O pesquisador Aditya K Sood, da Aryaka, detalhou em um documento de maio de 2026 um problema estrutural nas redes de tecnologia: os sistemas de controle de acesso estão cegos diante de robôs autônomos. Enquanto gestores de TI configuram autenticações complexas e exigem digitais de funcionários humanos, agentes de Inteligência Artificial trafegam pelos servidores usando senhas antigas e acessos genéricos.

A urgência bate à porta quando observamos que a Microsoft iniciou o licenciamento de agentes de IA com e-mails próprios e acessos independentes aos servidores corporativos. Esses programas deixaram de ser apenas calculadoras avançadas e se tornaram entidades ativas que tomam decisões, leem bancos de dados e alteram processos. A pergunta que as equipes de segurança precisam responder hoje é direta: quem responde pelos atos dessas máquinas?

O bug na portaria analógica

A estrutura atual de IAM (Gerenciamento de Identidade e Acesso) opera como a recepção de um prédio comercial. Você chega, fornece seu nome (login) e mostra uma credencial extra (o MFA, ou Autenticação de Múltiplos Fatores, como aquele código de SMS). O sistema consulta a lista de permissões atreladas ao seu cargo (o RBAC, Controle de Acesso Baseado em Cargos) e libera a catraca no momento do login. O problema surge quando quem tenta entrar não possui celular para receber SMS, não tem um cargo definido no RH e atua 24 horas por dia.

As Identidades Não-Humanas (NHIs) precisam conversar com APIs e serviços continuamente. Se um bot autônomo opera com permissões estáticas e chaves compartilhadas para manter esse diálogo fluindo, ele se torna um alvo fácil. A executiva Wendi Whitmore, da Palo Alto Networks, alertou recentemente que falhas de controle como essa transformam os assistentes de IA em ameaças diretas de espionagem interna. Um hacker não precisa mais invadir o banco de dados; ele só precisa dar ordens ao bot que já tem livre acesso ao sistema inteiro.

A diplomacia das máquinas: recriando a identidade

Para construir pontes seguras entre dados sigilosos e automação, a gestão de acesso precisa abandonar a verificação de porta de entrada e adotar o que Aditya K Sood define como um plano de controle em tempo real. O mercado de segurança abandonou as regras antigas e criou uma nova linguagem para traduzir a confiança entre sistemas.

1. O fim das chaves mestras

Cada robô, script ou serviço precisa de um passaporte digital rastreável. Em vez de criar um usuário chamado "Robo_Financeiro" e dar a senha para cinco scripts diferentes, a nova arquitetura exige que cada agente tenha sua própria assinatura criptográfica. Isso permite que a auditoria saiba exatamente qual linha de código apagou um arquivo específico.

2. O privilégio efêmero (ZSP)

Máquinas não precisam de acesso permanente. A aplicação do ZSP (Privilégio Zero Permanente) significa que as credenciais nascem e morrem em segundos. O agente de IA solicita permissão, recebe um token temporário, executa a ação financeira e, imediatamente após a conclusão, aquele token perde o valor. Se a conexão for interceptada, o invasor rouba uma chave que já não abre mais nenhuma porta.

3. Do RBAC para o ABAC: Autorização por contexto

O carimbo estático do cargo (RBAC) dá lugar ao Controle de Acesso Baseado em Atributos (ABAC). A rede deixa de perguntar "quem é você?" e passa a questionar "o que você está fazendo, de onde, e que horas são?". A autorização se torna uma escolta contínua. Se um bot que costuma ler relatórios às 14h tentar baixar o banco de senhas às 3h da manhã, o ABAC bloqueia a ação instantaneamente, mesmo que o bot tenha a senha correta.

Sua caixa de ferramentas

A interoperabilidade entre a IA e os dados internos exige que você troque as fechaduras da sua rede. O primeiro passo prático para a sua equipe de tecnologia é auditar as Identidades Não-Humanas. Abra os logs do sistema nesta semana e mapeie todos os serviços automatizados que utilizam senhas estáticas ou não expiráveis. A meta técnica imediata para os próximos 30 dias é implementar ferramentas de ITDR (Detecção e Resposta a Ameaças de Identidade) focadas em revogar acessos permanentes de bots e substituí-los por geração de tokens de uso único.