Compartilhe uma chave de API entre cinco agentes de IA e um único agente comprometido herdará o alcance de todos os cinco. O invasor se beneficia imediatamente das permissões acumuladas de cada fluxo de trabalho tocado pela chave. A trilha forense esfria no nível de credencial porque cinco agentes em uma conta não deixam registro de qual agente fez o quê.
Sessenta e nove por cento das empresas operam agentes com compartilhamento de credenciais em algum momento de suas implantações, de acordo com a onda Pulse Research de junho de 2026 da VentureBeat com 107 empresas.
Esse número explica a onda de compras que está remodelando a segurança empresarial este ano. Palo Alto Networks, CrowdStrike e Cisco apostaram coletivamente mais de US$ 22 bilhões nisso no ano passado, visando exatamente a camada que a maioria das empresas nesta pesquisa ainda não terminou de construir.
A Palo Alto Networks concluiu a aquisição da CyberArk em 11 de fevereiro por US$ 21,1 bilhões no valor total no fechamento – um acordo anunciado em julho passado por cerca de US$ 25 bilhões e o maior na história da empresa.
A CrowdStrike fechou a aquisição da plataforma de autorização de tempo de execução SGNL por US$ 740 milhões e, em 15 de junho, entregou o primeiro produto do acordo, Continuous Identity for AI Agents. A CrowdStrike integrou o SGNL em menos de um ano, entregando um produto que valida cada ação do agente em tempo real com base em quem o possui, quem está ligando e na postura de risco do dispositivo.
A Cisco anunciou sua intenção de adquirir a especialista em identidade não humana Astrix Security em 4 de maio por US$ 400 milhões.
Para um diretor de segurança, esta pesquisa parece uma pergunta do conselho, e não uma linha de tendência. Também revela uma descoberta que nenhum dado da concorrência mostra, que expõe quais empresas estão em maior risco.
Os dados abaixo são a primeira análise do relatório Q2 Agentic Security da VentureBeat, elaborado a partir de 107 entrevistados qualificados em organizações com mais de 100 funcionários. O relatório completo será divulgado aos participantes do VB Transform, evento em Menlo Park na próxima semana (14 a 15 de julho) com foco em agentes autônomos empresariais.
Quarenta e cinco por cento são os tomadores de decisão finais para compras de IA. A amostra distorce o mercado intermediário, portanto, leia os números como a visão das organizações que estão adotando a segurança dos agentes agora, e não das maiores empresas.
Mais da metade dos entrevistados, 54%, já teve um incidente ou quase incidente de segurança com um agente. Dezoito por cento confirmaram um incidente e trinta e seis por cento detectaram um quase acidente antes de uma violação. As equipes de segurança estão interrompendo a maioria desses eventos no último ponto de controle da cadeia, mas o restante dos dados mostra quão estreita é essa margem.
Seus agentes estão compartilhando credenciais
Apenas 32% das empresas dão a cada agente de IA a sua própria identidade gerida e com âmbito de aplicação. Quase metade (48%) relata que alguns agentes têm identidades definidas, enquanto muitos ainda compartilham credenciais. Outros 32% dizem que os agentes funcionam principalmente com chaves de API compartilhadas ou com credenciais humanas e de contas de serviço emprestadas. A pergunta da pesquisa permitiu mais de uma seleção, e 24 dos 107 entrevistados escolheram múltiplas opções — razão pela qual as três categorias somam 112%. Deduplicado pelo entrevistado, 74 organizações, ou 69%, sinalizaram o compartilhamento de credenciais em pelo menos uma resposta.
Um número explica por que as aquisições visam esta camada. Uma credencial compartilhada converte um único agente comprometido em muitos, e a pesquisa da CyberArk coloca as identidades de máquinas em 82 para cada ser humano em organizações em todo o mundo, sendo os agentes a categoria de crescimento mais rápido na proporção. A Cisco fez o mesmo diagnóstico quando comprou a Astrix, cujos fundadores construíram a empresa em torno de chaves de API, contas de serviço e tokens OAuth. O anúncio da Cisco chama essas credenciais de que os agentes de IA estão agora “usando (e abusando)” para executar trabalho em escala.
Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike, descreveu o mecanismo diretamente em uma entrevista ao VentureBeat. Alguns sistemas de IA têm as suas próprias identidades, disse ele, e noutros casos “as pessoas dão a sua identidade à IA para agir em seu nome, e isso também turva ainda mais a água e torna-a muito complexa”. A questão é a obscuridade, porque quando a identidade é compartilhada, a atribuição morre com ela.
A exposição varia de acordo com o tamanho e a contenção não
Quarenta e nove por cento das empresas impõem permissões com escopo definido em tempo de execução e 47% monitoram e registram a atividade do agente, o que pode ajudar a reduzir incidentes de segurança. Apenas 30% colocam em sandbox seus agentes de maior risco, o único controle que limita o raio de explosão quando os dois primeiros falham. O isolamento é o que impede que um único agente comprometido se torne um evento que abrange toda a implantação. As empresas financiaram a detecção e a resistência, mas a camada de contenção quase não existe.
A descoberta mais precisa da pesquisa, e aquela que nenhum relatório do fornecedor captura, aparece quando você divide os resultados por tamanho da empresa. A taxa de incidentes é de 49% para empresas com 101 a 1.000 funcionários, mas sobe para 63% para empresas com mais de 1.000. O isolamento da sandbox caminha na direção oposta, caindo de 35% para 20% nas empresas maiores.
O gráfico acima mostra a mesma conclusão com granularidade mais fina: a divisão 49%/63% acima é um corte binário de 1.000 funcionários, enquanto as barras aqui dividem a taxa de incidentes e a taxa de isolamento em quatro faixas de tamanho. A linha vermelha mede incidentes e quase acidentes, e a Marinha rastreia o único controle que contém danos depois que todo o resto falha. Em organizações com 101 a 250 funcionários, os dois estão separados por 7 pontos, mas acima de 5.000, a diferença aumenta para 60 pontos. Essa faixa superior reúne os dois grupos de maior tamanho da pesquisa e contém apenas 15 entrevistados, portanto, trate o número como direcional. As empresas maiores executam mais agentes em mais sistemas, o que aumenta os incidentes, enquanto o sandbox, o projeto de engenharia que os conteria, fica sem financiamento. As empresas com mais agentes têm menos isolamento ao seu redor.
Os negócios visam exatamente essas contas. Palo Alto Networks, Cisco e CrowdStrike vendem primeiro para grandes empresas, onde as taxas de incidentes são mais altas e a contenção é menor.
Guardado por quem enviou o modelo
Os provedores de modelo são a camada de segurança. As proteções integradas da OpenAI lideram com 51%. O Google Cloud atinge 36%, o Purview e o Copilot Studio DLP do Microsoft Azure 35% e o agente gerenciado da Anthropic controla 29%. Oitenta e dois por cento dos entrevistados nomearam um controle nativo do provedor ou hiperescalador como sua única camada de segurança de agente principal.
Os especialistas específicos estão em um dígito, com Prisma AIRS da Palo Alto Networks com 7%, CrowdStrike com 6% e Okta para agentes de IA com 4%. Zenity e as plataformas dedicadas de identidade não humana estão com 3% cada. O Microsoft Entra Agent ID é o controle específico de identidade de maior penetração no conjunto de dados, com 13%, o único de um hiperescalador, e ainda está fora dos quatro primeiros. Apenas 5% das empresas não possuem nenhuma ferramenta de agente dedicada, e o restante possui ferramentas pré-instaladas.
Os controles incluídos são líderes porque são fornecidos gratuitamente e são ativados por padrão. A maioria filtra prompts e saídas, mas eles não fornecem a um agente sua própria identidade nem a colocam em sandbox. Os hiperscaladores vendem produtos de camada de identidade, e o Entra Agent ID está no conjunto de dados com 13%, mas a adoção permanece baixa. Os dois controles que mais recompensam os dados de incidentes, identidade com escopo e isolamento, são os dois que a pilha padrão não inclui.
Os filtros de prompt e saída avaliam se uma chamada parece maliciosa. Esse é um problema de intenção, e a intenção não pode ser resolvida na camada da linguagem. O CTO da CrowdStrike, Elia Zaitsev, traçou o limite em uma entrevista no RSAC 2026. "Observar as ações cinéticas reais é um problema estruturado e solucionável," Zaitsev disse. "A intenção não é." O sensor Falcon da CrowdStrike percorre a árvore de processos em um endpoint e rastreia o que os agentes fizeram, não o que os agentes pareciam pretender. Uma identidade com escopo e um limite de isolamento fornecem ao sensor algo para rastrear, enquanto uma credencial compartilhada em um guardrail agrupado não.
A segurança na nuvem passou pelo mesmo ciclo há uma década, e Palo Alto Networks, CrowdStrike e Wiz construíram negócios multibilionários com base nas lacunas que os controles nativos da nuvem deixaram em aberto. A segurança do agente está rastreando o mesmo caminho com mais rapidez. Um balde de armazenamento mal configurado ficou aberto até que um humano percebeu. Um agente mal configurado explora seu próprio excesso de permissão em cada execução, e nenhum humano fica observando quando isso acontece. Merritt Baer, diretor de segurança da Enkrypt AI e ex-vice-CISO da AWS, disse ao VentureBeat que a camada padrão é mais fina do que as empresas supõem. "As empresas acreditam que “aprovaram” os fornecedores de IA, mas o que na verdade aprovaram foi uma interface, não o sistema subjacente." Baer disse. "As dependências reais são uma ou duas camadas mais profundas e são aquelas que falham sob estresse."
Confortável, não convencido e já fazendo compras
Aqui está a contradição que vale um slide de abertura. As empresas avaliam suas ferramentas de segurança de agentes em 4,2 de 5, com relação custo-benefício em 4,1 e facilidade de implementação em 3,9. Essas pontuações deixariam a maioria dos fornecedores de SaaS com inveja.
Apenas 35% acreditam que as suas defesas habilitadas para IA estão à frente dos atacantes habilitados para IA, enquanto 32% consideram que estão praticamente empatadas. Vinte e um por cento dizem que os atacantes lideram e outros 21% dizem que é demasiado cedo para dizer, mostrando como as empresas confiam mais nas suas ferramentas do que nos seus resultados.
Os orçamentos confirmam isso. Quarenta e seis por cento alocam de 6 a 10% do orçamento de segurança para a segurança dos agentes e um terço gasta 5% ou menos. Metade da amostra já teve um incidente ou quase acidente, mas o financiamento não corresponde à exposição.
Cinquenta e nove por cento planejam adotar, adicionar ou substituir ferramentas de segurança de agentes dentro de 12 meses, e vinte e nove por cento planejam mudar neste trimestre. OpenAI lidera os juros futuros com 34%, seguido pelo Google com 30%, Anthropic com 29% e Azure com 25%. Os fornecedores dedicados atraem mais interesse no futuro do que sugere sua atual pegada de um dígito. Clientes satisfeitos não embaralham tão rápido, a menos que saibam que a pilha que estão usando atualmente é provisória.
Três movimentos para diretores de segurança
1. Faça um inventário das credenciais de cada agente neste trimestre. Mapeie quais agentes compartilham credenciais com outros agentes e quais são executados com identidades humanas ou de contas de serviço emprestadas. O objetivo não é uma credencial por agente. Os agentes que interagem com vários sistemas precisam de múltiplas identidades com escopo. O objetivo é zero credenciais compartilhadas entre agentes e zero identidades humanas emprestadas. Treze por cento das empresas pesquisadas já executam o Microsoft Entra Agent ID. Okta para agentes de IA e especialistas em identidade não humana vendem equivalentes. Credenciais compartilhadas e emprestadas são a primeira coisa a eliminar.
2. Coloque primeiro os agentes mais arriscados. O isolamento é o controle menos adotado com 30% e o único que contém raio de explosão após falha na prevenção. Classifique os agentes pela sensibilidade daquilo que tocam e isole o topo da lista. Acima de 1.000 funcionários, onde o isolamento cai para 20%, este é o movimento de maior retorno no conjunto de dados. O sandboxing não requer a substituição do agente ou da plataforma. Requer uma decisão política e uma camada de isolamento.
3. Combine o orçamento com a taxa de incidentes. Um terço das empresas financia a segurança dos agentes em 5% ou menos do orçamento de segurança, embora mais de metade já tenha sofrido um incidente ou quase acidente. Nove por cento alocam mais de 25% hoje. O relatório completo detalha a exposição e a contenção por tamanho da empresa, mostrando quais faixas apresentam maior risco e menor proteção.
A pergunta do conselho é mais simples. Se um de nossos agentes de IA foi comprometido esta tarde, quais sistemas ele tocou e quais credenciais ele possuía? Para 69% das empresas que executam agentes com credenciais compartilhadas, a resposta é encolher os ombros. A trilha esfria na chave.
O relatório completo do Q2 Agentic Security, com a matriz completa de fornecedores, cortes do setor e o conjunto de dados completo por trás desses gráficos, será lançado nos dias 14 e 15 de julho no VB Transform, realizado no Hotel Nia em Menlo Park. A questão em aberto é se as empresas colmatam a lacuna de segurança dos agentes nos seus próprios termos ou se uma violação confirmada a fecha para elas.
Fonte ==> Cyberseo