Player Live
AO VIVO
11 de julho de 2026
Chaves de API compartilhadas expõem agentes de IA em 69% das empresas, segundo nova pesquisa da VentureBeat

Chaves de API compartilhadas expõem agentes de IA em 69% das empresas, segundo nova pesquisa da VentureBeat

Compartilhe uma chave de API entre cinco agentes de IA e um único agente comprometido herdará o alcance de todos os cinco. O invasor se beneficia imediatamente das permissões acumuladas de cada fluxo de trabalho tocado pela chave. A trilha forense esfria no nível de credencial porque cinco agentes em uma conta não deixam registro de qual agente fez o quê. Sessenta e nove por cento das empresas operam agentes com compartilhamento de credenciais em algum momento de suas implantações, de acordo com a onda Pulse Research de junho de 2026 da VentureBeat com 107 empresas. Esse número explica a onda de compras que está remodelando a segurança empresarial este ano. Palo Alto Networks, CrowdStrike e Cisco apostaram coletivamente mais de US$ 22 bilhões nisso no ano passado, visando exatamente a camada que a maioria das empresas nesta pesquisa ainda não terminou de construir. A Palo Alto Networks concluiu a aquisição da CyberArk em 11 de fevereiro por US$ 21,1 bilhões no valor total no fechamento – um acordo anunciado em julho passado por cerca de US$ 25 bilhões e o maior na história da empresa. A CrowdStrike fechou a aquisição da plataforma de autorização de tempo de execução SGNL por US$ 740 milhões e, em 15 de junho, entregou o primeiro produto do acordo, Continuous Identity for AI Agents. A CrowdStrike integrou o SGNL em menos de um ano, entregando um produto que valida cada ação do agente em tempo real com base em quem o possui, quem está ligando e na postura de risco do dispositivo. A Cisco anunciou sua intenção de adquirir a especialista em identidade não humana Astrix Security em 4 de maio por US$ 400 milhões. Para um diretor de segurança, esta pesquisa parece uma pergunta do conselho, e não uma linha de tendência. Também revela uma descoberta que nenhum dado da concorrência mostra, que expõe quais empresas estão em maior risco. Os dados abaixo são a primeira análise do relatório Q2 Agentic Security da VentureBeat, elaborado a partir de 107 entrevistados qualificados em organizações com mais de 100 funcionários. O relatório completo será divulgado aos participantes do VB Transform, evento em Menlo Park na próxima semana (14 a 15 de julho) com foco em agentes autônomos empresariais. Quarenta e cinco por cento são os tomadores de decisão finais para compras de IA. A amostra distorce o mercado intermediário, portanto, leia os números como a visão das organizações que estão adotando a segurança dos agentes agora, e não das maiores empresas. Mais da metade dos entrevistados, 54%, já teve um incidente ou quase incidente de segurança com um agente. Dezoito por cento confirmaram um incidente e trinta e seis por cento detectaram um quase acidente antes de uma violação. As equipes de segurança estão interrompendo a maioria desses eventos no último ponto de controle da cadeia, mas o restante dos dados mostra quão estreita é essa margem. Seus agentes estão compartilhando credenciais Apenas 32% das empresas dão a cada agente de IA a sua própria identidade gerida e com âmbito de aplicação. Quase metade (48%) relata que alguns agentes têm identidades definidas, enquanto muitos ainda compartilham credenciais. Outros 32% dizem que os agentes funcionam principalmente com chaves de API compartilhadas ou com credenciais humanas e de contas de serviço emprestadas. A pergunta da pesquisa permitiu mais de uma seleção, e 24 dos 107 entrevistados escolheram múltiplas opções — razão pela qual as três categorias somam 112%. Deduplicado pelo entrevistado, 74 organizações, ou 69%, sinalizaram o compartilhamento de credenciais em pelo menos uma resposta. Um número explica por que as aquisições visam esta camada. Uma credencial compartilhada converte um único agente comprometido em muitos, e a pesquisa da CyberArk coloca as identidades de máquinas em 82 para cada ser humano em organizações em todo o mundo, sendo os agentes a categoria de crescimento mais rápido na proporção. A Cisco fez o mesmo diagnóstico quando comprou a Astrix, cujos fundadores construíram a empresa em torno de chaves de API, contas de serviço e tokens OAuth. O anúncio da Cisco chama essas credenciais de que os agentes de IA estão agora “usando (e abusando)” para executar trabalho em escala. Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike, descreveu o mecanismo diretamente em uma entrevista ao VentureBeat. Alguns sistemas de IA têm as suas próprias identidades, disse ele, e noutros casos “as pessoas dão a sua identidade à IA para agir em seu nome, e isso também turva ainda mais a água e torna-a muito complexa”. A questão é a obscuridade, porque quando a identidade é compartilhada, a atribuição morre com ela. A exposição varia de acordo com o tamanho e a contenção não Quarenta e nove por cento das empresas impõem permissões com escopo definido em tempo de execução e 47% monitoram e registram a atividade do agente, o que pode ajudar a reduzir incidentes de segurança. Apenas 30% colocam em sandbox seus agentes de maior risco, o único controle que limita o raio de explosão quando os dois primeiros falham. O isolamento é o que impede que um único agente comprometido se torne um evento que abrange toda a implantação. As empresas financiaram a detecção e a resistência, mas a camada de contenção quase não existe. A descoberta mais precisa da pesquisa, e aquela que nenhum relatório do fornecedor captura, aparece quando você divide os resultados por tamanho da empresa. A taxa de incidentes é de 49% para empresas com 101 a 1.000 funcionários, mas sobe para 63% para empresas com mais de 1.000. O isolamento da sandbox caminha na direção oposta, caindo de 35% para 20% nas empresas maiores. O gráfico acima mostra a mesma conclusão com granularidade mais fina: a divisão 49%/63% acima é um corte binário de 1.000 funcionários, enquanto as barras aqui dividem a taxa de incidentes e a taxa de isolamento em quatro faixas de tamanho. A linha vermelha mede incidentes e quase acidentes, e a Marinha rastreia o único controle que contém danos depois que todo o resto

Leia Mais »