Otentikasi untuk Agentic AI: Cermin Funhouse dari Identitas Mesin

Dari Identitas Mesin hingga Key Sprawl: Kisah Cinta

Dahulu kala — di suatu tempat antara kebangkitan layanan mikro dan penulisan ulang CI/CD kelima — kami memutuskan setiap proses non-manusia membutuhkan rahasianya sendiri. Jadi kami memenuhinya. Alur CI, fungsi nirserver, lingkungan pementasan, dan skrip pengujian magang Anda semuanya memiliki token, kunci API, alur OAuth, dan kontorsi YAML. Terkadang dikodekan keras. Kadang-kadang disuntikkan. Selalu sedikit samar.

Secara alami, entropi mengambil alih. Kunci terbentang. Rahasia bocor. Token kedaluwarsa dengan tenang. Akun pecah kaca menjadi normal baru. Manajer rahasia seperti Vault dan AWS Secrets Manager adalah awal yang baik, dan mereka telah matang secara signifikan dengan fitur-fitur seperti rahasia dinamis dan kontrol akses terintegrasi IAM. Tetapi di banyak organisasi, mereka tetap menjadi kuburan kredensial: Anda memutar rahasia, lalu merotasi rotator, dan akhirnya mempekerjakan seseorang untuk mengelola jadwal rotasi. Dan tetap saja, seseorang melakukan file .env ke GitHub minggu lalu.

Vendor cloud turun tangan dengan federasi identitas beban kerja—kredensial sementara yang dikeluarkan infrastruktur yang dimaksudkan untuk menggantikan rahasia yang berumur panjang. Ini elegan di atas kertas dan kuat dalam pengaturan greenfield. Namun dalam praktiknya, adopsi tidak merata. Meskipun AWS IAM Roles for Service Accounts, GCP Workload Identity Federation, dan Azure Managed Identities menawarkan janji, implementasi di seluruh lingkungan hibrid atau lama tetap kompleks. Tooling sering kali mengasumsikan Anda sepenuhnya cloud-native dan diberkati dengan jam DevOps yang tak terbatas.

Masukkan agen: sekarang dengan permukaan identitas 10x lebih banyak

Seolah-olah ini tidak cukup kacau, seiring dengan AI agen: entitas perangkat lunak bertenaga LLM yang merencanakan, bernalar, merangkai tugas, dan semakin berimprovisasi di seluruh API, alat SaaS, cloud, dan sistem internal. Semua dengan kontrol impuls strategis dari golden retriever di pabrik bola tenis.

Agen-agen ini bertindak secara mandiri. Mereka mengambil kontrak dari SharePoint, memindai Box, memperbarui Salesforce, dan menjadwalkan panggilan Zoom. Dalam satu rantai. Di lima sistem. Pada hari Minggu. Visi ini masih aspiratif bagi sebagian besar organisasi, tetapi implementasi awal dari proyek seperti AutoGPT, Adept, dan CrewAI menuju ke arah itu.

Setiap interaksi membutuhkan identitas. Jadi apa yang kita berikan kepada agen-agen ini? Token berumur panjang? Kunci API cakupan luas? Seseorang login Okta dari tahun 2019?

Agen tidak hanya memperluas permukaan identitas; mereka membentuknya kembali. Mereka menyamar, melintasi domain, dan membutuhkan akses tepat waktu untuk melakukan sesuatu, lalu lupakan bahwa mereka pernah ada. Ini bukan IAM lagi. Ini adalah teater improvisasi dengan OAuth sebagai lemari alat peraga.

Mengapa Vendor IAM Anda Diam-diam Panik

Solusi IAM dan PAM tradisional — Okta, Ping, CyberArk — dibuat untuk manusia dan layanan backend yang berperilaku baik. Beberapa vendor sekarang menjelajah ke identitas dan otomatisasi mesin (misalnya, Alur Kerja Okta, akun layanan gabungan), tetapi minta mereka untuk beralasan tentang agen LLM yang bangun jam 3 pagi dan memutuskan untuk memanggil API SaaS baru, dan mereka mencapai batas arsitektur. Platform ini biasanya tidak memiliki dukungan kebijakan dinamis, kesadaran konteks runtime, dan model delegasi yang dapat diskalakan.

Manajer rahasia masih beroperasi seperti bunker kredensial Perang Dingin: sangat baik untuk penyimpanan, meningkatkan penegakan kebijakan, tetapi tidak dirancang untuk keputusan runtime dinamis tentang apakah agen AI Anda harus memanggil API hak istimewa tinggi Salesforce (Pikirkan hapus_pengguna, atur ulang_Penagihan_konfigurasi) pada pukul 2 pagi.

Dan bahkan jika Anda menghubungkan semuanya dengan aliran Terraform, YAML, ACL, dan OAuth, Anda berakhir dengan alat rapuh yang pecah saat agen mewarnai di luar garis.

Mari kita bicara tentang apa yang sebenarnya sulit

Ini bukan hanya reboot dari autentikasi mesin. Masalah sulit sangat praktis:

• Aliran autentik sementara: Agen memiliki cakupan tugas. Kredensial mereka juga harus demikian. Tetapi kredibilitas berumur pendek dan terbatas sempit meningkatkan kompleksitas orkestrasi. Kehilangan token, kehilangan konteksnya. Mengelola siklus hidup itu dengan andal adalah tantangan rekayasa dan penelitian yang berkelanjutan (misalnya, lihat SPIFFE/SPIRE).
• Kepercayaan lintas cloud: Agen mungkin mulai di Azure, melompat ke GCP, lalu mendarat di AWS. Sebagian besar organisasi tidak disiapkan untuk identitas federasi langsung di ketiganya. OIDC seharusnya membantu, tetapi kesenjangan implementasi, ketidakcocokan audiens token, dan kurangnya metadata standar membuat ini tidak lancar. Dukungan federasi bervariasi: Federasi identitas AWS STS dan GCP tidak selalu berjalan dengan baik.
• Risiko peniruan identitas: Agen tidak melakukan MFA. Mereka tidak mengirim email ke TI ketika pola login berubah. Jika seseorang mencuri token atau memalsukan identitas, tidak ada manusia yang bisa menyadarinya. Solusi yang muncul seperti autentikasi berkelanjutan dan deteksi anomali perilaku (misalnya, Stack Identity, Panther) menjanjikan tetapi belum meluas.
• Penegakan zero-trust: Kami mengatakan "jangan pernah percaya, selalu verifikasi" tetapi sering berarti "verifikasi sekali, lalu lupakan itu terjadi." Sebagian besar kebijakan tidak mengikuti agen di seluruh domain. Dan sementara log ada (AWS CloudTrail, Log Audit GCP), alat seperti OpenTelemetry dan pelacakan berbasis eBPF baru mulai membuat narasi multi-cloud dapat diamati secara real-time.
• Spageti protokol: OAuth 2.1 (Masih dalam draf pada pertengahan 2025) menyederhanakan beberapa alur, tetapi pola lanjutan seperti atas nama delegasi dan pertukaran token tidak distandarisasi dengan baik. Pengembang akhirnya menulis logika lem yang rapuh antara penyedia seperti Google, Microsoft, dan API SaaS khusus.

Jadi apa yang sebenarnya berhasil?

Di Venture Guides, kami telah menjelajahi primitif yang bergerak melampaui brankas rahasia dan akun layanan rapuh — karena membaut MFA ke file YAML tidak membuatnya aman. Jika agen ingin beroperasi secara mandiri, model identitas mereka harus sama dinamisnya: sementara, kontekstual, dan diatur secara real-time.

Satu pendekatan yang menjanjikan memikirkan kembali identitas bukan sebagai gumpalan statis yang diserahkan kepada agen, tetapi sebagai kontrak runtime yang dinegosiasikan dengan cepat. Alih-alih menyuntikkan kredensial sebelumnya — ke dalam variabel lingkungan, penyimpanan rahasia, atau langkah kedelapan alur CI Anda — sistem mencetak token akses berumur pendek berdasarkan apa yang dilakukan agen, di mana ia berjalan, dan apa yang coba disentuhnya. Anggap saja seperti IAM sebagai API streaming, bukan ekspor CSV.

Dalam model ini, agen tidak pernah menyimpan rahasia berumur panjang. Mereka meminta akses saat runtime, dan infrastruktur — cloud, orkestrator, apa pun — bertindak sebagai sumber kebenaran. Identitas tidak diberikan karena agen mengetahui kunci; Itu diberikan karena sistem mengenal agennya.

Kami juga telah melihat model di mana proxy berada di antara agen dan layanan target, bertindak sebagai broker real-time. Pendamping ini dapat menegakkan kebijakan, mencatat maksud, dan mencabut akses di tempat. Tidak seperti gateway API tradisional atau jaringan layanan, ini beroperasi lebih tinggi di tumpukan — di lapisan identitas dan izin, bukan hanya header TCP atau JWT. Ini bukan tentang meneruskan permintaan. Ini tentang memfilter siapa yang bahkan bisa bertanya.

Dan ya, dunia mesh layanan menawarkan inspirasi yang berguna. SPIFFE/SPIRE, Envoy dengan OPA, dan jaringan zero-trust semuanya mengisyaratkan apa yang mungkin. Tetapi mereka sering fokus pada lalu lintas timur-barat di lingkungan yang homogen. Sistem agen mematahkan asumsi itu: mereka improvisasi, lintas batas, dan kadang-kadang liar.

Di alam liar, kita melihat beberapa tanda awal kehidupan:

• Middleware yang mengabstraksi aliran OAuth dan juggling token sehingga agen tidak perlu beralasan tentang autentikasi sama sekali.
• Pialang identitas yang mengeluarkan kredensial sementara yang tercakup terkait dengan konteks real-time — tidak ada konfigurasi statis, tidak ada residu kredensial.
• Sistem kepercayaan sadar beban kerja yang memperlakukan infrastruktur sebagai akar identitas — mencetak akses di tepi eksekusi, bukan awal penerapan.

Polanya di sini bukanlah rotasi rahasia. Ini adalah penghindaran kredensial. Identitas sebagai komputasi, bukan konfigurasi.

Kebijakan, bukan lakban. Penalaran, bukan pencabutan.

Ini bukan hanya keamanan. Ini arsitektur.

Memecahkan identitas agen bukan hanya tindakan defensif. Ini adalah prasyarat untuk skala. Dilakukan dengan benar, agen Anda:

• Beroperasi dengan hak istimewa paling sedikit
• Tinggalkan jejak audit yang bersih
• Autentikasi di seluruh sistem tanpa skrip rapuh
• Gagal dengan anggun saat akses ditolak

Dan Anda mendapatkan:

• Lebih sedikit peringatan
• Kode lem lebih sedikit
• Kebijakan yang lebih konsisten
• Lebih sedikit tinjauan keamanan yang memblokir peluncuran

Ini adalah kebersihan arsitektur. Identitas menjadi kontrak antara AI dan infrastruktur.

Mempertikaikan Masa Depan

Agentic AI ada di sini (atau setidaknya, akan segera terjadi). Begitu juga kekacauan identitas yang terseret di belakang. Tapi kami pernah ke sini sebelumnya — dengan cloud, dengan kontainer, dengan layanan mikro. Pelajarannya sama: Anda tidak dapat melotip lakban melalui perubahan paradigma.

Gelombang infra berikutnya tidak akan tentang menyimpan lebih banyak rahasia. Ini akan tentang membutuhkan lebih sedikit dari mereka. Tentang sistem yang memahami Siapa bertanya, Mengapa, dan untuk Berapa lama.

Kerangka kerja kebijakan sebagai kode seperti Rego/OPA, Cedar (dari AWS), dan model seperti Zanzibar (dari Google) Mengisyaratkan apa yang mungkin terjadi ketika identitas diperlakukan sebagai konstruksi dinamis yang dapat dikueri, bukan blob izin statis. Meskipun mereka berbeda dalam pendekatan - Cedar berfokus pada penegakan kebijakan yang halus dan akses relasional pemodelan Zanzibar - keduanya mewakili pergeseran menuju identitas sebagai komputasi waktu nyata.

Jadi ya, bangun masa depan. Pastikan agen Anda tidak menghapusnya secara tidak sengaja.