Este é o quinto artigo de uma série de sete partes sobre a segurança da identidade como segurança com IA.
Resumindo:
Em meados de setembro de 2025, agentes estatais chineses utilizaram o Claude Code como arma para realizar o primeiro ciberataque autônomo em grande escala documentado. Os alvos da operação foram grandes empresas de tecnologia, instituições financeiras, empresas de fabricação de produtos químicos e agências governamentais. Em outro incidente, no final de agosto, um comprometimento de credenciais paralisou as fábricas da JLR por cinco semanas, causando prejuízos de £ 1,9 bilhão. Agora, imagine esse mesmo padrão de ataque sendo executado por um agente de IA, que, além de não dormir, pode experimentar milhares de combinações de credenciais enquanto você lê esta frase. Isso já é uma realidade. Esses ataques não se limitam a violar perímetros. Eles abusam do acesso legítimo.
Para se defender, não basta ter firewalls melhores. É uma questão de autorização: controlar o que os agentes podem fazer em cada etapa, com supervisão humana quando necessário. Para sistemas ciberfísicos, o IAM não é uma infraestrutura de TI. Ele é um sistema de segurança.
Os riscos deixaram de ser teóricos
Segundo a OpenID Foundation, governar agentes cujas ações têm consequências diretas e potencialmente irreversíveis no mundo físico é "o maior desafio" para a identidade. A autorização, que é a parte do gerenciamento de acesso do IAM, se torna um componente fundamental para garantir a segurança do sistema.
Três incidentes ocorridos no final de 2025 provaram que já chegamos a esse ponto.
Primeiro, os agentes de IA provaram que são capazes de atacar infraestruturas críticas de forma autônoma. Em setembro, a Anthropic revelou que um grupo patrocinado pelo governo chinês havia utilizado o Claude Code como arma em uma experiência que os pesquisadores de segurança chamaram de primeiro ciberataque em grande escala conduzido principalmente por uma IA. O agente fez a maior parte do trabalho: buscou vulnerabilidades, escreveu exploits, coletou credenciais e se moveu lateralmente pelas redes. Os alvos incluíram empresas de fabricação de produtos químicos. Algumas violações foram bem-sucedidas. No caso dessas instalações, o comprometimento de credenciais pode manipular os controles de processos com consequências catastróficas.
Em seguida, foi comprovado que a superfície de ataque se estendeu a todos os agentes com acesso físico. Em agosto de 2025, pesquisadores demonstraram que um convite do Google Agenda infectado consegue sequestrar o Gemini para controlar dispositivos domésticos inteligentes, como luzes, persianas e caldeiras. O ataque, que os pesquisadores chamam de "promptware", explorou uma falha fundamental de autorização nas permissões de leitura de agenda, que não deveriam conceder permissões de controle de atuadores. Os mecanismos das violações são semelhantes; as consequências, no entanto, podem ser cada vez mais graves.
Além disso, o comprometimento de credenciais provou que esse tipo de violação paralisa fábricas. Rapidamente. A Jaguar Land Rover foi vítima daquele que é amplamente considerado o ciberataque com o maior prejuízo econômico na história do Reino Unido. Os invasores obtiveram acesso por meio de um fornecedor da JLR e continuaram até atingirem os sistemas de produção. Os robôs congelaram. Os trabalhadores ficaram em casa por cinco semanas. Mais de 5 mil empresas na cadeia de suprimentos da JLR foram afetadas. Agora, imagine essa mesma movimentação lateral sendo executada por um agente de IA que não dorme nem comete erros de digitação e que ainda consegue experimentar milhares de combinações de credenciais enquanto você lê esta frase. Esse é o modelo de ameaça.
A crise das credenciais está acelerando esse processo
O relatório X-Force 2025 da IBM confirma essa mudança: o uso indevido de contas válidas agora é a forma preferida de acesso, representando 30% de todos os incidentes. O primeiro semestre de 2025 registrou um aumento de 800% no número de credenciais roubadas por malware de roubo de informações. O comprometimento de identidade não humana (chaves de API, contas de serviço, tokens OAuth) passou a ser um dos principais vetores de ataque iniciais.
Isso já está afetando os sistemas de IA. Um ataque à cadeia de suprimentos no ecossistema de plugins da OpenAI coletou credenciais de agentes de 47 implantações corporativas. Nesse ataque, os invasores tiveram acesso por seis meses, antes que alguém percebesse. Os ataques a instalações industriais aumentaram 61% em relação ao ano anterior. O padrão é sempre o mesmo: roubo de credenciais, movimentação lateral, danos reais.
O perímetro não vai salvar você
O foco da segurança tradicional é impedir a entrada de agentes mal-intencionados. Firewalls. Segmentação de rede. Proteção de endpoints. Tudo isso é necessário. No entanto, os agentes de IA não estão invadindo. Eles já estão na parte de dentro, operando com credenciais legítimas.
O ataque de promptware não ultrapassou nenhum firewall. Ele sequestrou um agente autorizado. A operação com Claude Code não explorou nenhuma vulnerabilidade de rede. Ela coletou credenciais válidas e as utilizou. Esses ataques foram bem-sucedidos porque os agentes tinham permissão para estar presentes. Eles apenas não tinham permissão para fazer o que fizeram.
A questão não é aonde os agentes podem ir. É o que eles estão autorizados a fazer em cada etapa, depois de chegarem lá.
Pense em uma estação de tratamento de água. Um agente de IA monitora os níveis de cloro, regula a pressão e responde às flutuações da demanda. Qual é o limite de autorização dele? Deve ser explícito: manter os níveis do reservatório entre X e Y, nunca exceder a pressão Z e, caso algo esteja fora desses limites, encaminhar para um ser humano. No entanto, se o agente tiver herdado permissões amplas de "gerenciamento de sistemas de água" da pessoa que o implantou, um agente comprometido conseguirá elevar o cloro a níveis tóxicos ou provocar falhas de pressão. O teste é o seguinte: sua arquitetura de autorização permite expressar essas restrições?
A autorização como uma infraestrutura de segurança
No caso dos sistemas ciberfísicos, o IAM transcende seu papel tradicional. Ele se torna uma camada de segurança e aplicação de políticas.
A identidade revela quem está agindo. A autorização informa o que o agente está autorizado a fazer, ação por ação, com supervisão humana quando necessário. Para agentes que controlam sistemas físicos, essa é a arquitetura que impede explosões.
A aviação não exige que os pilotos se lembrem dos limites de altitude. As instalações nucleares não precisam que os operadores evitem configurações perigosas. Esses setores descobriram há décadas que a atenção humana não é um sistema de segurança. As restrições de engenharia são. O código sistemático da Arquitetura Zero Trust do NIST (SP 800-207) – nunca confiar, sempre verificar, aplicar o princípio do menor privilégio em cada ponto de decisão – garante a segurança.
Para agentes de IA que controlam sistemas físicos, a autorização é a restrição que foi projetada. Quando as restrições estão corretamente definidas, as credenciais são emitidas just-in-time, com o escopo definido para a operação imediata, e revogadas no momento em que o contexto muda. Tokens que não existem não podem ser roubados. Um agente comprometido ainda não consegue exceder seu limite de autorização. Ações de alto risco exigem aprovação humana. Além disso, cada ação remonta a um usuário, agente e momento específicos.
Confira como isso acontece em termos técnicos. A RFC 8693 (OAuth 2.0 Token Exchange) permite tokens de delegação que preservam o contexto:
{
"sub": "technician-jane@manufacturing.example",
"act": {
"sub": "maintenance-agent-7"
},
"aud": "manufacturing-api.example.com",
"scope": "actuator:write",
"exp": 1737043200
}
O sub identifica o ser humano. A declaração act identifica o agente. O scope define exatamente o que é permitido. Não temos "gerenciar sistemas", mas sim "actuator:write" para um recurso específico. O exp define a expiração: entre 5 e 60 minutos para operações ciberfísicas (não meses). Quando a janela de manutenção se fecha, o token expira.
A Lei de IA da União Europeia classifica os sistemas de IA utilizados como componentes de segurança em infraestruturas críticas (incluindo água, gás e eletricidade) como sendo de alto risco no âmbito do Anexo III, o que implica a necessidade de supervisão humana conforme o Artigo 14. No caso de sistemas que tomam milhares de decisões por minuto, isso não significa que cada um deles é revisado por seres humanos. Significa sistemas de autorização que aplicam limites programaticamente e escalam apenas condições de fato excepcionais.
A janela está diminuindo
A Gartner prevê que, até 2027, os agentes de IA reduzirão em 50% o tempo necessário para explorar vulnerabilidades em contas. Ataques que levavam semanas passarão a levar dias. A operação com Claude Code já mostrou como são os ataques em velocidade de máquina.
As organizações que construírem uma arquitetura de autorização adequada passarão a ser o modelo quando as regulamentações se tornarem mais rigorosas.
Como a Okta resolve
Nenhum desses ataques ultrapassou um firewall. O ataque de promptware sequestrou um agente autorizado que não possuía permissões com capacidade definida. O ataque ao plugin da OpenAI explorou credenciais que permaneceram ativas por muito tempo e concederam permissões excessivas. A operação com Claude Code coletou segredos válidos e os reutilizou. Cada falha corresponde a um controle que nós oferecemos atualmente.
- O Cross-App Access (XAA) torna a ação do agente rastreável tanto para o usuário quanto para o próprio agente. Tokens de delegação carregam o contexto por toda a cadeia, com as declarações act identificando qual agente fez o quê.
- O Token Vault elimina credenciais de longa duração. Os agentes recuperam tokens sob demanda, com escopo definido para operações imediatas. Os tokens roubados expiram antes que os invasores possam usá-los.
- A autenticação em vários níveis da CIBA inclui os seres humanos no processo, no caso de ações de alto impacto. Quando um agente tenta exceder os limites de sua autorização (ajustar a pressão além dos limites, modificar as concentrações químicas, ignorar mecanismos de segurança), o usuário que concede a autorização precisa aprovar explicitamente.
- A autorização granular avalia o acesso no momento da decisão, e não apenas no login. Essa é a forma de expressar "manter os níveis do reservatório entre X e Y; nunca exceder a pressão Z" em uma política legível por máquina.
O caminho a seguir
Com 21 bilhões de dispositivos de IoT e milhões de robôs industriais agora conectados, os agentes de IA têm um universo crescente de sistemas físicos que podem acessar e controlar.
A pergunta relacionada à governança é simples: para cada agente com acesso a sistemas críticos, sua equipe consegue definir claramente o limite das autorizações? Quais credenciais ele possui, o que essas credenciais permitem e se excedem a necessidade operacional? Se a resposta for "não sabemos", essa lacuna representa sua superfície de ataque.
Mas a lacuna pode ser fechada. Os mesmos padrões de autorização que protegem as transações financeiras são capazes de proteger estações de tratamento de água, reatores químicos e braços robóticos. A identidade revela quem está agindo. A autorização controla o que cada um pode fazer em cada etapa, com intervenção humana quando necessário. No caso de sistemas ciberfísicos, isso não é gerenciamento de acesso. É a infraestrutura de segurança.
A arquitetura existe. A questão é se você vai implementá-la antes ou depois de se tornar um estudo de caso.
A seguir: o artigo 6 explora o que acontece quando um agente atende a várias partes interessadas com permissões diferentes. Quando o agente do CFO responde a perguntas em um canal compartilhado do Slack, a resposta é controlada pelo direito de acesso de quem?
