Por
Kevin Rufino
05/05/2026
Por décadas, o modelo de acesso a softwares corporativos assumia determinado pressuposto incontestável: há um humano realizando esse acesso. Um humano que abre o navegador, digita uma senha, navega pela interface.
Salesforce e o novo paradigma: IA sem interface gráfica
Em 15 de abril, a Salesforce introduziu ao mercado seu novo conceito de infraestrutura com a seguinte indagação: "em um mundo onde agentes de IA podem raciocinar, planejar e executar, uma empresa ainda precisa de um CRM com interface gráfica?", e a resposta foi: "Não, e esse é exatamente o ponto."
Desta forma, um modelo de negócio que funcionou por mais de 27 anos, consistente na entrada de pessoas na plataforma, está sendo reestruturado para a entrada e execução de serviços dentro da plataforma por agentes autônomos ao invés de humanos.
Novas superfícies de ataque: tokens, APIs e credenciais de agentes
Com o referido conceito, temos que a autenticação e a superfície de ataque para atacantes deixam de ser somente o acesso realizado por humanos e passam a ser realizadas por intermédio do token OAuth, da chave de API, da credencial do agente.
Assim, o grande diferencial dos agentes de IA é também o que os torna proporcionalmente arriscados. Amplo acesso a dados, capacidade de decisão sem supervisão humana e operação simultânea em múltiplos sistemas, são exemplos elucidativos de seus benefícios. Em que pese referidos avanços, os controles tradicionais de IAM (Identity and Access Management) simplesmente não foram projetados para assegurar autenticação não humana.
O alerta da IBM sobre comportamento de agentes de IA
Sridhar Muppidi, IBM Fellow e diretor de tecnologia da IBM Security, comparou um agente de IA a "um adolescente com um cartão de crédito": "Você dá o cartão para eles e espera que se comportem adequadamente, mas não se surpreenda com o que descobrir. Os agentes são não determinísticos e estão em constante evolução. Como resultado, podem sofrer com o aumento de escopo — eu pedi ao sistema para fazer algo, mas ele pode facilmente fazer outra coisa se assim o desejar."
Referidas inconsistências geram problemas atuais de governança, os quais ainda não possuem respostas únicas. Diante disso, como gerenciar identidades que não são humanas? Agentes não recebem treinamento de conscientização e frequentemente operam com privilégios excessivos.
Boas práticas de segurança para identidades não humanas
Assim, considerando a inovação em proporção ao risco, princípios fundamentais devem ser observados na implementação de agentes autônomos: monitoramento contínuo de comportamento, gestão de ciclo de vida das identidades não-humanas, princípio do menor privilégio aplicado a agentes, rotação automatizada de credenciais e separação de funções, garantindo que o agente que executa não seja o mesmo que aprova. O que falta, na maioria dos casos, não é tecnologia: é a consciência de que o perímetro de identidade mudou.
No Dia Mundial da Senha (05/05), observamos uma troca de paradigmas que nos acompanham por décadas, proteger senhas humanas continua sendo necessário, mas a próxima fronteira já está aberta, e ela não tem campo de digitação.
Sobre o autor
Kevin Rufino da Silva, Encarregado de Proteção de Dados Pessoais (DPO) da Finch, com formação em Direito, pós-graduação em Direito Digital e Proteção de Dados Pessoais, e MBA em Data Science e Analytics. É certificado em Proteção de Dados e Segurança da Informação pela EXIN.
Fontes:
