← Tornar a tots els articles
Reptes

(2/3) El millor mapa que tenim del problema de la identitat agèntica

Per Marc Molas·23 de juny del 2026·9 min de lectura

Al primer post d'aquesta sèrie vaig exposar per què la IA agèntica trenca el stack d'identitat: tots els sistemes que hem construït donen per fet que hi ha una persona al teclat, i els agents s'enduen aquest supòsit el primer dia. Vaig prometre el mapa més clar que pogués trobar del terreny. Aquest és aquell mapa.

La major part del contingut sobre «identitat en IA» que circula ara mateix és un proveïdor explicant per què la resposta és justament allò que ell ven. Això n'és el contrari, i per això me'n refio. Identity Management for Agentic AI es va preparar per a l'OpenID Foundation, amb Tobin South com a editor principal, redactat al llarg del 2025 amb l'AI Identity Management Community Group i la Loyal Agents Initiative de Stanford, i revisat per una banqueta llarga d'enginyers d'identitat. És l'estudi d'un cos d'estàndards, no un argumentari de venda. Et diu què funciona ja, què està emergint i —la part poc habitual— què encara no ha resolt ningú. L'he treballat a fons. Això és el que se m'ha quedat.

El stack d'avui funciona — dins d'una empresa, per a un agent que espera

El paper es parteix net en dos: solucions immediates per als agents que despleguem avui, i els problemes de futur per als agents que estem a punt de desplegar. El veredicte honest sobre la primera meitat cap en una sola frase, i jo emmarcaria tot el camp al seu voltant:

«Els agents i els patrons d'autenticació i autorització actuals poden funcionar per a agents síncrons que fan servir múltiples eines dins d'un únic domini de confiança, però no per a contextos asíncrons o de múltiples dominis.»

Llegeix-ho dues vegades. Dins d'una sola empresa, per a un agent que actua mentre esperes, els fonaments aguanten. OAuth 2.1 amb PKCE assegura el flux. Externalitzes la decisió cap a un proveïdor d'identitat o un punt de decisió de polítiques en lloc de codificar-la a pèl — la separació entre Policy Enforcement Point i Policy Decision Point que el NIST va deixar per escrit fa una dècada. Gestiones el cicle de vida de l'agent amb la mateixa maquinària que fas servir per als empleats: SSO per iniciar sessió, i SCIM per aprovisionar i, crític, per desaprovisionar. El paper assenyala feina experimental per donar a SCIM un tipus de recurs AgenticIdentity de primera classe, de manera que un agent passi a ser una entitat gestionada amb propietaris i pertinences a grups en lloc d'una clau d'API òrfena. Res d'això és exòtic. Un equip de plataforma competent ho pot construir ara.

Ara bé, dues condicions sostenen tota aquesta imatge: síncron i domini de confiança únic. Trenca'n qualsevol de les dues i ets a la segona meitat del paper, on els problemes resolts s'esgoten.

Anomenar els problemes futurs amb precisió

Anomena un problema amb precisió i ja en tens mig camí cap a la solució — i aquest paper, com la meva pròpia feina, no defuig les parts difícils. Les enumera, amb la franquesa de qui de debò ha provat de construir això.

Així doncs, comencem per la pregunta més bàsica — què és, exactament, la identitat d'un agent? El paper desplega quatre models arquitectònics: el compte de servei millorat (una identitat de workload enriquida amb metadades agent_model, agent_version — probablement el patró empresarial a curt termini); la subidentitat d'usuari delegat (una identitat derivada de la sessió de l'usuari i lligada a aquesta, el flux real de «en nom de»); la confiança federada (un teixit interoperable entre dominis, construït sobre quelcom com OpenID Federation); i la identitat sobirana i portable (cada agent amb les seves pròpies claus i un identificador globalment únic, mitjançant esquemes com els DID). Propostes com OpenID Connect for Agents proven d'estandarditzar els claims d'identitat de sota. Encara no podem coronar cap guanyador — has d'aprendre el terreny abans de poder-te'n obrir camí.

Delegació, no suplantació: aquesta és la columna vertebral

Si hagués de comprimir l'argument del paper en un sol moviment, seria aquest: deixa que els agents deixin de suplantar els usuaris, i comença a deixar-los portar autoritat delegada. Avui un agent actua amb les teves credencials i el registre d'auditoria no us sap distingir — el forat negre que vaig descriure la vegada passada. La solució és un flux real de «en nom de» on el token d'accés porta dues identitats diferents: l'usuari que ha delegat (al claim sub) i l'agent que actua (al claim act). Un únic vincle net i auditable des del primer pas.

La potència, i la dificultat, apareix amb la delegació recursiva — un agent passant una subtasca, i una llesca de la seva autoritat, a un altre. Com una nina russa, diu el paper, i ho diu com a advertència. Un servidor de recursos al final d'una cadena de cinc salts ha de verificar criptogràficament tot el camí de tornada fins a l'humà original, no només l'últim agent que l'ha cridat. Això exigeix atenuació de l'abast: estrènyer de manera demostrable el permís a cada pas. El paper és refrescantment concret sobre les opcions — OAuth 2.0 Token Exchange per a muntatges centralitzats en estrella, i tokens de capacitat com Biscuits i Macaroons per als descentralitzats, on qui porta el token en pot encunyar una versió més restringida fora de línia, amb l'autoritat incrustada a la mateixa credencial sota un model d'object-capability. Aquesta és la part que la majoria de sistemes d'agents en producció el 2026 fan malament. Executen cada agent al mateix nivell d'autorització amb totes les eines, i en diuen frontera d'un system prompt.

I el problema que ho enfosqueix tot: la revocació, que els autors anomenen sense embuts «un problema crític, i en gran part sense resoldre». Els tokens atenuats fora de línia l'empitjoren — revoca el pare i no hi ha cap manera neta d'arribar als fills ja delegats aigües avall. Les respostes que emergeixen són honestes però parcials: el Shared Signals Framework per propagar els esdeveniments de revocació gairebé en temps real, i el gest pragmàtic d'acotar una credencial per nombre d'execucions, de manera que una revocació endarrerida encara posi sostre al mal.

La governança ha de passar dels clics al codi

Al primer post d'aquesta sèrie vaig argumentar que la supervisió humana en el bucle (human-in-the-loop) col·lapsa a escala en fatiga de consentiment. La resposta del paper és la que jo donaria, i és estructural. La fatiga de consentiment no es resol demanant a la gent que pari més atenció. Es treu la governança del clic i es posa al codi.

Tres patrons que desplega, en sofisticació creixent. Política com a codi: un administrador defineix una sola vegada l'envolupant operatiu de l'agent —límits de pressupost, nivells de dades, velocitat de crides— i el sistema el fa complir de manera programàtica. Autorització basada en intenció: l'usuari aprova una intenció d'alt nivell en llenguatge natural («reserva'm el viatge per al congrés»), i el sistema la compila en un paquet de permisos de mínim privilegi. Autorització dinàmica basada en risc: les accions rutinàries passen automàticament, i només una petició anòmala dispara una aprovació humana fora de banda mitjançant CIBA. La idea que ho connecta tot és híbrida — fer servir el model per traduir la intenció humana difusa en una política formal i llegible per màquina, i després deixar que el sistema determinista mantingui la línia encara que l'agent llegeixi malament la instrucció. L'humà aprova quelcom intuïtiu; el runtime fa complir quelcom exacte. En aquella escletxa, entre l'intuïtiu i l'exacte, és on viu de debò la seguretat.

I després hi ha els diners

La secció que no m'esperava que fos la més aclaridora és l'econòmica. La utilitat real d'un agent apareix quan pot transaccionar —comprar dades, pagar una API, tancar una compra— i tot el model de seguretat del comerç electrònic dona per fet que hi ha un humà present al punt de venda. Treu l'humà i necessites vies noves.

El paper cartografia tres capes que ja s'estan formant. FAPI, el perfil d'alta seguretat de l'OpenID Foundation, endureix OAuth per a accions financeres irreversibles amb tokens lligats a l'emissor. L'Agent Payments Protocol de Google introdueix el Mandate — un artefacte d'intenció signat criptogràficament, partit en un Intent Mandate («això és el que vaig autoritzar») i un Cart Mandate («aquesta és la compra concreta que ho complia»), de manera que existeix un rastre d'auditoria no repudiable per a una transacció autònoma. I KYAPay proposa un procés de «Know Your Agent» que, en paraules del paper, estén «la verificació d'identitat tradicional KYC/KYB al mateix agent», emetent un token que aplega identitat verificada amb informació de pagament. Atura't en aquesta expressió — Know Your Agent. El mercat ja allarga la mà cap a una rendició de comptes amb forma de KYC per als agents. Només que encara no ho ha fet d'una manera que protegeixi l'humà que hi ha al darrere de l'agent. Guarda't aquest pensament.

L'únic nus que el paper deixa obert

Amb tot el seu abast, el document torna una vegada i una altra a una sola tensió que és massa honest per resoldre, i és la mateixa que fa una setmana que rumio.

«La mateixa traçabilitat que cal per a les auditories habilita un rastreig entre dominis que pot crear perfils de comportament exhaustius i potencialment sensibles. Els mecanismes de divulgació selectiva —que aprofiten tècniques criptogràfiques com les proves de coneixement zero i les credencials anònimes— ofereixen un camí endavant… però integrar aquestes tècniques amb els estàndards d'identitat i els requisits regulatoris existents continua sent un repte considerable.»

Hi torna a ser, dit per qui més bé ho sap. Per fer responsable un agent li adjuntes identitat; adjunta-li identitat i hauràs construït vigilància. Les proves de coneixement zero i les credencials anònimes s'assenyalen com el camí a través del mur —demostrar «hi ha un humà real i exigible al meu darrere» sense revelar quin humà— i tot seguit s'assenyalen, amb la mateixa claredat, com encara no integrades amb els estàndards i els reguladors que les farien reals.

La conclusió mateixa del paper emmarca la feina d'aquesta dècada com tres desplaçaments: delegació de debò per sobre de la suplantació, governança escalable per sobre de la fatiga de consentiment, i confiança interoperable per sobre dels silos propietaris. Hi afegiria la línia que els autors deixen anar gairebé de passada, perquè és la restricció que descarta les respostes mandroses: passi el que passi, allò que construïm «no s'ha de convertir en un jardí tancat». El moviment ben finançat aquí és un servei centralitzat d'identitat d'agents que llogues. El paper, amb raó, diu que l'economia oberta d'agents no pot funcionar amb el permís d'una sola empresa.

Així que aquest és el mapa: els fonaments són reals, els problemes de futur estan anomenats amb una honestedat crua, i el més dur de tots —responsabilitat i privacitat alhora, sense cap porter central— queda com un repte obert amb una direcció criptogràfica i cap carretera construïda.

He estat construint la carretera. Al tercer i últim post esbossaré, a alt nivell, com desfaria aquest nus obert — com un agent pot demostrar que hi ha un humà real, exigible i verificat al seu darrere sense que ningú arribi mai a saber qui. No com un repàs de les idees dels altres, aquesta vegada. Com l'enfocament al qual dedico les nits — i que persegueixo des del 2014, quan vaig començar a construir amb identitats digitals.

Font: OpenID Foundation, Identity Management for Agentic AI (editor principal Tobin South, amb l'AI Identity Management Community Group i la Loyal Agents Initiative de Stanford), octubre del 2025. Tot el text entre cometes prové del paper.

Articles Relacionats

(3/3) Com donaria a cada agent d'IA una identitat responsable i privadaReptes

(3/3) Com donaria a cada agent d'IA una identitat responsable i privada

Tot el camp tracta la responsabilitat i la privacitat dels agents com una disjuntiva: identifiques l'agent i vigiles l'humà, o et quedes en l'anonimat i sense ningú que respongui. Crec que estem agafant el problema pel costat equivocat. Aquesta és la inversió.

25 de juny del 2026·8 min de lectura
(1/3) Ja no hi ha ningú al teclatReptes

(1/3) Ja no hi ha ningú al teclat

Tots els sistemes d'identitat que hem construït les últimes tres dècades donen per fet que hi ha una persona que inicia sessió, veu una pantalla de consentiment i prem «accepta». Els agents trenquen aquest supòsit el primer dia, i s'enduen tot el model de responsabilitat.

21 de juny del 2026·9 min de lectura
Agents d'IA el 2026: MCP, els límits de la memòria i el mur de la interoperabilitatReptes

Agents d'IA el 2026: MCP, els límits de la memòria i el mur de la interoperabilitat

L'informe 2026 de Stanford posa nom als quatre límits que frenen els agents en producció: memòria, fiabilitat, interoperabilitat i eficiència. MCP n'està resolent un. Els altres tres encara són cosa teva.

26 d’abril del 2026·9 min de lectura

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.

Començar →