CEVIU Logo
Voltar
🤖CEVIU Segurança da Informação

O modelo de Zero Trust para agentes de IA da Anthropic estabelece o teste correto, mas o bearer token falha

Aprofundamento CEVIU

Aprofundamento

A Anthropic não está só lançando um whitepaper: está detonando uma bomba de tempo no modelo de autenticação que sustenta a maioria dos agentes de IA em produção hoje. Seu framework Zero Trust para Agentes, publicado em maio de 2026, não é teórico, ele foi desenhado para lidar com o fato de que vulnerabilidades em modelos avançados agora são exploradas em horas, não em meses. E Dick Hardt, coautor do OAuth 2.0 e JWT, não está criticando à distância: ele está construindo o substituto. O AAuth (Agent Auth) que ele lidera exige identidade criptográfica de primeira classe, cada requisição assinada por chave privada não exportável, eliminando bearer tokens da equação. Isso não é otimização. É reconhecimento de que um segredo roubado, mesmo com 5 minutos de vida, ainda é um vetor de ataque válido em sistemas autônomos.

O cerne do problema é estrutural: os agentes atuais operam com autorização 'por relação' (agente X ferramenta Y), não por intenção verificável. Um agente pode pedir acesso a um banco de dados e, se autorizado, executar qualquer query, sem restrição por chamada, sem degradação de privilégio na cadeia de delegação. Isso viola o princípio zero trust mais básico: não confiar, sempre verificar, e verificar *o que* está sendo feito, não apenas *quem* está pedindo.

Por que isso importa

Empresas já estão implantando agentes para acessar ERP, CRM e bases de dados sensíveis. Se um desses agentes for comprometido, ou se seu token for exfiltrado durante uma falha de log ou memória, não há barreira técnica real entre o token roubado e a execução de comandos maliciosos. A recomendação de Hardt não é acadêmica: proof-of-possession via DPoP (RFC 9449) já está em uso em ambientes financeiros regulados e pode ser integrada hoje em APIs críticas. A urgência aumenta com a exigência federal norte-americana de adoção plena de Zero Trust até 2027, e com a Gartner prevendo que 40% dos aplicativos empresariais terão agentes embutidos ainda este ano.

Linha do tempo

  1. NIST lança Iniciativa de Padrões de Agentes de IA

  2. Anthropic lança Project Glasswing com parceiros de nuvem

  3. Anthropic publica whitepaper Zero Trust para Agentes de IA

  4. Análise de Dick Hardt mostra falha crítica em bearer tokens para agentes

Perguntas frequentes

Por que um bearer token de curta duração ainda é perigoso para agentes de IA?

Porque agentes operam em escala e velocidade extremas. Um token roubado pode ser usado milhares de vezes em segundos, e sua validade curta não impede a exfiltração inicial. Mais grave: bearer tokens não provam quem fez a requisição, só que alguém tem o segredo. Em sistemas autônomos, isso equivale a entregar uma chave mestra com cronômetro.

O que é 'prova de posse' (proof-of-possession) e como ela resolve isso?

É um mecanismo que exige que o cliente prove, a cada requisição, que possui uma chave privada correspondente ao token, geralmente via assinatura digital. Diferente do bearer token, ele não pode ser reutilizado por um atacante que o interceptou. O DPoP (RFC 9449) é a implementação padrão atual, compatível com OAuth 2.0 e pronta para uso em APIs.

O que significa 'autoridade derivada que diminui com a delegação'?

Quando um agente A delega tarefa a um agente B, B não herda todos os privilégios de A. Sua autoridade é limitada àquela única ação, com escopo restrito (ex: ler um arquivo específico, não todo o bucket S3) e com tempo de vida vinculado à execução. É o oposto do modelo atual, onde tokens concedem acesso amplo e estático.

Esse framework da Anthropic já está sendo adotado por governos ou empresas?

Sim. O NIST lançou em fevereiro de 2026 a Iniciativa de Padrões de Agentes de IA, diretamente inspirada no trabalho da Anthropic. Além disso, o Project Glasswing, iniciativa de segurança da Anthropic com AWS, Google, Microsoft e Apple, já escaneou mais de 10.000 bases de código em busca de falhas, usando justamente princípios de verificação contínua e privilégio mínimo.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
15 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser