Autenticação de agentes de IA: casos de uso e necessidades de identidade

2025 está se moldando para ser o ano da IA. Com o crescimento rápido dos LLMs e das experiências de agentes, frequentemente nos perguntam: Como abraçamos esta nova era? E quais são os novos casos de uso para autenticação e autorização de agentes de IA? Neste artigo, vamos explorar a experiência típica de um agente e apontar os cenários de segurança e autenticação ao longo do caminho.

Experiência de autenticação do operador ChatGPT#

Recentemente, comprei o Operador ChatGPT e explorei alguns fluxos de trabalho comuns. Um exemplo foi reservar uma estadia em Tóquio, Japão. O Operador facilitou incrivelmente encontrar um quarto adequado com base no meu prompt.

Durante a finalização da compra, ele me pediu para fazer login, então devolveu o controle para mim.

Esta experiência me deixou desconfortável. Mesmo tendo o controle e o agente não podendo fazer login por mim, ainda tive que inserir meu e-mail e senha no navegador do Operador. Isso significa que, se você fizer login no seu e-mail (ou em qualquer serviço) através do Operador, suas credenciais estão armazenadas em cookies.

O Operador da OpenAI afirma que nunca armazena credenciais de usuários e segue padrões de conformidade como SOC II. No entanto, quando agentes de terceiros interagem com serviços externos em seu nome, os riscos de segurança aumentam significativamente.

Em geral, fornecer diretamente ao agente o acesso à sua conta e suas credenciais é uma má ideia.

Ainda há muito espaço para melhorias. Na próxima seção, vou me aprofundar em diferentes abordagens de autenticação e gerenciamento de credenciais, ponderando seus prós e contras.

Como este X Threads discutiu.

Como as credenciais são tratadas e quais são os riscos de segurança?#

Dar diretamente suas credenciais ao agente de IA#

Nesta abordagem, a IA insere credenciais em texto simples (como um e-mail e senha) em seu nome. Por exemplo, um agente de IA pode solicitar seus dados de login e inseri-los para você.

No entanto, este método apresenta riscos de segurança, pois pode expor informações sensíveis. Se a implementação for necessária, é mais seguro integrar um gerenciador de senhas ou sistema de gerenciamento de segredos. Além disso, restringir por quanto tempo as credenciais são armazenadas pode ajudar a minimizar o risco de vazamentos.

Em vez de credenciais em texto simples, os Tokens de Acesso Pessoal (PATs) oferecem uma maneira mais segura de conceder acesso sem exigir uma senha ou login interativo. Os PATs são úteis para CI/CD, scripts e aplicativos automatizados que precisam acessar recursos programaticamente. Para melhorar a segurança, é melhor limitar os escopos dos PATs, definir tempos de expiração e permitir revogação para prevenir vazamentos e sequestro de contas.

Delegação de usuário via OAuth#

OAuth (Open Authorization) é um padrão amplamente utilizado para autorização delegada na web. Ele permite que os usuários concedam a um aplicativo de terceiros acesso limitado aos seus dados em outro serviço sem compartilhar suas credenciais de login.

Em essência, o OAuth resolve o problema de delegação segura de acesso: por exemplo, você pode autorizar um aplicativo de viagens a ler seu Google Calendar sem fornecer ao aplicativo sua senha do Google. Isso é alcançado fazendo o usuário autenticar-se com o provedor de dados (por exemplo, Google) e então emitindo tokens para o aplicativo de terceiros em vez de expor as credenciais do usuário.

Uma maneira melhor de lidar com este cenário é autorizar o Operador ChatGPT (ou qualquer outro agente) a ler e gravar no Airbnb sem compartilhar sua senha ou credenciais. Em vez de deixar o Operador fazer login diretamente, você pode conceder acesso através de um processo de autorização seguro.

Na minha visão, se o Operador da OpenAI quiser aumentar a confiança e a segurança de identidade, há várias maneiras de conseguir isso.

1. Mover o processo de login para fora do Operador: Lidar com o login do usuário fora do Operador do ChatGPT. Isso significa que você pode clicar em um botão “Entrar com [Serviço]” e ser redirecionado para a página de login segura do serviço para se autenticar, completamente fora do chat ou do operador do ChatGPT. Por exemplo, se houvesse um plugin do Airbnb, você seria enviado para o site do Airbnb para inserir suas credenciais e autorizar o ChatGPT, e então o plugin receberia um token. O ChatGPT apenas recebe um token de acesso temporário ou chave, que concede acesso limitado (por exemplo, “ler meu itinerário”), em vez de ver sua senha real.

2. Fazer o usuário completar o fluxo de consentimento antes que o agente de IA execute qualquer tarefa. Esta abordagem é semelhante a como muitos produtos lidam com integrações, marketplaces e serviços conectados.

   Páginas de conexão do Notion

   Aqui está outro exemplo, assim como uma integração de marketplace do Slack com o Notion. O Slack está solicitando acesso ao espaço de trabalho específico do Notion, ele pode ler os artigos e apresentá-los em seus canais do Slack.

Ao mesmo tempo, o Slack também fornece uma página de consentimento para autorizar o Notion a acessar o espaço de trabalho durante este processo.

O Operador ChatGPT deve adotar uma abordagem semelhante integrando o OAuth, permitindo que o agente acesse com segurança múltiplos serviços de terceiros. Desta forma, ele pode obter tokens de acesso com as permissões necessárias para realizar tarefas de forma segura.

Autenticação de elevação para ações sensíveis#

Um agente de IA pode lidar com tarefas rotineiras de forma independente e autônoma, mas para ações de alto risco, verificações adicionais são necessárias para garantir a segurança, — como enviar fundos ou modificar configurações de segurança — o usuário deve verificar sua identidade através da autenticação multifatorial (MFA). Isso pode ser feito via notificações push, senhas de uso único (OTPs), ou confirmação biométrica.

No entanto, a autenticação de elevação frequente pode levar à frustração do usuário, especialmente se acionada com muita frequência. Portanto, a experiência específica do agente precisa considerar a experiência do usuário ao longo deste novo paradigma.

Para melhorar a segurança sem comprometer a experiência do usuário, a autenticação adaptativa e MFA deve ser usada para determinar quando a verificação adicional é necessária. Gatilhos baseados em risco, como mudanças de IP ou comportamento incomum, ajudam a minimizar solicitações desnecessárias de autenticação.

Identidade federada e single sign-On (SSO) para ecossistemas de múltiplos agentes#

Em um ecossistema empresarial de múltiplos agentes, os agentes de IA frequentemente precisam interagir entre diferentes plataformas. Para simplificar a autenticação, os usuários se autenticam uma vez via um provedor de identidade (IdP) como Okta, Azure AD, ou Google Workspace. Os agentes então se autenticam usando SAML, OpenID Connect (OIDC), com acesso gerenciado através de controle de acesso baseado em funções (RBAC) ou controle de acesso baseado em atributos (ABAC).

Esta abordagem elimina a necessidade de os usuários fazerem login múltiplas vezes enquanto aprimora a segurança e conformidade através do gerenciamento centralizado de identidade. Ela também permite políticas de acesso dinâmicas, garantindo que os agentes operem dentro das permissões definidas.

Gerenciamento de escopo e permissões#

Como Operadores e Agentes podem agir em nome dos usuários, é importante dar aos humanos controle suficiente e definir cuidadosamente as permissões dos agentes de IA. Dois princípios-chave a seguir são:

1. Privilégios mínimos – Conceder apenas as permissões necessárias para a tarefa.
2. Acesso com tempo limitado – Limitar a duração do acesso para reduzir riscos de segurança.

O Controle de Acesso Baseado em Funções (RBAC) ajuda a gerenciar o escopo de um agente atribuindo funções específicas para certas tarefas. Para um controle mais granular, o Controle de Acesso Baseado em Atributos (ABAC) permite o gerenciamento dinâmico de permissões baseadas em contexto, garantindo que os agentes de IA acessem apenas o que precisam quando precisam.

Conecte servidores MCP com Autenticação#

O MCP tem se tornado cada vez mais popular para aprimorar agentes de IA fornecendo informações mais contextuais, melhorando seu desempenho geral e experiência do usuário.

Por que o servidor MCP está relacionado à autenticação e por que isso importa?#

Escrevemos anteriormente um artigo para ajudá-lo a entender o que é um servidor MCP.

Um servidor MCP é uma parte chave do Modelo de Protocolo de Contexto, atuando como uma ponte entre modelos de IA e fontes de dados externas. Ele permite consultas em tempo real e a recuperação de dados de serviços como Slack, Gmail, e Google Calendar. Ao construir um servidor MCP, você pode conectar esses serviços remotos aos LLMs, aprimorando seus aplicativos com IA com melhor contexto e execução de tarefas mais inteligente.

Ao contrário dos sistemas de Geração Aumentada por Recuperação (RAG), que requerem a geração de embeddings e o armazenamento de documentos em bancos de dados vetoriais, um servidor MCP acessa dados diretamente sem indexação prévia. Isso significa que as informações não são apenas mais precisas e atualizadas, mas também são integradas com uma carga computacional menor e sem comprometer a segurança.

Referência: https://norahsakal.com/blog/mcp-vs-api-model-context-protocol-explained

Para agentes de IA que usam um servidor MCP, múltiplas interações ocorrem entre o servidor MCP, LLM, agente e usuário.

No mundo de hoje, impulsionado pela IA, onde agentes gerenciam múltiplas tarefas através de diferentes serviços, integrá-los com múltiplos servidores MCP está se tornando altamente demandado.

A autenticação de agentes está emergindo — seu produto deve se adaptar#

Um grande exemplo é o Composio.dev, uma plataforma de integração focada em desenvolvedores que simplifica como agentes de IA e LLMs se conectam com aplicativos e serviços externos. Apelidado de “Autenticação para Agentes de IA para Atuarem em Nome dos Usuários”, ele basicamente fornece uma coleção de servidores MCP (conectores) que podem ser facilmente integrados em produtos baseados em IA.

Como alguém na área de autenticação, mas na verdade, é apenas uma pequena parte do campo mais amplo de CIAM (Gerenciamento de Identidade e Acesso ao Cliente). O que eles construíram é na verdade uma coleção de servidores MCP (conectores) — útil, mas apenas uma fração do que as soluções completas de CIAM abrangem.

Baseando-se nos exemplos anteriores, se considerarmos o Google Drive (serviços remotos) como um servidor MCP em vez do Airbnb, ele se torna mais do que apenas uma integração de terceiros — serve como uma fonte externa de dados. Isso permite que o agente acesse informações contextuais, interaja com o LLM, e potencialmente obtenha permissões para criar, ler, atualizar e excluir (CRUD) arquivos.

No entanto, os requisitos principais de autenticação e autorização permanecem os mesmos.

Use o Logto para lidar com a autenticação de seus produtos de agentes#

O Logto é uma solução CIAM versátil que suporta produtos SaaS e de agentes de IA, tornando a autenticação e autorização sem complicações. Aqui está o porquê:

1. Autenticação gerenciada para produtos de agentes de IA – O Logto suporta OAuth 2.0, SAML, chaves de API, Tokens de Acesso Pessoal e JWT, permitindo fácil integração com múltiplos servidores MCP. Você pode até mesmo construir seu próprio servidor MCP e conectá-lo ao Logto, graças à sua base de padrões abertos.
2. Capacidades de provedor de identidade (IdP) – Uma vez que seu produto tenha usuários estabelecidos, o Logto pode atuar como um IdP, transformando seu serviço em um servidor MCP e integrando-o no ecossistema IA.
3. Autorização avançada
   1. Controle de acesso baseado em funções (RBAC) para gerenciar funções de usuário
   2. ABAC personalizado baseado em JWT para controle de acesso dinâmico e detalhado
4. Segurança aprimorada – Recursos como autenticação multifatorial (MFA) e autenticação de elevação ajudam a proteger ações críticas e melhorar a segurança do agente.

Tem perguntas? Entre em contato com nossa equipe para saber como o Logto pode melhorar a experiência do seu agente de IA e atender suas necessidades de segurança.