Anthony Grieco, vice-presidente sênior e diretor de segurança e confiança da Cisco, não hesitou quando a VentureBeat perguntou se os incidentes de agentes desonestos estavam atingindo a base de clientes da Cisco.
“Cem por cento. Nós os vemos regularmente”, disse Grieco ao VentureBeat em uma entrevista exclusiva no RSAC 2026. “Ouvi alguns que não posso repetir, mas eles chegam a lugares em que, você sabe, os agentes estão fazendo coisas que eles acham que são as coisas certas a fazer.”
Os incidentes descritos por Grieco seguem um padrão consistente: passes de autenticação, verificações de identidade limpas. O agente é exatamente quem afirma ser. Em seguida, ele acessa dados que nunca foram tocados ou executa uma ação que ninguém autorizou nesse nível de granularidade. O fracasso não é a identidade; é autorização.
“A empresa está dizendo coisas como teremos 500 agentes por funcionário”, disse Grieco ao VentureBeat. “Os líderes de segurança estão realmente focados em como garantir que faremos isso com segurança”.
Relatório sobre o estado da segurança de IA 2026 da Cisco descobriram que 83% das organizações planeavam implementar capacidades de agente, mas apenas 29% se sentiam preparadas para assegurá-las. Cinco fornecedores enviaram estruturas de identidade de agentes no RSAC 2026. Nenhum preencheu todas as lacunas. Isso inclui a Cisco.
VentureBeat mapeou quatro lacunas de autorização na entrevista exclusiva de Grieco e em cinco fontes independentes. A matriz prescritiva no ultimate desta história é o que fazer com eles.
A lacuna de autorização que ninguém fechou ainda
Grieco surgiu através das organizações de engenharia e pesquisa de ameaças da Cisco antes de assumir uma função que abrange ambos os lados da operação de segurança da empresa: construir os produtos que a Cisco vende e administrar o programa que defende a própria Cisco.
A lacuna de autorização que descreveu é específica e operacional.
“Este agente aqui é um agente financeiro, mas mesmo que seja um agente financeiro, não deveria acessar todos os dados financeiros”, disse Grieco ao VentureBeat. “Ele deve acessar os relatórios de despesas, e não apenas os relatórios de despesas, mas os relatórios de despesas individuais em um determinado momento. Obter esse tipo de controle granular é realmente uma das maiores coisas que nos ajudará a dizer sim a muitos dos desenvolvimentos da agência.”
Profissionais independentes confirmaram o padrão no RSAC 2026. Kayne McGladrey, membro sênior do IEEE, disse ao VentureBeat que as organizações adotam como padrão a clonagem de perfis de usuários humanos para agentes, e a expansão de permissões começa no primeiro dia. Carter Rees, vice-presidente de IA da Reputaçãoidentificou a razão estrutural. O plano de autorização plano de um LLM não respeita as permissões do usuário, disse Rees ao VentureBeat. Um agente nesse plano plano não precisa escalar privilégios. Já os tem.
“O maior desafio que vemos é saber o que está acontecendo”, disse Grieco. “Ser capaz de ter mapas de identidade e controle de acesso para eles é realmente essential.”
Elia Zaitsev, CTO da CrowdStrike, descreveu a dimensão da visibilidade em uma entrevista exclusiva da VentureBeat no RSAC 2026. Na maioria das configurações de registro padrão, a atividade de um agente é indistinguível da de um ser humano. Distinguir os dois requer percorrer a árvore do processo. A maioria dos logs corporativos não consegue fazer essa distinção.
Cinco fornecedores enviaram estruturas de identidade de agentes para o RSAC, incluindo Duo IAM da Cisco e controles de gateway MCP. Nenhum preencheu todas as lacunas identificadas pelo VentureBeat. As quatro lacunas abaixo são o que permanece em aberto.
Os organismos de normalização estão convergindo para o mesmo diagnóstico
As lacunas de autorização e identidade descritas por Grieco não são apenas observações do fornecedor. Três organismos de normalização independentes chegaram a conclusões paralelas no início de 2026. NCCoE do NIST publicou um documento conceitual em fevereiro de 2026, “Acelerando a adoção de software program e identidade e autorização de agentes de IA”, solicitando explicitamente projetos de demonstração sobre como os padrões de identidade existentes se aplicam a agentes autônomos.
O OWASP Top 10 para aplicações Agenticlançado em dezembro de 2025, identificou o uso indevido de ferramentas devido ao acesso excessivamente privilegiado e à delegação insegura como riscos de alto nível. E o Cloud Security Alliance lançou a Fundação CSAI no RSAC 2026 com a missão de “Proteger o Avião de Controle Agentic”, incluindo um dedicado Estrutura Agentic AI IAM construído em torno de identificadores descentralizados e princípios de confiança zero. Quando NIST, OWASP e CSA sinalizam independentemente a mesma classe de hole no mesmo ciclo de mercado, o sinal é estrutural e não específico do fornecedor.
A segurança do MCP requer descoberta antes do controle
VentureBeat perguntou a Grieco sobre o paradoxo do MCP, o Mannequin Context Protocol que todos os fornecedores do RSAC 2026 adotaram, embora reconhecessem suas lacunas de segurança. Grieco não argumentou que o protocolo seja seguro. Ele argumentou que bloqueá-lo não é mais realista.
“Não há como dizer não a isso nos dias de hoje como líder de segurança”, disse Grieco ao VentureBeat. “E é assim que conseguimos isso.”
Dentro do próprio ambiente da Cisco, a equipe de Grieco adicionou recursos de descoberta, proxy e inspeção de MCP para Defesa de IA e acesso seguro Cisco. A abordagem trata os servidores MCP da mesma forma que as empresas tratam a Shadow IT: encontre-os antes de governá-los.
Etay Maor, vice-presidente de inteligência de ameaças da Cato Networks, validou essa abordagem do lado adversário. No RSAC 2026, Maor demonstrou um ataque Dwelling Off the AI encadeando o MCP e o Jira Service Administration da Atlassian. Os invasores não separam ferramentas, serviços e modelos confiáveis. Eles acorrentam os três. “Precisamos de uma visão de RH dos agentes”, disse Maor ao VentureBeat. “Integração, monitoramento, desligamento.”
Quase metade da infraestrutura crítica está obsoleta e sem patches
As falhas de autorização de agentes são mais difíceis de detectar e conter quando a infraestrutura subjacente não recebe um patch de segurança há anos – e essa lacuna agrava todas as outras vulnerabilidades nesta história. Cisco contratou empresa de consultoria com sede no Reino Unido Estratégia WPI para examinar o risco de tecnologia em fim de vida nos EUA, Reino Unido, França, Alemanha e Japão. O relatório descobriram que quase metade da infraestrutura de rede crítica nessas regiões está envelhecida ou já obsoleta. Os fornecedores não o corrigem mais.
“Quase 50% da infraestrutura crítica nessas geografias estava envelhecendo, estava no fim ou quase no fim da vida”, disse Grieco ao VentureBeat. “Isso significa que os fornecedores não estão mais fornecendo patches de segurança para eles”.
Cisco Infraestrutura resiliente A iniciativa desativa recursos não utilizados por padrão e elimina gradualmente os protocolos legados em um cronograma de descontinuação de três versões. Grieco recuou na suposição de que a segurança por padrão é uma conquista estática. “Uma das coisas que a maioria das pessoas não pensa é que esses não são pontos estáticos no tempo”, disse Grieco ao VentureBeat. “Não é como se você fizesse isso uma vez e pronto.”
Matriz de lacunas de segurança empresarial agente
As quatro lacunas abaixo são o que os diretores de segurança podem agir na manhã de segunda-feira. Cada linha mapeia desde o que quebra até o motivo da quebra e o que fazer a respeito, com validação cruzada por cinco fontes independentes.
Fontes: análise VentureBeat da entrevista exclusiva de Grieco no RSAC 2026, validada cruzadamente com relatórios independentes de McGladrey (IEEE), Rees (Status), Maor (Cato Networks) e Zaitsev (CrowdStrike). Maio de 2026.
|
Lacuna de segurança |
| O que falha e quanto custa |
Por que sua pilha atual não detecta isso |
Onde estão os controles do fornecedor agora |
Primeira ação para sua equipe |
|
Envelhecimento da infraestrutura |
Quase metade dos ativos de rede críticos estão em fim de vida ou se aproximando (Estratégia WPI); agentes que operam em sistemas não corrigidos herdam vulnerabilidades que nenhum fornecedor corrigirá |
A cadência anual de patches não consegue acompanhar a velocidade das ameaças; Os sistemas EoL não recebem nenhuma atualização de segurança e nenhum suporte do fornecedor |
Infraestrutura resiliente desativa padrões inseguros, alerta sobre configurações arriscadas, descontinua protocolos legados em um cronograma de três versões |
Equipe de infraestrutura: audite todos os ativos de rede em relação às datas de fim de vida do fornecedor neste trimestre. Reclassificar a substituição de EoL de atualização de TI para investimento em segurança no próximo ciclo orçamentário |
|
Descoberta MCP |
Os servidores MCP proliferam em ambientes sem visibilidade de segurança; os desenvolvedores criam conexões de ferramentas de agente que ignoram a governança existente |
As implantações Shadow MCP ignoram as ferramentas de descoberta existentes; não existe nenhum mecanismo de inventário padrão; Maor demonstrou atacantes encadeando MCP + Jira em um ataque Dwelling Off the AI |
Defesa de IA adiciona descoberta, proxy e inspeção de MCP; trata servidores MCP como shadow IT |
Operações de segurança: execute um inventário de servidores MCP em todos os ambientes antes de implantar qualquer controle de governança do agente. Se você não puder enumerar sua superfície MCP, não poderá protegê-la |
|
Permissão excessiva do agente |
Os agentes herdam amplo acesso de nível humano em um plano de autorização plano; o agente não precisa escalar privilégios porque já os possui (Rees) |
As equipes IAM clonam perfis humanos para agentes por padrão (McGladrey); não existem permissões com escopo definido e com limite de tempo para identidades não humanas |
Dupla IAM registra agentes como objetos de identidade distintos com permissões granulares e com limite de tempo por chamada de ferramenta |
Equipe IAM: pare de clonar contas humanas para agentes imediatamente. Defina o escopo de cada permissão do agente para um conjunto de dados específico, uma ação específica e um intervalo de tempo específico. Teste de Grieco: esse agente financeiro consegue acessar apenas o relatório particular person de despesas que necessita neste momento? |
|
Visibilidade comportamental do agente |
As ações dos agentes são indistinguíveis das ações humanas nos logs de segurança (Zaitsev); um agente com permissão excessiva que se parece com um ser humano nos registros é invisível para o SOC |
O log padrão não captura a linhagem da árvore do processo; nenhum fornecedor forneceu uma linha de base comportamental completa entre plataformas para a atividade do agente |
Integração de telemetria SOC com Splunk para detecção e resposta específicas do agente |
Líder SOC: atualize o registro para capturar a linhagem da árvore de processos para que as ações iniciadas pelo agente sejam distinguíveis das ações iniciadas por humanos. Se o seu SIEM não puder responder “period um humano ou um agente?” para cada sessão, a lacuna está aberta |
“Francamente, devemos agir rapidamente e evoluir rapidamente para acompanhar para onde os adversários estão indo”, disse Grieco ao VentureBeat.
As lacunas mapeadas acima não são teóricas. Grieco confirmou que os incidentes já estão acontecendo. Os controles existem em partes em vários fornecedores. Nenhum fornecedor montou a pilha completa.
