A IA está evoluindo rapidamente. Basta conferir as notícias e anúncios mais recentes: a OpenAI transformou o ChatGPT em uma plataforma para apps de bate-papo e agentes autônomos. A Anthropic lançou o Claude Sonnet 4.5, capaz de raciocinar em tarefas que duram várias horas. O Gemini do Google já consegue navegar na web como uma pessoa, enquanto o ecossistema Copilot da Microsoft se multiplicou em uma rede de agentes incorporados no Windows e no Office.
Em conjunto, esses anúncios marcam uma virada (e é provável que estas informações já estejam desatualizadas quando você ler este texto). A IA está indo muito além de chatbots que respondem a perguntas. Está se tornando uma participante ativa na nossa forma de viver e trabalhar.
Ao contrário dos seres humanos, porém, a IA não encerra o expediente nem se esquece. Os agentes podem permanecer silenciosamente nos seus sistemas, mantendo o acesso muito tempo depois que a finalidade deles chegar ao fim. Sem governança, essas identidades operam de forma invisível — e, na área da segurança, isso pode gerar muitas vulnerabilidades.
Por que nossa infraestrutura de identidade tradicional não será suficiente para os agentes de IA
Os sistemas de identidade tradicionais foram criados para pessoas: funcionários, parceiros e prestadores de serviços. No entanto, a IA introduz novos desafios de identidade que não se encaixam nesse modelo.
| desafio | Identidades humanas | Identidades de IA |
|---|---|---|
| Volume | Força de trabalho com tamanho estável | Milhares de agentes dinâmicos e de vida curta |
| Visibilidade | Gerenciadas via RH ou diretórios | Ocultas em APIs, pipelines e automações |
| Responsabilidade | Vinculadas às credenciais de uma pessoa | Em geral, não há propriedade clara ou rastreabilidade |
Com o aumento da adoção da IA, agentes não governados resultam em acessos não autorizados e lacunas de conformidade, com acessos que ninguém monitora, mas pelos quais todos são responsáveis.
Como administrar a identidade de um agente de IA?
Para gerenciar e administrar as identidades dos agentes de IA, você precisa de visibilidade, responsabilidade e controle. Com a estratégia de segurança de identidade correta em vigor, você tem tudo o que precisa.
Ela garante que cada identidade de IA seja:
- Conhecida — você pode identificar todos os agentes de IA que atuam no seu ambiente.
- Pertencente a alguém — um ser humano é designado para cada agente e fica responsável pelo comportamento e acesso dele.
- Com escopo definido — as permissões são limitadas a uma finalidade e período de tempo claros.
- Auditável — cada ação é registrada e rastreável.
- Revogável — o acesso termina quando a tarefa termina.
A identidade não se limita mais aos seres humanos, ela se estende à IA que age em nome deles.
Milhares de casos de uso, mas os fundamentos continuam iguais
Na Okta, conversamos todos os dias com clientes que estão em diferentes estágios de implementação de agentes de IA em suas organizações. Embora os casos de uso sejam distintos, é preciso começar com a identificação correta para garantir a segurança dos agentes:
| caso de uso | Meta | Exemplo |
|---|---|---|
| Agentes de suporte ao cliente | Evitar a superexposição de PII | O agente é capaz de ler os dados dos clientes, mas não de exportá-los |
| Copilotos de desenvolvimento | Limitar o acesso ao sistema | O assistente de IA tem acesso de leitura de repositórios internos, porém, não grava em produção |
| Agentes de compras | Manter a responsabilidade | A IA é capaz de criar uma solicitação de compra, mas precisa de aprovação humana |
| Modelos de pesquisa | Proteger dados sensíveis | O modelo utiliza conjuntos de dados sintéticos, não dados reais de clientes |
Proteja seus agentes de IA usando um modelo de maturidade
As organizações podem avaliar seu nível de prontidão com o Modelo de Maturidade de Segurança de Agentes de IA da Okta. Ele define quatro etapas para ajudar você a proteger e administrar identidades de IA em todos os níveis.
Não sabe por onde começar? Temos uma lista de verificação para ajudar.
Etapa 1: inventariar as identidades de IA
Catalogue todos os agentes, modelos ou automações de IA que interagem com sistemas sensíveis.
Etapa 2: atribuir proprietários humanos
Cada identidade de IA deve estar associada a uma pessoa ou equipe responsável.
Etapa 3: aplicar o princípio do menor privilégio
Conceda acesso apenas ao que for necessário, utilizando tokens sob demanda sempre que possível.
Etapa 4: incluir a IA nas revisões de acesso
Trate as contas de IA como se fossem contas humanas, com revisão e certificação periódicas.
Etapa 5: automatizar o gerenciamento do ciclo de vida
Utilize fluxos de trabalho para provisionar, atualizar e desprovisionar identidades de IA automaticamente.
A governança é contínua. Quanto mais cedo você começar, mais fácil será manter o controle à medida que a IA se expande.
Precisa de ajuda para riscar esses itens da sua lista? Saiba mais sobre como a Okta ajuda você a visualizar, gerenciar e proteger os agentes de IA na sua organização.
Este material tem caráter meramente informativo e não constitui aconselhamento jurídico, comercial, de privacidade, de segurança ou de conformidade.
O conteúdo pode não refletir os desenvolvimentos mais recentes nas áreas de segurança, legislação e/ou privacidade. É de sua inteira responsabilidade obter aconselhamento de seu próprio consultor jurídico e/ou profissional. Não se baseie neste material como orientação legal.
A Okta não oferece nenhuma garantia ou declaração em relação a este conteúdo nem se responsabiliza por perdas ou danos resultantes da implementação destas recomendações. Informações sobre as garantias contratuais da Okta para seus clientes podem ser encontradas em okta.com/agreements.
