent-AI sin gestionar primero a los actores tradicionales que actúan como delegados siempre que sea posible.
La identidad humana y la identidad de la máquina tradicional ya están fragmentadas en aplicaciones, API, credenciales integradas, cuentas de servicio no administradas y lógica de identidad específica de la aplicación. Ésta es la identidad de la materia oscura, que describe Orchid. Es decir, autoridades que existen, operan y a menudo acumulan riesgos fuera del alcance de la IAM administrada. Si esa materia oscura permanece sin ser observada, los agentes heredarán un modelo de autoridad que ya está roto. Los resultados son predecibles. Los agentes se convierten en amplificadores eficaces de acceso oculto, privilegios ocultos y rutas de ejecución ocultas.
Por lo tanto, el puente para implementar Agent-AI de forma segura no es iniciar el agente solo. En primer lugar, al reducir la materia oscura de identidad en los estamentos de actores tradicionales, ya no se puede delegar ni abusar de ella con fines de eficiencia. Esto significa descubrir las identidades de todos los humanos y máquinas tradicionales en su entorno de aplicaciones, comprender cómo se autentican, dónde están integradas las credenciales, cómo se ejecutan realmente los flujos de trabajo y dónde se encuentran los privilegios no administrados. El modelo de observabilidad continua de Orchid es una base esencial para las implementaciones seguras de Agent AI porque establece una línea de base validada del comportamiento de identidad real en entornos administrados y no administrados, en lugar de depender de suposiciones de políticas estáticas imperfectas.
De la observabilidad a la autoridad: gobernanza dinámica para la IA de los agentes
Una vez que se observa, analiza y optimiza la capa de actor tradicional, su salida se convierte en la entrada a la capa de Autoridad de Delegación de Agente-IA en tiempo real. Aquí es donde el modelo de Orchid se vuelve más poderoso que el IAM tradicional. Esa telemetría es más que solo visibilidad y conocimiento. Esto se convierte en una fuente continua para un motor de permisos que evalúa el perfil de permisos del delegado, el contexto de la aplicación de destino, la intención detrás de la acción solicitada y el alcance de la ejecución. En otras palabras, un agente no debería regirse únicamente por su propia autoridad nominal. Esto debe ser gestionado continuamente por la actitud y la intención del actor que delega la autoridad, así como por el contexto de lo que el agente está tratando de hacer.
Esto crea un modelo de control más poderoso. Piénsalo. Los delegados humanos con postura débil, comportamiento riesgoso o acceso encubierto excesivo no deben recibir los mismos privilegios de Agente-IA que los delegados estrictamente controlados que operan en flujos de trabajo restringidos. De manera similar, no se debe permitir que una máquina o cuenta de servicio con permisos amplios pero poco comprendidos active un agente con un potencial de acción posterior ilimitado.
El papel de Orchid en este modelo es evaluar continuamente al delegador, al actor delegado y la ruta de la aplicación entre ellos y aplicar los permisos en consecuencia. Eso es lo que convierte la observabilidad en gobernanza.
Esta es también la razón por la que los estados finales no solo mejoran la auditoría individual de los actores de IA humanos, máquinas y agentes. Control de delegación secuencial dinámica. Orchid puede asignar cada ID de agente a las aplicaciones con las que contacta el agente, los flujos de trabajo que puede invocar, los patrones de intención que exhibe y el rango de acciones previstas. Luego, utilizando la fuente de observabilidad en vivo, puede decidir en tiempo real si permite que ese agente opere, solo permite recomendaciones, lo limita a un conjunto limitado de herramientas o lo detiene por completo. Ése es el significado último de cerrar la brecha de autoridad. No se trata sólo de saber a qué tiene acceso el agente, sino de decidir continuamente qué puede decidir y hacer el agente a la velocidad de la máquina.
Recordatorio de cierre
Los agentes de IA son más que un simple tipo de identidad. Estos son tipos de identidad delegados. Ese poder proviene de actores corporativos tradicionales como humanos, bots, cuentas de servicio e identidades de máquinas. Entonces, la cuestión del gobierno del agente y de la IA no comienza con el agente. Comienza con el delegado. Si las empresas no pueden observar y controlar las identidades de los humanos y las máquinas tradicionales que desencadenan las acciones de los agentes, tampoco pueden gestionarlos de forma segura. El modelo de Orchid hace explícito ese orden. Primero, reduzca la materia oscura de identidad en todo el conjunto de actores tradicionales y luego utilice la observación, el análisis y la auditoría continuos de estos delegados como entrada en vivo a una capa de Autoridad de Delegación de Agente-IA en tiempo real. En este modelo, los agentes están controlados no sólo por su autoridad nominal, sino también por la actitud, intención, contexto y alcance de los actores que delegan autoridad en el agente. Este es el puente que falta entre la IAM tradicional y las implementaciones seguras de Agent-AI.
Source link
