L'IA ne se contente pas de changer ce que nous construisons ; elle impose un changement fondamental dans la manière dont nous construisons, déployons et sécurisons les logiciels.
Ce bouleversement architectural signifie que les contrôles de sécurité familiers du passé sont désormais soumis à des demandes d'authentification. Comme l'a expliqué le président d'Auth0, Shiv Ramji, lors d'une interview à Oktane, la complexité introduite par les agents d'IA conversationnelle oblige les entreprises à repenser entièrement leur approche de la sécurité, en commençant par l'identité.
Pour comprendre ce changement, Ramji a suggéré de réfléchir aux applications que nous créons aujourd'hui : elles sont « déterministes ». Si vous utilisez une application de voyage pour réserver un vol, ce que vous pouvez faire est limité et prédéterminé. La sécurité est contrôlée car l'utilisateur suit toujours des chemins connus et protégés à l'intérieur du code de l'application.
Lorsque vous introduisez l'IA conversationnelle, tout change. Ces agents sont « nondéterministes ». Ils peuvent prendre n'importe quelle entrée en langage naturel, fonctionner en arrière-plan et accomplir des tâches de longue durée. Soudainement, le point d'accès n'est plus profondément enfoui dans le code de l'application. C'est juste sur le front-end, dans l'interface de conversation elle-même.
"Vous devez repenser la manière dont vous développez vos applications, car vous ne pouvez plus contrôler le point d'accès à l'intérieur de votre application", a déclaré Ramji.
Cette modification expose les API internes et les données, créant des risques tels que la fuite de données en cas de compromission des actions d'un chatbot. Ces incidents de sécurité ne sont plus hypothétiques. Ils sont une réalité croissante.
Pour les Developer, la nouvelle priorité est double : intégrer avec succès l'IA dans les produits et contribuer à garantir que ces produits sont « prêts pour l'IA » afin d'interagir en toute sécurité avec d'autres systèmes. Il s'agit fondamentalement d'un problème de gestion des identités, a déclaré Ramji.
Quatre exigences critiques en matière d'identité
Sur la base de conversations avec des Developers, Ramji a identifié quatre exigences essentielles pour construire des agents d'IA sécurisés et évolutifs aujourd'hui :
Authentification de l'agent et de l'utilisateur: Lier de manière sécurisée l'agent non humain à l'identité de l'utilisateur humain.
Accès sécurisé à l'API: Standardisation de la manière dont les agents se connectent à de nombreuses applications sans fuite de token.
Humain dans la boucle: Exiger une approbation humaine explicite pour les transactions à haut risque ou sensibles.
Permissions granulaires: Définir les limites précises des données auxquelles un agent d'IA peut accéder.
En regardant vers l'avenir, Ramji a prédit que l'identité sera essentielle pour résoudre les demandes d'authentification futures, y compris la réduction de la fatigue liée au consentement répétitif, la possibilité de transférer la mémoire de l'IA entre différents services, et l'amélioration de la vérification d'identité par l'IA pour lutter contre la fraude.
Regardez la vidéo ci-dessus pour en savoir plus sur les réflexions de Ramji concernant la sécurisation des applications non déterministes, les quatre exigences d'identité pour les agents d'IA et comment Auth0 aide les développeurs à embarquer la sécurité « Identity-First » dans les applications pilotées par l'IA.
