エージェント AI の認証: マシン ID のファンハウス ミラー
マシンのアイデンティティからキーのスプロールまで: ラブストーリー
むかしむかし、マイクロサービスの台頭と 5 回目の CI/CD の書き換えの間のどこかで、私たちは人間以外のすべてのプロセスに独自の秘密が必要であると判断しました。それで私たちは義務を負いました。CI パイプライン、サーバーレス関数、ステージング環境、インターン生のテストスクリプトはすべて、トークン、API キー、OAuth フロー、YAML のねじれを取得しました。ハードコードされることもあります。時々注射されます。いつも少し大ざっぱです。
当然、エントロピーが引き継がれました。鍵が広がっていた。秘密が流出した。トークンの有効期限は静かに切れました。ブレイクグラスのアカウントが新しい常態になりました。Vault や AWS Secrets Manager などのシークレットマネージャーは良いスタートであり、動的シークレットや IAM 統合アクセス制御などの機能で大幅に成熟しました。しかし、多くの組織では、秘密をローテーションし、ローテーターをローテーションし、最終的にはローテーションスケジュールを管理する人を雇うという、認証情報の墓場のままです。それでも、先週、誰かが .env ファイルを GitHub にコミットしました。
クラウドベンダーは、ワークロードIDフェデレーション
エージェントの登場: ID サーフェスが 10 倍に増えました
これだけでは混沌としていないかのように、エージェント AI が登場します: LLM を活用したソフトウェア エンティティは、タスクを計画、推論、連鎖させ、API、SaaS ツール、クラウド、内部システム全体でますます即興で行うものです。すべては、テニスボール工場のゴールデンレトリバーの戦略的な衝動制御によるものです。
これらのエージェントは自律的に動作します。SharePoint から契約書を取得し、Box をスキャンし、Salesforce を更新し、Zoom 通話をスケジュールします。1つのチェーンで。5つのシステムにまたがる。日曜日に。このビジョンはほとんどの組織にとって依然として野心的なものですが、AutoGPT、Adept、CrewAI などのプロジェクトからの初期実装はその方向に向かっています。
各インタラクションにはアイデンティティが必要です。では、これらのエージェントに何を与えているのでしょうか?長寿命トークン?広範囲の API キー?誰かが2019年のOktaログイン?
エージェントはアイデンティティの表面を拡張するだけではありません。彼らはそれを形作り変えます。彼らはなりすまし、ドメインを横断し、何かを行うためにジャストインタイムアクセスを必要とします。 そうすれば、彼らが存在したことを忘れてください.IAMではなくなりました。OAuthを小道具クローゼットとした即興演劇です。
IAM ベンダーが静かにパニックに陥っている理由
従来のIAMおよびPAMソリューション
シークレットマネージャーは、ストレージには優れており、ポリシーの適用は向上しますが、AI エージェントが Salesforce の高権限 API を呼び出す必要があるかどうかについての動的な実行時の決定には設計されていません (削除を考える_ユーザ、リセット_請求_設定) 午前2時
また、Terraform、YAML、ACL、OAuthフローですべてを接続したとしても、エージェントがラインの外側に色を付けた瞬間に壊れる脆い仕掛けになってしまいます。
実際に何が難しいのかを話しましょう
これは、マシン認証の単なる再起動ではありません。難しい問題は非常に実践的です。
では、実際に何が機能するのでしょうか?
Venture Guides では、YAML ファイルに MFA をボルトで固定しても安全ではないため、秘密の保管庫や脆弱なサービス アカウントを超えるプリミティブを模索してきました。エージェントが自律的に動作する場合、エージェントのIDモデルも同様に動的である必要があります:一時的で、コンテキストに応じ、リアルタイムで管理されます。
有望なアプローチの 1 つは、ID をエージェントに渡される静的な BLOB としてではなく、その場でネゴシエートされるランタイム コントラクトとして再考することです。システムは、環境変数、シークレットストア、またはCIパイプラインの8番目のステップに事前に認証情報を挿入する代わりに、エージェントが何をしているか、どこで実行されているか、何に触れようとしているかに基づいて、スコープ付きの短命のアクセストークンを鋳造します。これは、CSV エクスポートではなく、ストリーミング API としての IAM のようなものだと考えてください。
このモデルでは、エージェントは長命の秘密を保持することはありません。実行時にアクセスを要求し、クラウド、オーケストレーターなどのインフラストラクチャが信頼できる情報源として機能します。エージェントがキーを知っているため、ID は付与されません。システムがエージェントを知っているために付与されます。
また、プロキシがエージェントとターゲット サービスの間に配置され、リアルタイム ブローカーとして機能するモデルも見られました。これらの付き添いは、その場でポリシーを適用し、インテントをログに記録し、アクセスを取り消すことができます。従来のAPIゲートウェイやサービスメッシュとは異なり、これらはTCPやJWTヘッダーだけでなく、IDと権限のレイヤーでスタックの上位で動作します。リクエストを転送することではありません。誰が尋ねることができるかをフィルタリングすることです。
そして、はい、サービスメッシュの世界は有用なインスピレーションを与えてくれます。SPIFFE/SPIRE、OPAを使用したEnvoy、ゼロトラストネットワーキングはすべて、何が可能かを示唆しています。しかし、多くの場合、均質な環境での東西の交通に焦点を当てます。エージェントシステムは、即興的で、境界を越え、時には野性的であるというその仮定を打ち破ります。
野生では、生命の初期の兆候がいくつか見られます。
ここでのパターンは秘密のローテーションではありません。それは資格情報の回避です。構成ではなく計算としての ID。
ガムテープではなくポリシー。取り消しではなく推論。
これはセキュリティだけではありません。それは建築です。
エージェントのアイデンティティを解決することは、単なる防御手段ではありません。これは規模の前提条件です。正しく行えば、エージェントは次のようになります。
そして、あなたは得ます:
それは建築衛生です。アイデンティティは、AIとインフラの間の契約になります。
未来との争い
エージェントAIが登場 (少なくとも、差し迫った).それが引きずり出すアイデンティティの混乱も同様です。しかし、私たちは以前にも、クラウド、コンテナ、マイクロサービスでここにいたことがあります。教訓は同じです:パラダイムシフトをガムテープで乗り越えることはできません。
インフラの次の波は、より多くの秘密を保存することではありません。それは、必要な数を減らすことです。理解するシステムについて 誰が と尋ねていますが、 なぜでしょうかで、 どれぐらいの時間ですか.
Rego/OPA、Cedar などのコードとしてのポリシーフレームワーク (AWSから)、およびザンジバルのようなモデル (Googleから) ID が静的なアクセス許可 BLOB ではなく、動的でクエリ可能な構造として扱われる場合に何が可能かをヒントにします。Cedar はきめ細かなポリシーの施行に焦点を当て、Zanzibar はリレーショナル アクセスをモデル化していますが、どちらもリアルタイム計算としての ID への移行を表しています。
そう、未来を築いてください。エージェントが誤って削除しないように注意してください。
Thanks for sharing, Nishkam. much opportunity out there for figuring out how to keep them in check!
"IAM wasn’t built for improv" is the line of the week. We’re seeing the same pain at the human access layer: long-lived tokens, default trust, static policies. And now we’re handing that same fragile stack to autonomous agents with root-level ambition. Context-aware, posture-aware, ephemeral access isn’t a nice-to-have anymore - it’s a prerequisite for surviving the next wave of identity chaos.
I believe arcade.dev is solving for this.
Well put, Nishkam
Our agent deletes prod clusters btw for our customers 🤣🤣🤣