O problema que aborda é que as ferramentas IAM tradicionais assumem que as aplicações estão sendo acessadas por usuários humanos ou identidades de máquinas, governadas por um processo de autenticação único. Mas os agentes, que assumem longas cadeias de ações conduzidas a uma velocidade incrível, não funcionam assim. Em vez disso, o acesso torna-se efémero, complexo e não determinístico, ou seja, extremamente imprevisível. Bloqueie-os demais e eles pararão de funcionar; deixe-os correr livremente e a segurança fraca seguirá seu rastro.
Aplicação de tempo de execução
A abordagem da Curity é tratar os agentes como um tipo especial de aplicação. Assim como os aplicativos, os agentes chamam APIs, servidores MCP e entre si e são credenciados usando tokens OAuth. Por meio de um recurso chamado Token Intelligence, o Curity estende a função dos tokens OAuth não apenas para permitir o acesso, mas para transportar informações sobre o propósito e a intenção do agente. No esquema do Curity, um agente só pode acessar recursos com base nessa finalidade.
Em vez de usar permissões estáticas pré-concedidas, o acesso do agente é concedido em tempo de execução, em tempo real. Cada ação solicitada gera um token separado que descreve o acesso necessário. Quando um agente inicia uma nova tarefa, ele precisa de um novo token especificando um novo conjunto de permissões. Se necessário, pode ser necessária autorização humana quando um agente tenta realizar uma ação de alto risco, como transferir fundos.
