Agentes de IA conectados a CRM, data lakes e pipelines de produção acumulam credenciais amplas e permanecem ativos meses após o criador sair da empresa
| Componente | Agentes de IA corporativos — assistentes customizados, agentes de codificação, automações de fluxo de trabalho e aplicações agênticas — integrados a plataformas empresariais como Salesforce, Snowflake, GitHub, Gong e Slack, além de contas cloud, ferramentas de desenvolvimento, endpoints e provedores de identidade |
| Vetor | Provisionamento descentralizado de agentes por colaboradores e unidades de negócio, muitas vezes via extensões de navegador, recursos nativos de SaaS, servidores MCP, scripts internos e contas de serviço com permissões amplas concedidas antecipadamente para evitar quebra de fluxos operacionais |
| Impacto | Identidades não humanas herdam privilégios de nível do criador, executam leitura, escrita e exclusão em sistemas de produção por meio de APIs e credenciais armazenadas, e permanecem operacionais após mudança de função ou desligamento do responsável; pesquisa indica que 65,4% dos chatbots agênticos nunca foram usados após a criação, mas mantêm credenciais ativas |
| Prioridade | Estabelecer inventário contínuo de agentes, mapear proprietário, escopo de acesso e segredos por agente, aplicar remediação automatizada de permissões excessivas e desativar identidades ociosas antes de ampliar bloqueios de domínio ou regras de DLP voltadas apenas a colagem de dados em ferramentas públicas |
| Artefatos | Contas de serviço, chaves de API, tokens OAuth, papéis IAM em cloud, extensões de navegador, integrações SaaS nativas, servidores MCP e scripts customizados usados como base de autenticação dos agentes |
| Mitigação | Tratar agentes como identidades de primeira classe: descoberta contínua, propriedade definida, acesso com escopo mínimo, gestão de ciclo de vida da criação à desativação, notificação de agentes inativos e bloqueio de novas conexões não autorizadas a sistemas sensíveis |
O foco inicial de segurança em inteligência artificial corporativa concentrou-se no vazamento acidental: colaboradores colando registros sensíveis em ferramentas públicas de IA. Equipes responderam com políticas de uso, bloqueio de domínio e regras de prevenção de perda de dados. Esse enquadramento cobre apenas uma fração do risco atual. A IA sombra evoluiu de preocupação com exfiltração pontual para um problema estrutural de controle de acesso sobre identidades autônomas que operam dentro do perímetro corporativo.
O ponto crítico deixou de ser o que funcionários digitam em interfaces de chat. Passa a ser quais agentes de IA estão em execução, a quais sistemas empresariais estão conectados e quais ações estão — ou não — autorizadas a executar. Pesquisa conduzida pela Token Security em parceria com a Cloud Security Alliance descreve a amplitude dessa exposição: agentes proliferam mais rápido do que equipes de segurança conseguem inventariar, enquanto controles legados de IAM, DLP e monitoramento de rede continuam projetados para identidades humanas e cargas determinísticas.
A transição de ferramentas passivas para atores ativos altera a superfície de risco de forma qualitativa. Um aplicativo SaaS não autorizado funciona essencialmente como destino de dados: recebe informação e a armazena ou processa dentro de limites relativamente previsíveis. Um agente de IA, por contraste, pode invocar APIs, consumir credenciais persistidas, recuperar registros, alterar configurações, acionar pipelines downstream e executar ações em ambientes de produção — frequentemente sem autorização humana explícita a cada etapa da cadeia.
O padrão operacional observado começa como experimento rápido em departamentos isolados. Assistentes customizados, agentes de codificação, automações de workflow e aplicações agênticas surgem em plataformas aprovadas ou, com igual frequência, por extensões de navegador, recursos nativos de SaaS, ferramentas locais de desenvolvimento, servidores MCP e scripts internos. Alguns permanecem isolados; outros embedam-se em processos críticos em poucos dias. Para resolver falhas operacionais — como uma implantação interrompida — o agente pode ler logs, consultar monitoramento, modificar configuração de infraestrutura, abrir chamados, disparar automações e notificar engenharia em sequência, reutilizando as mesmas credenciais herdadas.
Desenvolvedores tendem a conceder permissões amplas antecipadamente para evitar interrupção de fluxos. Esse acesso temporário frequentemente se torna permanente. O agente herda privilégios equivalentes ao criador; equipes de identidade perdem visibilidade sobre o que a identidade não humana faz de fato. Um colaborador que cola um registro de cliente em ferramenta pública configura incidente de vazamento. Um agente customizado conectado simultaneamente a CRM, data warehouse, repositório de código, plataforma de gravação de reuniões e mensageria corporativa representa incidente de controle de acesso em potencial: pode expor dados, mas também ler, gravar e apagar registros com credenciais que ninguém auditou e que permanecem válidas meses após mudança de função ou desligamento do responsável.
Bloquear domínios de IA pública não alcança essa camada. Quando o agente já possui credenciais para sistemas internos, a fronteira relevante foi ultrapassada antes de qualquer política de navegador entrar em vigor. A lacuna fecha-se com descoberta de identidades não humanas e remediação automatizada de permissões acumuladas, não apenas com controles de conteúdo na borda.
A exposição atravessa ambientes onde agentes realmente residem e autenticam, não apenas consoles de chat genéricos. Plataformas de IA aprovadas e não aprovadas, aplicações SaaS com automação embutida, contas cloud, ferramentas de desenvolvimento, endpoints corporativos e provedores de identidade compõem o mapa de descoberta necessário.
Organizações na fase inicial desse problema costumam não possuir inventário de agentes. Mesmo visibilidade parcial — saber que um agente existe, ainda que sem contexto completo de intenção — já representa avanço em relação ao estado atual da maioria dos ambientes analisados.
- Assistentes de codificação, extensões de navegador e recursos agênticos nativos em SaaS criados fora de governança centralizada
- Integrações informais com bancos de dados sensíveis, sistemas de produção e pipelines de automação via contas de serviço ou tokens OAuth de longa duração
- Agentes compartilhados além do time original — por exemplo, automação construída para três pessoas de finanças reutilizada em escala organizacional sem revisão de escopo
- Chatbots agênticos ociosos: 65,4% nunca foram utilizados após criação, mas mantêm credenciais ativas, configurando exposição persistente e subestimada
Controles tradicionais assumem comportamento previsível e caminhos de acesso definidos. Agentes quebra essas premissas ao encadear múltiplas ações autenticadas em minutos. A telemetria útil combina inventário de identidade não humana, rastreamento de escopo de API e correlação entre criação de agente, concessão de segredo e atividade efetiva pós-provisionamento.
Seis eixos estruturam a avaliação de controle real. Primeiro: onde agentes são criados ou instalados, incluindo plataformas óbvias de IA, assistentes de codificação, recursos agênticos em SaaS, ferramentas locais e aplicações internas que adicionaram capacidades de IA discretamente. Segundo: quem possui cada agente e quem pode usá-lo — ausência de proprietário elimina accountability e distorce perfil de risco quando compartilhamento expande além do escopo original.
- Mapear recursos e serviços conectados a cada agente: conexões aparentemente inofensivas na plataforma podem esconder acesso a bancos ou produção via credencial nunca revisada
- Inventariar identidades e segredos associados — contas de serviço, chaves de API, tokens OAuth, papéis IAM — e correlacionar idade do segredo com última atividade do agente
- Comparar intenção declarada na configuração com comportamento observado: leitura versus escrita, acesso fora do escopo pretendido e sequências automatizadas em sistemas críticos
- Identificar agentes inativos com credenciais vivas: padrão de criação seguida de zero uso, com autenticação ainda válida para APIs corporativas
- Auditar herança de privilégio do criador: agentes que mantêm permissões de ex-funcionário ou de papel alterado há meses
- Monitorar novos agentes conectando-se a sistemas classificados como sensíveis sem registro prévio em inventário corporativo
A resposta madura não consiste em bloquear adoção de IA — pressão por produtividade empurra uso para underground quando segurança vira obstáculo absoluto. O objetivo é habilitação governada: caminho para implantar agentes com controles automatizados executando continuamente em segundo plano, equivalente ao tratamento dado a qualquer outra identidade empresarial.
O ciclo recomendado avança em estágios. Descoberta contínua estabelece visibilidade mínima. Enriquecimento contextual liga cada agente a proprietário, intenção, credenciais e sistemas alcançados. Enforcement automatizado reduz permissões excessivas, notifica responsáveis sobre agentes inativos e sinaliza novas conexões a ativos sensíveis antes que credenciais se acumulem de forma irreversível. Gestão de ciclo de vida cobre criação, operação, revisão periódica e descomissionamento — incluindo revogação de segredos associados.
- Substituir foco exclusivo em DLP de colagem por inventário de agentes e mapeamento de acesso a APIs corporativas
- Implementar remediação automatizada de permissões excessivas em identidades não humanas, com notificação ao proprietário do agente
- Definir proprietário obrigatório e escopo de uso por agente antes de permitir conexão a sistemas de produção ou dados regulados
- Revogar credenciais de agentes ociosos — especialmente chatbots agênticos nunca utilizados — como parte de higiene periódica de identidade
- Revisar concessões amplas antecipadas em pipelines de automação e exigir escopo mínimo renovável em intervalos definidos
- Integrar descoberta de agentes a IAM, logs de API, auditoria de cloud e ferramentas de desenvolvimento para visibilidade unificada
0 Comentários