Apresentado por Floco de Neve
Muitas vezes, a história da segurança empresarial tem sido uma história de tornar as coisas mais difíceis de usar. Surge uma nova ameaça, um novo controle é implementado e, em algum ponto do processo, as pessoas começam a contornar os próprios sistemas projetados para protegê-las.
Ao longo da minha carreira, vi em primeira mão que a adoção da segurança raramente falha porque as pessoas não se importam com a segurança. Ele falha porque o caminho seguro parece mais difícil do que o inseguro.
Na period da IA, essa lição é mais importante do que nunca.
A IA expande a superfície de ataque e aumenta o limite do que os invasores podem fazer, o que torna a simplificação da segurança ainda mais crítica. Os controles de segurança que exigem esforço ou inconveniência acabam sendo ignorados. As pessoas encontram soluções alternativas. A resposta é tornar o caminho seguro o caminho mais fácil.
A segurança funciona melhor quando sai do caminho
Quando a segurança é mais fácil de usar do que evitar, as pessoas a adotam. Anos atrás, quando a indústria estava implementando a autenticação de dois fatores em grande escala, o maior desafio não period construir a segurança em si, mas o atrito que advinha do seu uso. As pessoas tiveram que parar o que estavam fazendo, pegar um telefone, iniciar uma VPN, inserir códigos e interromper o fluxo de trabalho apenas para fazer login.
O que em última análise impulsionou a adoção não foram as políticas, os requisitos de conformidade ou o treinamento em segurança. Foi simplicidade. Agora que é tão fácil quanto uma impressão digital ou uma digitalização facial, as pessoas o usam sem hesitação.
O mesmo princípio levou os fabricantes de navegadores a tornar a segurança mais visível e intuitiva para os usuários comuns. Em vez de esperar que as pessoas inspecionem URLs manualmente, os navegadores modernos sinalizam com destaque websites não HTTPS como inseguros, ajudando a orientar os usuários para um comportamento mais seguro por padrão. A segurança tornou-se mais forte em parte porque o caminho seguro também se tornou mais fácil e óbvio.
Onde a complexidade aparece na IA
As permissões do agente são um bom exemplo de onde isso acontece nos sistemas de IA. Os funcionários acumulam inúmeras permissões ao longo do tempo por meio de um projeto aqui, um acesso ao sistema ali, uma função que nunca foi limpa após uma mudança de equipe. Os humanos sabem qual acesso é relevante para uma tarefa, mesmo que o sistema não o aplique ativamente.
Os agentes não têm esse julgamento. Um agente atribuído a um problema investigará todos os caminhos disponíveis. Se puder acessar 12 sistemas, mas a tarefa exigir apenas dois, ainda poderá explorar os outros 10. Está apenas sendo minucioso, mas o resultado é uma superfície de ataque potencial muito maior do que a tarefa necessária.
A tentação é colocar um ser humano informado, sinalizando ações significativas e pedindo aprovação antes de prosseguir. Mas, na prática, um agente pode levar um ser humano a aprovar uma ação profundamente técnica sem contexto suficiente para julgar se é apropriada. Na maioria dos casos, eles aprovarão simplesmente para manter o fluxo de trabalho em andamento. Isso só aumenta o atrito e uma falsa sensação de supervisão.
O que é realmente necessário é um modelo de permissão construído em torno da intenção. O agente deve ter apenas as credenciais necessárias para uma tarefa específica e elas devem expirar quando terminar. A indústria já está começando a avançar em direção a modelos melhores. Padrões como o OAuth estão evoluindo para oferecer suporte à IA de agente, permitindo que os agentes carreguem as identidades com escopo para uma tarefa específica, em vez do conjunto completo de permissões do usuário.
Tornando a segurança de IA fácil de usar
A facilidade de uso começa com a visibilidade, portanto a primeira prioridade é saber o que realmente está acontecendo. Onde seus agentes estão se conectando? Que dados eles estão tocando? Que permissões eles estão exercendo?
Muitas empresas ficam surpresas com a resposta quando olham pela primeira vez. A maioria das organizações opera com cerca de 80% de visibilidade e controle. O problema são os 20% restantes, porque é aí que tende a residir o risco actual. A IA encontrará essas lacunas muito mais rápido do que os humanos. Comece com o monitoramento, mesmo que ainda não esteja pronto para impor nada. Use a IA para analisar o que você encontra e priorizar os comportamentos de maior risco. Em seguida, feche-os sistematicamente.
Do lado da identidade, avance para a identidade da carga de trabalho sempre que puder. O antigo modelo de criação de contas de serviço, obtain de chaves e distribuição delas em sua infraestrutura é frágil e difícil de auditar. Os ambientes de nuvem modernos oferecem uma abordagem melhor: a identidade de uma carga de trabalho é estabelecida na implantação e as credenciais nunca são distribuídas como chaves estáticas. A carga de gerenciamento diminui e a superfície de ataque diminui com ela.
Especificamente para os agentes, resista à tentação de conceder-lhes permissões amplas, supondo que as aprovações humanas detectarão os problemas antes que eles aconteçam. Defina o escopo do acesso do agente à tarefa em questão e garanta que essas permissões expirem quando o trabalho for concluído. Para equipes que gerenciam diversas conexões agente-ferramenta, os gateways MCP estão surgindo como uma forma prática de codificar regras de governança centralmente, em vez de ferramenta por ferramenta. Mantenha um ser humano informado sobre ações consequentes, não todas as ações, especialmente aquelas em que o raio de explosão de um erro é significativo.
O ritmo do risco está acelerando
Na period da IA, o fosso entre a exposição e a exploração está a desaparecer rapidamente, passando de dias para horas e, em alguns casos, minutos. Relatório de ameaças globais de 2026 da CrowdStrike documenta que o tempo médio de fuga do invasor acelerou 65% ano após ano. À medida que a IA se torna mais capaz de identificar pontos fracos de forma autônoma, as equipes de segurança que dependem de processos de resposta manuais ficarão para trás.
A resposta, porém, não mudou. A segurança que cria atrito acabará sendo contornada. A segurança incorporada diretamente na arquitetura, imposta por padrão e invisível na prática, é o tipo que realmente vale. A IA aumenta os riscos, mas o princípio permanece o mesmo: a segurança só funciona quando o caminho seguro é também o mais fácil.
Mayank Upadhyay é diretor de segurança e confiança da Snowflake.
Artigos patrocinados são conteúdos produzidos por uma empresa que paga pela postagem ou tem relacionamento comercial com a VentureBeat, e estão sempre claramente marcados. Para mais informações, entre em contato vendas@venturebeat.com.
