A rápida adoção de agentes de inteligência artificial nas organizações está inaugurando uma nova fronteira na cibersegurança. Mais autônomos, integrados e capazes de tomar decisões em tempo real, esses agentes ampliam a eficiência operacional — mas também expõem empresas a riscos inéditos relacionados à identidade e ao controle de acesso.
De acordo com a Gartner, até 2028, um terço das interações com IA generativa será realizado por agentes autônomos, consolidando essa tecnologia como peça central das operações corporativas.
Apesar do avanço, a maturidade em segurança ainda está aquém da velocidade de adoção. Apenas 13% das organizações acreditam possuir governança adequada para esses agentes, enquanto 74% já os enxergam como um novo vetor de ataque.
Agentes de IA inauguram nova categoria de identidade
Nesse cenário, um dos principais desafios está em como classificar e gerenciar essas entidades dentro das estruturas atuais de segurança.
Para Eder Souza, CTSO da e-Safer, os agentes de IA não se encaixam nos modelos tradicionais:
“Agentes de IA devem ser tratados como uma nova categoria de identidade. Eles não se encaixam completamente como usuários humanos, apesar da semelhança, nem como sistemas tradicionais, pois combinam autonomia, tomada de decisão e capacidade de agir em múltiplos contextos e com grande velocidade.”
Esse novo perfil exige um modelo próprio de governança, com foco em rastreabilidade, controle dinâmico de privilégios e visibilidade contínua das ações.
IAM tradicional não acompanha o comportamento dinâmico da IA
A necessidade de evolução do Identity and Access Management (IAM) já é evidente. Historicamente desenhado para usuários humanos e sistemas previsíveis, o modelo atual encontra limitações diante da natureza dinâmica dos agentes autônomos.
“Os modelos tradicionais de IAM foram projetados para identidades previsíveis e com comportamentos relativamente estáticos. Agentes de IA operam de forma dinâmica, podem tomar decisões em tempo real, interagir com múltiplos sistemas e até encadear ações sem intervenção humana. Isso torna insuficientes controles baseados apenas em roles fixos ou autenticação pontual.”
O desafio se intensifica diante do crescimento das identidades não humanas. Segundo a Microsoft, essas identidades já superam as humanas em muitos ambientes corporativos. Ainda assim, apenas 22% das empresas tratam agentes de IA como identidades próprias, enquanto 79% relatam a criação de caminhos de acesso obscuros e 74% admitem conceder privilégios excessivos.
Riscos ganham escala com velocidade e autonomia
A combinação entre autonomia, velocidade e acesso privilegiado transforma agentes de IA em um ponto crítico de risco dentro das organizações.
Eder destaca que os impactos podem ser significativos:
“Como principais riscos podemos citar a escalada de privilégios automatizada, com impacto ampliado pela velocidade da IA, ações não auditáveis quando múltiplos agentes compartilham a mesma identidade, movimentação lateral silenciosa explorando integrações e APIs, execução de decisões incorretas em larga escala e dificuldade de entendimento e responsabilização, comprometendo investigações e compliance.”
Organizações como a OWASP já reconhecem esses desafios ao incluir riscos relacionados à IA em suas listas de ameaças emergentes. Ao mesmo tempo, a Palo Alto Networks alerta que agentes ampliam significativamente a superfície de ataque ao operarem com credenciais e integrações críticas.
Zero Trust e controle contínuo se tornam essenciais
Diante desse novo cenário, conceitos consolidados como Zero Trust e Least Privilege ganham ainda mais relevância — mas precisam ser adaptados à realidade dos agentes autônomos.
“Esse tema ainda está evoluindo, mas já existem boas práticas, como utilizar identidade individual para cada agente, evitando credenciais compartilhadas, aplicar privilégios mínimos e temporários, adotar autorização baseada em contexto e risco, validar continuamente as ações — e não apenas no momento do login — e garantir observabilidade e auditoria granular.”
A mudança de abordagem é clara: não basta autenticar — é preciso acompanhar, validar e entender o comportamento das identidades em tempo real.
IAM será o pilar da governança de IA nos próximos anos
O movimento do mercado aponta para uma transformação estrutural. Empresas ainda carecem de frameworks maduros para lidar com agentes de IA, como destaca a Okta, enquanto iniciativas como “guardian agents” — IA protegendo IA — começam a surgir.
Estudos da IBM, da Deloitte e da PwC também reforçam o descompasso entre adoção e governança, evidenciando a urgência de evolução nas estratégias de segurança.
Para o executivo, o futuro do IAM já está definido:
“Os fabricantes de soluções de IAM estão evoluindo de um modelo centrado em autenticação para uma plataforma de governança de identidades autônomas. Isso inclui orquestrar identidades de agentes, aplicar políticas dinâmicas, integrar inteligência de risco em tempo real e garantir rastreabilidade completa das ações. Na prática, o IAM será o pilar central de controle em ambientes onde humanos e IAs coexistem, operando de forma integrada.”
