Gli agenti basati sull'intelligenza artificiale stanno diventando sempre più efficienti. Sono in grado di ragionare, pianificare, contestualizzare e agire su decine di sistemi in modo automatico. Possono interagire tra loro e avvalersi di strumenti esterni. Inoltre, vengono già implementati in ambienti di produzione. Tuttavia, questi agenti pongono un problema di governance che non sta ricevendo sufficiente attenzione.
La maggior parte degli agenti di IA opera con un livello di accesso ben superiore a quello necessario. Quando uno sviluppatore collega un agente di IA a una serie di strumenti (ad esempio, CRM, database, sistema ERP), la strada più veloce è anche quella meno controllata. Una chiave API restituisce i dati. Un account di servizio concede l'accesso. L'agente richiama ciò di cui ha bisogno. La demo è convincente. Il proof of concept ha esito positivo.
Poi qualcuno approfondisce la questione e solleva alcune domande:
- A cosa può accedere esattamente questo agente?
- Che cosa ha fatto ieri?
- È possibile che abbia avuto accesso a dati a cui non avrebbe mai dovuto accedere?
Nella maggior parte delle implementazioni aziendali odierne, la risposta sincera è: non ne siamo del tutto sicuri.
Il problema di un accesso troppo ampio
Il modello standard utilizzato per concedere agli agenti di intelligenza artificiale l'accesso agli strumenti aziendali è sorprendentemente simile a quello di consegnare a un nuovo dipendente una chiave master il suo primo giorno di lavoro. Non perché qualcuno ci abbia riflettuto a fondo, ma perché era il modo più semplice per far funzionare le cose.
La maggior parte dei framework per agenti di intelligenza artificiale consente di rendere accessibili gli strumenti indirizzando l'agente verso un endpoint API. Non vi è alcuna applicazione delle politiche, definizione dell'ambito di accesso o tracciabilità delle operazioni. L'agente chiama lo strumento, lo strumento risponde e il gioco è fatto.
In un ambiente di test funziona bene. In un contesto aziendale caratterizzato da dati soggetti a regolamentazione, requisiti di conformità e utenti reali la cui identità è importante, la questione si trasforma in un problema di governance con conseguenze concrete.
Cosa significa in realtà "accesso con privilegi minimi" per gli agenti di IA
Il principio del privilegio minimo è ormai da decenni uno standard di sicurezza. Gli utenti e i sistemi dovrebbero avere accesso solo alle risorse di cui hanno effettivamente bisogno per svolgere il proprio lavoro.
Per gli agenti di intelligenza artificiale, questo principio deve essere applicato a ogni livello.
A quali strumenti può ricorrere l'operatore? Non tutti gli operatori hanno bisogno di accedere a tutti i sistemi. Un assistente delle risorse umane non ha bisogno di consultare i dati finanziari. Un operatore del servizio clienti non ha bisogno di diritti di scrittura sul database di produzione.
Per conto di chi agisce l'agente? Quando un agente di intelligenza artificiale compie un'azione, dovrebbe farlo con l'autorizzazione dell'utente specifico che l'ha attivato, non come account di servizio generico con ampi diritti di accesso.
Cosa può fare effettivamente l'agente all'interno di ciascuno strumento? Il "token downscoping" consente di emettere credenziali con un ambito ristretto per ogni azione, limitando ciò a cui l'agente può accedere anche all'interno di un sistema che è autorizzato a utilizzare; in questo modo, anche se qualcosa dovesse andare storto, l'entità del danno è limitata.
Le risposte a queste tre domande non sono affatto complicate. Eppure, la maggior parte dei framework per agenti di IA oggi non le pone affatto.
L'approccio di SnapLogic: l'esecuzione degli strumenti tramite policy
MCP, ovvero il Model Context Protocol, è uno standard aperto che definisce le modalità con cui gli agenti di intelligenza artificiale individuano e richiamano gli strumenti aziendali. Il server MCP di SnapLogic si basa su un modello alternativo per l'accesso degli agenti. Ogni strumento è una pipeline SnapLogic, in esecuzione sulla vostra infrastruttura, regolata dalle vostre politiche e soggetta alle stesse regole di gestione delle API applicabili al resto delle vostre integrazioni aziendali.
La governance non è facoltativa e non può essere aggiunta a posteriori. Non è possibile creare un server MCP senza associarlo a un gruppo di criteri. Si tratta di un campo obbligatorio al momento della creazione.
Ciò significa che la limitazione della frequenza, le restrizioni IP, i requisiti di autenticazione e i controlli di accesso basati sui ruoli sono obbligatori per ogni strumento che i tuoi agenti IA possono utilizzare prima ancora che venga effettuata una singola chiamata.
Perché è più importante di quanto si pensi
La domanda non è se i vostri agenti di IA finiranno per accedere a sistemi sensibili. È proprio questo lo scopo della loro implementazione. La domanda è se avrete il controllo su tale accesso quando ciò accadrà.
L'alternativa è bloccarli in modo che non possano causare danni o divulgare informazioni sensibili, ma tale restrizione limita fortemente anche l'utilità degli agenti. Limitare l'accesso non significa garantire la governance.
La governance degli accessi per gli agenti di IA non è solo una questione di sicurezza. È un prerequisito fondamentale per l'utilizzo dell'IA su scala aziendale. Senza di essa, ogni nuovo agente implementato introduce una nuova superficie di attacco, un nuovo rischio di non conformità e un nuovo motivo di incertezza.
Nella seconda parte approfondiremo il tema dell'identità: in particolare, spiegheremo perché è importante l'identità dell'utente che un agente IA rappresenta e come la soluzione di propagazione dei token di SnapLogic, Trusted Agent Identity, garantisca che l'identità corretta accompagni l'agente fino al sistema di backend.
Si tratta di una serie in tre parti dedicata alla nostra prossima discussione virtuale dal titolo “Gestione degli agenti IA: accesso sicuro, identità e controllo su scala aziendale".Unisciti a noi il 10 giugno nella tua regione: registrati per la trasmissione EMEA o alla trasmissione per il Nord America. Ci vediamo lì!
