L'idea di un'economia degli agenti sembra semplice abbastanza. Gli agenti software agiscono per nostro conto. Prenotano voli, gestiscono finanze, negoziano servizi e spostano dati tra piattaforme con il minimo input umano. In teoria, questo dovrebbe rendere la vita digitale più fluida ed efficiente. Nella pratica, una cosa continua a ostacolare: come autentichiamo.
Kite sostiene che i metodi di autenticazione tradizionali stanno diventando un serio collo di bottiglia per questo mondo emergente guidato dagli agenti. Non perché siano insicuri, ma perché non sono mai stati progettati per agenti autonomi che devono agire continuamente, indipendentemente e su larga scala.
Per comprendere il problema, è utile vedere cosa presuppone effettivamente l'autenticazione tradizionale.
La maggior parte dei sistemi di autenticazione è costruita attorno a un essere umano seduto davanti a uno schermo. Effettui il login con una password. Ricevi un codice usa e getta. Approvi una notifica push. Anche i metodi più recenti come la biometria presuppongono ancora che una persona sia presente per confermare l'accesso. Questo funziona bene quando l'utente è coinvolto direttamente. Funziona male quando gli agenti software devono operare senza supervisione umana costante.
Gli agenti non digitano password. Non controllano i telefoni per codici. E sicuramente non possono mettere in pausa ogni azione per chiedere a un umano l'approvazione. Eppure molti sistemi costringono gli agenti a comportarsi come se fossero umani, solo più veloci e più fragili.
Questo crea attrito in luoghi in cui non dovrebbe esserci attrito.
Immagina un agente che gestisce abbonamenti per un'azienda. Tiene traccia dell'uso, annulla strumenti poco utilizzati, negozia rinnovamenti e cambia fornitori quando compaiono opzioni migliori. Affinché questo funzioni, l'agente ha bisogno di accesso persistente a più servizi. Sotto l'autenticazione tradizionale, tale accesso spesso dipende da password memorizzate, chiavi API a lungo termine o riautenticazione manuale quando qualcosa scade.
Tutti questi sono ripieghi, non soluzioni reali.
Le credenziali memorizzate diventano rischi per la sicurezza. Le chiavi API sono difficili da ruotare in modo sicuro. Le sessioni scadute interrompono i flussi di lavoro nel momento peggiore. E quando qualcosa fallisce, un umano deve intervenire, capire cosa è andato storto e risolverlo. Questo sminuisce gran parte del valore di avere agenti in primo luogo.
La posizione di Kite è che questo non è solo un inconveniente. È un problema strutturale che limita quanto lontano può crescere l'economia degli agenti.
Gli agenti dovrebbero essere autonomi. Dovrebbero prendere decisioni, intraprendere azioni e coordinarsi con altri agenti attraverso i sistemi. L'autenticazione tradizionale tratta l'autonomia come una minaccia piuttosto che come una caratteristica. Presuppone che l'accesso continuo sia pericoloso e che la re-verifica frequente sia sempre più sicura.
In un mondo incentrato sull'uomo, quell'assunzione ha senso. In un mondo incentrato sugli agenti, diventa controproducente.
Un altro problema è la scala. Un agente potrebbe essere gestibile. Centinaia o migliaia diventano rapidamente un disastro. Ogni agente potrebbe aver bisogno di permessi diversi, ambiti limitati, accesso vincolato nel tempo e la capacità di delegare compiti ad altri agenti. I modelli tradizionali faticano a esprimere queste relazioni in modo chiaro.
Si finisce con credenziali condivise, permessi eccessivamente ampi o sistemi di ruolo fragili che nessuno comprende appieno. I team di sicurezza perdono visibilità. Gli sviluppatori perdono tempo. Gli agenti perdono efficacia.
Kite sottolinea che vediamo già questa tensione nei sistemi moderni. Le aziende si affidano pesantemente all'automazione, ma dipendono ancora da modelli di autenticazione progettati decenni fa. Il risultato è un divario crescente tra ciò che il software può fare e ciò che gli è permesso fare in modo sicuro.
Questa lacuna diventa ancora più ovvia quando gli agenti interagiscono tra loro.
In un'economia degli agenti, gli agenti non agiranno solo per gli umani, ma anche negozieranno e collaboreranno con altri agenti. Possono richiedere accesso, concedere permessi, verificare intenti e far rispettare politiche in modo dinamico. L'autenticazione tradizionale non offre un modo nativo per gestire questo. Non supporta l'identità dell'agente in un senso significativo.
La maggior parte dei sistemi sa come autenticare un utente o un'applicazione. Non comprendono un agente come un'entità distinta con i propri obiettivi, limiti e responsabilità.
Kite sostiene che senza una corretta identità dell'agente, stabilire la fiducia diventa difficile. Se qualcosa va storto, non è chiaro quale agente ha agito, sotto quale autorità e con quali permessi. Questa incertezza rende le organizzazioni caute e la cautela rallenta l'adozione.
Niente di tutto ciò significa che l'autenticazione tradizionale sia cattiva. Ha risolto problemi reali e continua a farlo. Il problema è la dissonanza. Stiamo cercando di allungare un modello incentrato sull'uomo in un mondo in cui gli esseri umani non sono più coinvolti in ogni azione.
Il cambiamento è simile a ciò che è successo quando l'informatica cloud ha preso piede. I primi sistemi presupponevano server fissi e reti statiche. Man mano che l'infrastruttura diventava dinamica, i modelli di identità e accesso dovevano evolversi. L'economia degli agenti ci sta spingendo verso una transizione simile.
Kite crede che l'autenticazione debba passare dal dimostrare chi sei in un determinato momento a esprimere continuamente ciò che un agente è autorizzato a fare, per quanto tempo e sotto quali condizioni. Ciò significa dare maggiore enfasi alla delega, al contesto e alla revoca, e meno a sfide ripetute che interrompono i flussi di lavoro.
Ciò significa anche trattare gli agenti come cittadini di prima classe. Hanno bisogno di identità che siano verificabili, auditabili e appropriate. Non segreti condivisi. Non token fragili copiati in ambienti diversi. Identità reali con confini chiari.
Criticamente, questo non è solo un problema tecnico. È anche un problema organizzativo. Molti team sono a loro agio con flussi di accesso e passaggi di approvazione familiari. Allontanarsi da essi sembra rischioso. Ma aggrapparsi a essi potrebbe essere più rischioso a lungo termine se costringe a scorciatoie insicure o limita ciò che l'automazione può raggiungere.
L'economia degli agenti non fallirà a causa dell'autenticazione da sola. Ma può certamente essere rallentata da essa. Se gli agenti trascorrono più tempo ad aspettare l'accesso che a fare lavoro utile, il loro valore diminuisce. Se i team non possono fidarsi degli agenti perché l'identità è poco chiara, l'adozione si ferma.
L'avvertimento di Kite non è drammatico. È pratico. Se vogliamo che gli agenti gestiscano più responsabilità, i nostri modelli di autenticazione devono riflettere quella realtà. Altrimenti, continueremo a costruire sistemi potenti e a legarli con strumenti che non si adattano più al compito.
In breve, l'autenticazione tradizionale non sta condannando l'economia degli agenti. Ma se non evolve, potrebbe tenerla indietro silenziosamente.
