--- title: "Sistemas de identidade precisam evoluir urgentemente para lidar com a nova era de agentes autônomos" author: "Gustavo Ramos O. Klein" date: "2026-05-10 06:00:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2026/05/10/sistemas-de-identidade-precisam-evoluir-urgentemente-para-lidar-com-a-nova-era-de-agentes-autonomos/md" --- O pesquisador Aditya K Sood, da Aryaka, detalhou em um documento de maio de 2026 um problema estrutural nas redes de tecnologia: os sistemas de controle de acesso estão cegos diante de robôs autônomos. Enquanto gestores de TI configuram autenticações complexas e exigem digitais de funcionários humanos, agentes de Inteligência Artificial trafegam pelos servidores usando senhas antigas e acessos genéricos. A urgência bate à porta quando observamos que a Microsoft iniciou o licenciamento de [agentes de IA com e-mails próprios e acessos independentes](https://desbugados.com.br/post/2025/11/10/seu-proximo-colega-de-trabalho-pode-ser-um-bot-microsoft-cria-agentes-de-ia-independentes) aos servidores corporativos. Esses programas deixaram de ser apenas calculadoras avançadas e se tornaram entidades ativas que tomam decisões, leem bancos de dados e alteram processos. A pergunta que as equipes de segurança precisam responder hoje é direta: quem responde pelos atos dessas máquinas? ## O bug na portaria analógica A estrutura atual de IAM (Gerenciamento de Identidade e Acesso) opera como a recepção de um prédio comercial. Você chega, fornece seu nome (login) e mostra uma credencial extra (o MFA, ou Autenticação de Múltiplos Fatores, como aquele código de SMS). O sistema consulta a lista de permissões atreladas ao seu cargo (o RBAC, Controle de Acesso Baseado em Cargos) e libera a catraca no momento do login. O problema surge quando quem tenta entrar não possui celular para receber SMS, não tem um cargo definido no RH e atua 24 horas por dia. As Identidades Não-Humanas (NHIs) precisam conversar com APIs e serviços continuamente. Se um bot autônomo opera com permissões estáticas e chaves compartilhadas para manter esse diálogo fluindo, ele se torna um alvo fácil. A executiva Wendi Whitmore, da Palo Alto Networks, alertou recentemente que falhas de controle como essa [transformam os assistentes de IA em ameaças diretas de espionagem interna](https://desbugados.com.br/post/2026/01/05/sua-proxima-ameaca-de-seguranca-pode-ser-o-estagiario-de-ia-diz-palo-alto-networks). Um hacker não precisa mais invadir o banco de dados; ele só precisa dar ordens ao bot que já tem livre acesso ao sistema inteiro. ## A diplomacia das máquinas: recriando a identidade Para construir pontes seguras entre dados sigilosos e automação, a gestão de acesso precisa abandonar a verificação de porta de entrada e adotar o que Aditya K Sood define como um plano de controle em tempo real. O mercado de segurança abandonou as regras antigas e criou uma nova linguagem para traduzir a confiança entre sistemas. ### 1. O fim das chaves mestras Cada robô, script ou serviço precisa de um passaporte digital rastreável. Em vez de criar um usuário chamado "Robo_Financeiro" e dar a senha para cinco scripts diferentes, a nova arquitetura exige que cada agente tenha sua própria assinatura criptográfica. Isso permite que a auditoria saiba exatamente qual linha de código apagou um arquivo específico. ### 2. O privilégio efêmero (ZSP) Máquinas não precisam de acesso permanente. A aplicação do ZSP (Privilégio Zero Permanente) significa que as credenciais nascem e morrem em segundos. O agente de IA solicita permissão, recebe um token temporário, executa a ação financeira e, imediatamente após a conclusão, aquele token perde o valor. Se a conexão for interceptada, o invasor rouba uma chave que já não abre mais nenhuma porta. ### 3. Do RBAC para o ABAC: Autorização por contexto O carimbo estático do cargo (RBAC) dá lugar ao Controle de Acesso Baseado em Atributos (ABAC). A rede deixa de perguntar "quem é você?" e passa a questionar "o que você está fazendo, de onde, e que horas são?". A autorização se torna uma escolta contínua. Se um bot que costuma ler relatórios às 14h tentar baixar o banco de senhas às 3h da manhã, o ABAC bloqueia a ação instantaneamente, mesmo que o bot tenha a senha correta. ## Sua caixa de ferramentas A interoperabilidade entre a IA e os dados internos exige que você troque as fechaduras da sua rede. O primeiro passo prático para a sua equipe de tecnologia é auditar as Identidades Não-Humanas. Abra os logs do sistema nesta semana e mapeie todos os serviços automatizados que utilizam senhas estáticas ou não expiráveis. A meta técnica imediata para os próximos 30 dias é implementar ferramentas de ITDR (Detecção e Resposta a Ameaças de Identidade) focadas em revogar acessos permanentes de bots e substituí-los por geração de tokens de uso único.