1Password: IA é tanto ameaça quanto ferramenta para segurança de dados

IA: aliada e inimiga na segurança de senhas

A 1Password, uma das principais empresas de gestão de senhas do mundo, encara a inteligência artificial não apenas como uma ferramenta inovadora, mas também como um risco crescente para a segurança de dados. Segundo Nancy Wang, diretora de tecnologia da empresa, a avaliação dos impactos da IA vai além de uma análise técnica — é como lançar um dado de 20 lados.

A IA pode otimizar processos, como a detecção de vulnerabilidades em códigos, mas também facilita a criação de aplicativos mal estruturados que expõem senhas. Além disso, agentes de IA podem cometer erros em larga escala devido a alucinações ou ataques de injeção de prompts, agindo de forma semelhante a um humano distraído, mas em velocidade e escala muito maiores.

«Você precisa começar ajudando seus clientes a entender o alcance do problema e como ele está disseminado em seus ecossistemas.»
— Nancy Wang, CTO da 1Password

Estratégia para prevenir erros com IA

A 1Password desenvolveu uma abordagem proativa para evitar que clientes corporativos caiam em armadilhas relacionadas à IA. A empresa utiliza um agente local para auditar o uso de modelos de IA e identificar riscos que os gestores de segurança devem conhecer.

«Ei, Sra. CISO, você sabia que seus desenvolvedores estão usando o modelo DeepSeek em um ramo do código?» — comenta Wang, referindo-se ao LLM chinês criticado por seus riscos de segurança. Segundo ela, após a identificação, a empresa orientou os desenvolvedores sobre as melhores práticas de segurança.

O agente local da 1Password também verifica atualizações de software e sinais de integridade do dispositivo, ajudando a identificar falhas na gestão de senhas. «Quando descobrimos credenciais não protegidas e não criptografadas no disco, movemos essas credenciais para nosso cofre seguro e criptografado», explica Wang.

Proteção contra vazamentos de senhas

A 1Password adota criptografia de ponta a ponta para todas as credenciais salvas, garantindo que nem mesmo a empresa consiga acessar as senhas armazenadas. Wang destaca que o software é projetado para que agentes de IA não consigam visualizar o texto puro das senhas, mesmo durante o preenchimento automático em sites.

As empresas também podem exigir que funcionários instalem o agente Device Trust da 1Password em dispositivos pessoais, reduzindo uma das principais vias de ataque. No entanto, a adesão pode ser irregular, assim como o uso de contas familiares da 1Password, incluídas em planos corporativos, mas muitas vezes negligenciadas pelos funcionários.

Monitoramento de agentes de IA para evitar falhas

Agentes de IA podem automatizar tarefas rotineiras, mas, devido à sua natureza não determinística, exigem monitoramento constante para garantir que permaneçam focados. Wang vê nisso uma «oportunidade de ouro» para a 1Password aprender em escala com base no comportamento dos agentes.

«Qual foi o prompt? O que o agente fez com ele? Qual foi o resultado da saída?» — questiona Wang. Os arquivos de log gerados serão usados como mecanismo de aprendizado para o agente e o modelo, aprimorando sua segurança ao longo do tempo.

Em fevereiro, a 1Password anunciou o SCAM Index (Security Comprehension and Awareness Measure), um benchmark para avaliar o comportamento de agentes de IA e sua conformidade com práticas de segurança.