← Tornar a tots els articles
Reptes

(1/3) Ja no hi ha ningú al teclat

Per Marc Molas·21 de juny del 2026·9 min de lectura

Fa dies que rumio molt sobre la identitat —personal i pública, humana i sintètica— i no he publicat res per poder reservar-me temps. M'he ficat de ple en un tema, llegint especificacions i esborranys de protocols, perquè crec que està a punt de convertir-se en un dels problemes estructurals del nostre camp i gairebé ningú fora d'un grapat de gent molt sènior no l'està explicant, al meu parer, de manera clara i entenedora.

El problema és aquest: tots els sistemes d'identitat que hem construït les últimes tres dècades donen per fet que hi ha una persona davant del teclat. Algú inicia sessió. Algú obre una pantalla de consentiment. Algú prem «accepta» i, després, se'l pot considerar responsable del que passi a continuació. L'autenticació respon a qui ets, l'autorització a què pots fer, i el registre d'auditoria a qui ho ha fet. Les tres descansen en la mateixa premissa: que darrere de cada acció hi ha algú. Els usuaris que quedaven fora d'aquest «algú» els hem anat cobrint amb comptes de servei, artefactes diversos i sistemes de permisos.

Els agents trenquen aquesta premissa i barregen les accions dels comptes de servei amb les dels usuaris reals.

Els enginyers de sistemes, entre altres coses, gestionem l'IAM, la resposta a incidents i els guardrails que s'interposen entre un servei i allò que té permís per cridar-lo. Així que quan dic que el model actual no dona l'abast per cobrir els agents autònoms, no estic fent cap predicció. Dic que he anat a mirar per on es veu la costura, i el model ja s'està descosint.

Un agent actua amb les teves credencials

Comencem pel cas més senzill, perquè ja és a producció a tot arreu. Dones a un assistent accés a la teva safata d'entrada, al teu calendari, al teu repositori. Per sota, reutilitza els teus tokens, les teves cookies, la teva sessió. Per a qualsevol servei aigües avall, l'agent ets tu. Un grup de treball de l'OpenID Foundation ho explica amb claredat en un paper que enllaço al peu del post: els agents «sovint actuen de manera indistingible dels usuaris, i creen buits de responsabilitat i riscos de seguretat».

És el problema del confused deputy, però ara el delegat discorre, decideix i continua funcionant durant hores després que t'hagis aixecat de la cadira. Un client tradicional actua sobre «entrades d'usuari estructurades i sense ambigüitat» —un clic en un botó, l'enviament d'un formulari, una concessió d'intenció clara i auditable—. Un agent interpreta instruccions sense estructura, un fil de correu reenviat, una captura de pantalla, i decideix què fer en temps d'inferència. El senyal de consentiment explícit i llegible per màquina sobre el qual es va construir tot el món d'OAuth ha desaparegut. El que queda és programari actuant amb tota la teva autoritat però sense el teu criteri, i un registre que no us sap distingir l'un de l'altre.

Qualsevol pot llançar un client anònim

Una capa més avall, mires com obtenen els agents la seva identitat de bon principi, i el problema encara és més preocupant. El Model Context Protocol —l'estàndard de connexió sobre el qual ha convergit la major part del tooling d'agents— es va recolzar en Dynamic Client Registration per no tenir fricció: qualsevol client es pot registrar en un servidor i obtenir credencials, sense paperassa. Còmode, i un forat de seguretat pel qual hi cap un regiment. Com ho descriu el paper d'OpenID, «un endpoint de registre públic i sense autenticar permet crear clients sense cap vincle amb un desenvolupador real… una absència total de rastre documental», obert a «l'abús de l'endpoint (p. ex., DoS per registre massiu)».

La població d'agents està explotant, i bona part és anònima per construcció. No hi ha cap part responsable a l'altre costat de la credencial. Quan un d'aquests clients fa una cosa que no hauria, no pots estirar el fil per exigir comptes a ningú. Els autors d'OpenID ho bategen: «un forat negre per a la rendició de comptes i l'anàlisi forense». Aquesta frase se m'ha quedat ficada al cap, perquè he buscat en logs així. Existeix l'esdeveniment però no trobes l'actor.

La delegació es trenca tan bon punt creix més enllà de l'organització tancada

Dins d'una sola empresa, no gaire gran, un equip de plataforma competent pot apedaçar i salvar bona part d'aquests problemes. Dona a l'agent una identitat de workload, passa'l pel IdP corporatiu, acota'n els permisos, i, amb un únic domini de confiança, funciones raonablement bé. Vull ser equànime amb això: les peces bàsiques —OAuth 2.1, PKCE, tokens de vida curta i abast limitat— són sòlides, i per a un agent que crida eines internes són, de moment, suficients.

La costura s'esquinça tan bon punt un agent creua una frontera organitzativa. Un agent financer que estira del teu banc, d'una API de dades de mercat i d'una agència de crèdit opera en tres dominis de confiança diferents, i cap proveïdor d'identitat no és la font de veritat per als tres. Els marcs d'identitat de workload com SPIFFE/SPIRE es basen en el control d'una infraestructura compartida i, en paraules del paper, «no s'estenen de manera natural entre organitzacions». La delegació de debò necessita que el token d'accés porti dues identitats diferents —la persona que ha delegat i l'agent que actua— i que l'abast s'atenuï a cada salt quan un agent subdelega en un altre. La delegació recursiva entre empreses, amb el rastre d'auditoria intacte de punta a punta, està majoritàriament sense resoldre. I l'economia oberta d'agents entre organitzacions cap a la qual tothom corre viu sencera a l'altra banda d'aquest problemàs.

Mil avisos d'aprovació equivalen a cap aprovació

La solució actual a aquest altre problema és el man-in-the-loop: que l'agent pregunti. Però aquesta solució no sobreviu a escala. Un sol agent de màrqueting optimitzant un pressupost pot disparar centenars d'accions discretes en segons; una sola persona pot tenir al darrere desenes d'agents prenent milers de decisions al dia. La EU AI Act, amb raó, exigeix «supervisió efectiva» per als sistemes d'alt risc. Però demanar a un humà que aprovi cada acció autònoma produeix el que el paper anomena fatiga de consentiment: «una allau inabastable de sol·licituds de permís» que «redueix paradoxalment la seguretat», perquè una persona que prem «accepta» quatre-centes vegades al dia no exerceix cap criteri. Estampa un segell sense mirar, i a un atacant n'hi ha prou que en segelli un un sol cop.

La supervisió que no escala no és supervisió. És teatre, amb un mode de fallada pitjor que no tenir-ne cap, perquè sembla control sense ser-ho.

Revocar un agent encara és un problema en gran part sense resoldre

Suposem ara que ha passat el pitjor: un agent està compromès, o simplement es porta malament. El vols fora. Si som honestos, hem de dir que el 2026 això encara no se'ns dona gaire bé. Els autors d'OpenID anomenen la revocació «un problema crític, i en gran part sense resoldre», i amb els agents s'aguditza, perquè una sola identitat compromesa pot «desencadenar una fallada en cascada per tot un ecosistema de subagents» en els quals ja havia delegat. Revocar un token portador no arriba al fons d'una cadena d'autoritat que ja s'ha anat traspassant.

I la revocació només és el fre d'emergència. El requisit més profund és el desaprovisionament: esborrar de manera permanent la identitat d'un agent i cada permís que va acumular, a tots els sistemes que va tocar, prou de pressa perquè una credencial compromesa i latent no es pugui reactivar més tard. Un agent opera a velocitat de màquina amb l'autoritat delegada d'un humà i un radi d'impacte enormement amplificat. La capacitat de fer-lo desaparèixer, de manera verificable i a tot arreu, no és una comoditat operativa. És una condició prèvia per deixar-los funcionar, ni que sigui.

O tens responsabilitat o tens privacitat, tria

He deixat per al final el més dur, perquè és el nus gordià del qual penja tota la resta.

La llista de pains que he definit ens empeny cap a algunes possibles solucions: per fer responsable un agent, lliga-li una identitat real i coneguda. Vincula cada acció de l'agent a una persona amb nom i el forat negre es tanca. Però fes-ho i hauràs construït una altra cosa: un sistema on cada agent que qualsevol executa queda lligat per sempre a la seva identitat real, on la traçabilitat que vas afegir per auditar «habilita un rastreig entre dominis» i permet a qualsevol compondre «perfils de comportament exhaustius i potencialment sensibles» del que fan els agents de la gent tot el dia. Vas resoldre la responsabilitat eliminant la privacitat.

Això es presenta, gairebé a tot arreu, com un dilema tancat. O els agents són anònims i irresponsables, o són responsables i estem tots vigilats. El paper d'OpenID és molt honest quan admet que potser hi ha una tercera porta —tècniques de divulgació selectiva, «proves de coneixement zero i credencials anònimes», que deixen un agent demostrar una afirmació concreta sense revelar qui hi ha al darrere—, però és igual d'honest quan reconeix que «integrar aquestes tècniques amb els estàndards d'identitat i els requisits regulatoris existents continua sent un repte considerable». Camí assenyalat. Carretera encara per pavimentar.

Agafem una mica de distància d'aquests 6 pains i veurem que comparteixen un mateix origen. Suplantació, clients anònims, delegació que es trenca en creuar fronteres, fatiga de consentiment, agents que no pots revocar netament i responsabilitat que et costa la privacitat: no són sis problemes separats. Són símptomes d'una garantia absent: la que darrere de cada acció hi ha una persona concreta i responsable que pots trobar. L'autenticació, l'autorització i el registre d'auditoria es van construir tots sobre aquesta garantia. Els agents ens estan traient la capacitat de reconèixer amb claredat qui té l'autoritat.

Un agent pot ser autònom —aquesta és bona part de la gràcia—, però la responsabilitat s'ha de mantenir d'alguna manera. Un agent no és una persona jurídica: no el pots demandar, ni multar, ni asseure'l a preguntar-li què pensava. Així que per moltes capes de delegació que s'apilin pel mig, la responsabilitat ha d'acabar reposant en un humà real i exigible que va decidir desplegar-lo. De això va tot el problema d'aquesta sèrie: de com fer que aquest vincle —una acció es remunta a una persona responsable— sigui demostrable davant de qui ho necessiti comprovar, sense exposar la persona davant de tots els qui no. Un agent que no es remunta a ningú no és autonomia. És risc sense amo, corrent a velocitat de màquina: tots els d'aigües avall el pateixen, i a ningú se li pot exigir que respongui.

Cap on va això

Res d'això és ciència-ficció ni queda lluny. L'escala i la velocitat ens forcen a una resposta urgent. Mentre els autors del paper d'OpenID descriuen el futur com «un món poblat per milions d'actors no humans», les projeccions situen el nombre d'agents desplegats en ordres de magnitud per sobre del d'usuaris humans, en qüestió de pocs mesos. Estem a punt de desplegar una població d'actors autònoms més gran que la humana, sobre una estructura d'identitat que dona per fet que cadascun d'ells és una persona capaç de prémer un botó.

Cartografiant el terreny al voltant del problema de la identitat sintètica, vaig trobar un document molt interessant, que he citat diverses vegades en aquest post. El pròxim post d'aquesta sèrie n'és una lectura atenta: Identity Management for Agentic AI, de l'OpenID Foundation, l'estudi més sòlid sobre el tema que he pogut llegir d'aquests problemes, inclosos els que admet que ningú no ha resolt. Després, esbossaré com atacaria jo aquests nusos gordians —responsabilitat i privacitat alhora—, perquè aquests dies no només he estat llegint.

Si estàs construint sistemes agèntics, vaig escriure un post sobre el que un agent té permès fer un cop saps qui hi ha al darrere: governança verificable per a la IA agèntica, a principis d'any. La identitat és la pregunta de qui; aquella és la pregunta de què. Necessites totes dues. I anem curts de totes dues.

Articles Relacionats

Els modes de fallada de la IA ja són una prioritat de primer ordre: un playbook de defenses d'enginyeriaReptes

Els modes de fallada de la IA ja són una prioritat de primer ordre: un playbook de defenses d'enginyeria

Al·lucinacions, excés de confiança, atacs adversaris a nivell de prompt, deepfakes, biaix, opacitat. L'informe 2026 de Stanford els tracta com a trets de la IA actual, no com a bugs. Les defenses d'enginyeria són concretes — i la majoria d'equips no les estan construint.

28 d’abril del 2026·9 min de lectura
Agents d'IA el 2026: MCP, els límits de la memòria i el mur de la interoperabilitatReptes

Agents d'IA el 2026: MCP, els límits de la memòria i el mur de la interoperabilitat

L'informe 2026 de Stanford posa nom als quatre límits que frenen els agents en producció: memòria, fiabilitat, interoperabilitat i eficiència. MCP n'està resolent un. Els altres tres encara són cosa teva.

26 d’abril del 2026·9 min de lectura
Reducció de complexitat, acceptació i què vol dir «consciència» en els sistemes d'IAReptes

Reducció de complexitat, acceptació i què vol dir «consciència» en els sistemes d'IA

Una teoria de la consciència entesa com a reducció de complexitat acceptada, i per què és un marc útil per als enginyers d'IA que discuteixen què poden i què no poden fer els sistemes actuals. La perspectiva CRPBCE i les seves implicacions d'enginyeria.

20 d’abril del 2026·10 min de lectura

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.

Començar →