← Tornar a tots els articles
Reptes

(3/3) Com donaria a cada agent d'IA una identitat responsable i privada

Per Marc Molas·25 de juny del 2026·8 min de lectura

Els dos primers posts d'aquesta sèrie acabaven en el mateix nus. Els agents trenquen el stack d'identitat perquè ja no hi ha cap humà al teclat, i la millor recerca sobre el problema anomena la part més dura i la deixa oberta: per fer responsable un agent li adjuntes una identitat real, i en el moment que ho fas has construït vigilància. Responsabilitat o privacitat. Tria'n una.

No crec que això sigui una llei de la natura. Crec que hem estat agafant el problema pel costat equivocat. Amb aquest post vull donar-te una idea d'alt nivell de com el giraria del dret, i un esbós —també d'alt nivell— de l'enfocament cap al qual fa dies que construeixo de debò.

Vull ser honest d'entrada sobre què és això, perquè la retòrica en aquest terreny s'escalfa de pressa. És un concepte en què confio, no una cosa acabada. Hi ha parts que toquen terreny regulat —custodiar diners en nom d'algú altre no és res que es despatxi amb un gest de mà— i aniré assenyalant els límits sobre la marxa, no al final. La credibilitat en identitat no es guanya amb afirmacions buides.

L'error és, ja d'entrada, adjuntar la identitat a l'agent

Aquest és el moviment que fa tothom, perquè és l'obvi. Tens un agent. El vols responsable. Així que lligues una identitat real i coneguda a l'agent — cada acció que fa es remunta a un humà amb nom. El forat negre es tanca. I en tancar-lo crees un vincle permanent i consultable entre una persona i tot el que fa la seva flota d'agents, tot el dia, a cada servei. Vas resoldre la responsabilitat gastant privacitat, i la vas gastar per agent, per sempre.

Ara inverteix-ho. Fes la verificació una sola vegada, sobre l'humà — i deixa que només el fet d'aquella verificació flueixi cap a cada agent que desplegui, mai la identitat que hi ha al darrere.

En el KYC clàssic, t'identifiques davant de la part amb qui tractes. En la versió invertida, un humà fa KYC una vegada amb un emissor, i després encunya tantes credencials d'agent com vulgui —una per agent—, cadascuna capaç de demostrar una afirmació i res més: «M'opera un humà real, verificat per KYC, exigible, amb grau de verificació ≥ G, actuant dins de l'abast S, i no estic revocat.» No quin humà. Només que n'hi ha un, que és real i respon, i que està al darrere d'aquest agent. L'agent demostra que té algú que l'avala. No demostra mai identitat, perquè no la té mai.

El coneixement zero és la frontissa que el paper assenyalava

Aquesta és exactament la porta que el paper d'OpenID va marcar i no va travessar: divulgació selectiva amb proves de coneixement zero i credencials anònimes, «un camí endavant». Tot l'enfocament viu o mor a fer-ho concret.

L'agent presenta una prova criptogràfica curta que respon només els predicats que una contrapart necessita de debò —avalat per un humà: sí; verificat amb grau A2 o superior: sí; autoritzat a iniciar pagaments: sí; actiu i no revocat: sí— i no revela res més. Cap nom. Cap document. Cap enllaç entre dos agents que opera la mateixa persona, de manera que una contrapart no pot correlacionar en silenci tota una flota fins a recompondre'n un perfil. La verificació que l'humà va fer una vegada és reutilitzable per tots els seus agents i, alhora, il·legible per a tots els serveis amb qui aquests agents parlen.

Tres propietats fan que això s'aguanti, i les tractaria com a invariants — les coses que no tens permès trencar mai per comoditat:

  • L'aval és demostrable; la identitat no. Un verificador pot confirmar que un humà real i exigible està al darrere de l'agent, i no pot arribar a saber qui.
  • Els agents d'un mateix operador són no enllaçables. Les persones amb qui tracten no poden lligar entre si dos agents del mateix principal.
  • L'únic fil de tornada cap a la persona viu en dipòsit en garantia, obrible només sota el degut procés. Ni en un token, ni en un cable, ni en un log que una bretxa pugui bolcar.

Una responsabilitat que pots cobrar, no només demostrar

Demostrar que existeix un humà exigible és necessari i, tot sol, no n'hi ha prou per al comerç real. Ho vaig aprendre mirant com es resolen de debò les disputes: una contrapart perjudicada no vol un nom mesos després d'un plet transfronterer. Vol els seus diners de tornada, ràpid. Una responsabilitat que és demostrable però no cobrable no desbloqueja res de valor.

Així que l'aval ha d'estar finançat. Al costat de la prova d'humà-verificat, un agent pot portar la prova que al darrere hi ha una quantitat real i acotada de compensació disponible — capital que el principal ha dipositat, demostrable com un tram acotat («com a mínim això és recuperable») sense exposar mai el saldo exacte ni el compte. Aquesta és la versió finançada per endavant i respectuosa amb la privacitat d'allò cap a què el mercat ja tempteja amb els tokens de pagament de «Know Your Agent» — amb la diferència que aquí els diners són reals i l'humà continua sense quedar exposat.

Això converteix la responsabilitat en una escala en lloc d'un únic precipici. La majoria de disputes es resolen al primer esglaó: una reclamació fonamentada es paga amb la compensació dipositada sota un procés publicat, es carrega al principal i se li notifica, i no es revela cap identitat a ningú. Només els casos genuïns d'últim recurs —dany per sobre dels fons dipositats, presumpte frau, requeriment legal— escalen fins a desemmascarar de debò l'humà, sota el degut procés. La responsabilitat finançada acaba protegint més la persona, no menys, perquè resol els casos ordinaris amb diners en lloc de fer-ho amb un nom.

Seré clar amb les arestes dures d'això, perquè és la part regulada. Custodiar fons d'altres persones implica un custodi amb llicència i avalat, comptes segregats, comprovacions antiblanqueig sobre l'origen dels fons, i un tractament honest de la reversibilitat — els diners dipositats amb un instrument de pagament quotidià es poden reclamar de tornada durant mesos, així que la compensació que avalen no es pot tractar com a definitiva des del primer dia. Qualsevol via de baixa fricció per donar d'alta un humà de pressa és, per definició, de baixa garantia, i s'ha de graduar com a tal en lloc de disfressar-la de més. Res d'això és motiu per no construir-ho. És el motiu pel qual s'ha de construir amb cura, amb el marc legal al costat del protocol i no arrossegant-se al darrere.

Només funciona si ningú no és l'amo de l'arrel

Hi ha una restricció del segon post amb la qual no transigiré, perquè descarta els diners fàcils: no s'ha de convertir en un jardí tancat. La versió ben capitalitzada d'aquesta idea és un servei centralitzat d'identitat d'agents que llogues a un únic proveïdor, i per a una economia d'agents oberta i entre organitzacions això és inviable de sortida. Una contrapart en una altra empresa, sobre un altre stack, ha de poder verificar la prova sense trucar a l'API privada de l'emissor i sense confiar que una corporació no extregui renda, no censuri ni pateixi una bretxa.

Això empeny l'àncora de confiança cap a una arrel neutral de la qual cap actor sigui l'amo — un lloc on un verificador pugui comprovar, contra l'estat actual de l'emissor, que una credencial és real i no està revocada, sense cap visibilitat de qui hi ha al darrere. Una arrel neutral compra, a més, dues coses que el paper marcava com a sense resoldre: revocació ràpida i global —un senyal d'estat refrescat sovint perquè una credencial anul·lada deixi de verificar en segons, a tot arreu— i un kill-switch per agent, de manera que un agent compromès es pugui deixar caure sense tombar el principal ni els seus germans.

La propietat que fa que això escali és gairebé avorrida, i és la que més importa: un agent no és res més que un altre portador de credencials. No hi ha cap registre per agent assegut en algun repositori central a l'espera de ser enumerat, vulnerat o inflat. La capa de confiança guarda un grapat d'arrels d'estat dels emissors, refrescades amb cadència curta; els agents —i els diners que hi ha al darrere— viuen a un costat, demostrats contra aquelles arrels, mai inscrits en elles. Això és el que permet que el disseny s'estiri fins a una població d'agents més gran que la humana sense l'explosió d'estat que mata qualsevol enfocament de «registra cada agent centralment».

El fil conductor

Treu la criptografia i la restricció és simple, i és la mateixa que rondo des del primer post: l'agent és autònom, però la responsabilitat no ho pot ser. Al darrere de cada flota hi ha un humà real i exigible, i tot el joc consisteix a demostrar aquest fet a qui ho necessiti mentre no exposes la persona davant de ningú. Verifica l'humà una vegada. Deixa que la responsabilitat —finançada, revocable i privada— viatgi cap a tot el que desplegui. Manté l'únic fil de tornada cap a la seva identitat tancat darrere del degut procés, on una bretxa no el pugui arribar i un comercial no el pugui comprar.

He emmarcat tota aquesta sèrie al voltant de la necessitat tècnica a posta, perquè la necessitat és real tant si la meva resposta concreta és l'encertada com si no, i prefereixo que jutgis el problema abans d'ensenyar-te l'eina. Aquesta part ve a continuació, fora d'aquesta sèrie: he estat construint això, no només esbossant-ho, i ben aviat t'ensenyaré quina pinta té de debò.

Si ara mateix t'estàs barallant amb la identitat o la responsabilitat dels agents dins dels teus propis sistemes i vols un segon parell d'ulls de gent que construeix això per guanyar-se la vida, parla amb un CTO. El mapa és difícil. Ho és molt menys acompanyat.

Articles Relacionats

(2/3) El millor mapa que tenim del problema de la identitat agènticaReptes

(2/3) El millor mapa que tenim del problema de la identitat agèntica

El document Identity Management for Agentic AI de l'OpenID Foundation és l'estudi més honest sobre identitat d'agents que he llegit: clar sobre el que ja funciona, i encara més clar sobre el que ningú no ha resolt. Una lectura atenta des de la cadira de qui construeix.

23 de juny del 2026·9 min de lectura
(1/3) Ja no hi ha ningú al teclatReptes

(1/3) Ja no hi ha ningú al teclat

Tots els sistemes d'identitat que hem construït les últimes tres dècades donen per fet que hi ha una persona que inicia sessió, veu una pantalla de consentiment i prem «accepta». Els agents trenquen aquest supòsit el primer dia, i s'enduen tot el model de responsabilitat.

21 de juny del 2026·9 min de lectura
Agents d'IA el 2026: MCP, els límits de la memòria i el mur de la interoperabilitatReptes

Agents d'IA el 2026: MCP, els límits de la memòria i el mur de la interoperabilitat

L'informe 2026 de Stanford posa nom als quatre límits que frenen els agents en producció: memòria, fiabilitat, interoperabilitat i eficiència. MCP n'està resolent un. Els altres tres encara són cosa teva.

26 d’abril del 2026·9 min de lectura

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.

Començar →