0
0
Keycard: 2026 is the Year of Agents
Keycard: 2026 is the Year of Agents
Summary & Insights

Imagine a company implementing an AI agent to let employees query business data, only to discover that asking “give me my data” could return another firm’s confidential information. This isn’t a theoretical risk but an actual security incident, highlighting the core identity crisis at the heart of the emerging “year of the agent.” As enterprises rush to deploy AI agents beyond simple co-pilots, the conversation reveals that the most significant hurdles aren’t just about making agents smarter, but about securely managing what they can access and do on our behalf.

The discussion frames the evolution of AI assistance as a continuum, from level zero deterministic software to level five fully autonomous agents. We are currently moving past co-pilots—essentially advanced autocomplete—into a realm where agents can perform multi-step tasks with minimal human oversight, like shopping for jeans within a budget. This shift introduces profound security complexities because the classic model of static user permissions completely breaks down. An agent acting on a user’s behalf needs dynamic, contextual access to tools and data, creating a scenario where access control must be understood as a matrix, not a linear path, and must be enforceable by the owners of the downstream resources.

This leads to the pressing need for a new paradigm in identity and authorization, often called “intent-based” or “task-based” policy. The goal is to move from a world where “Joel is a partner, therefore he always has access to X,” to one where “Joel’s agent is tasked with analyzing Y and Z company financials, so it gets ephemeral access only to that specific data for this task.” Standards like MCP (Model Context Protocol) and A2A (Agent to Agent) are emerging to help agents discover and use tools, but they currently lack the robust identity and governance layer required for safe enterprise deployment. The solution lies in a hybrid system that pairs deterministic policy enforcement with the non-deterministic reasoning of the agent itself, ensuring humans retain ultimate oversight and a clear audit trail.

Contrary to previous technology waves, enterprises are poised to adopt agents at scale before consumers. The driving force is a top-level business imperative for operational efficiency and earnings growth, coupled with the fact that data and cloud infrastructure are already in place. Security teams, therefore, find themselves in an enabling role rather than a gatekeeping one, tasked with finding ways to deploy agents safely amidst what one expert calls “shadow IT on steroids.” The future infrastructure will likely involve federated systems where users grant conditional, runtime consent to agents, and resource owners enforce adaptive policies, creating a web of accountability for this new agentic workforce.

Surprising Insights

  • The “Identity Crisis” for Agents: A core challenge is that an AI agent is not simply an extension of a single user. Agents like ChatGPT are inherently multi-tenant, used by many people, which introduces complex, contextual access problems that static user permissions cannot solve.
  • Enterprises Lead, Not Consumers: In a reversal from trends like social media or smartphones, business adoption of AI agents is predicted to outpace consumer adoption due to direct translation to profitability, pre-existing cloud data, and overwhelming executive pressure for operational efficiency.
  • The New “Secret Sprawl”: The adoption of protocols like MCP, while useful for connecting agents to tools, has inadvertently created a massive security risk. Many companies now have production credentials and admin access embedded in locally running MCP servers with no central control or governance.
  • Access Control as a Dynamic Matrix: Security for agents requires abandoning the static model of user-group-resource permissions. Effective control must be a dynamic, ephemeral matrix based on the user’s specific intent, the agent’s task, and the context, enforced at the moment of access.
  • The Empire of “No” is Over: For Chief Information Security Officers (CISOs), the cloud era ended the ability to simply veto new technologies. The AI agent wave intensifies this; security’s role is now exclusively about enabling business-critical adoption safely, as saying “no” is not a viable option.

Practical Takeaways

  • Implement Intent-Based Access Controls: Begin designing authorization systems that grant permissions based on the specific task an agent is performing, not just the static identity of the user who launched it. Think in terms of short-lived, scoped access for discrete workflows.
  • Govern Your MCP Servers: If using the Model Context Protocol (MCP), immediately audit and centralize control over MCP servers to manage the “secret sprawl on steroids.” Ensure they do not hold broad production credentials and that their access is tightly scoped and monitored.
  • Demand Deterministic Guardrails: When building or buying agent tools, require deterministic policy enforcement points—clear rules about what the agent can and cannot do—that operate separately from the agent’s non-deterministic reasoning, creating a reliable safety box.
  • Plan for a Human Oversight Layer: Design agent interactions with a “Waymo driver” model in mind. Even for advanced agents, maintain clear human-in-the-loop controls for critical actions (like large purchases) and provide users with a dashboard to monitor and revoke agent activity.
  • Adopt a Federated Identity Mindset: Prepare for a future where your company’s agents, tools, and data will interact with external agents and services. Invest in understanding and implementing open standards for agent identity and authorization to ensure interoperability and security.

Imagine una empresa que implementa un agente de IA para permitir que los empleados consulten datos del negocio, solo para descubrir que pedir “dame mis datos” podría devolver información confidencial de otra firma. Esto no es un riesgo teórico, sino un incidente de seguridad real, que pone de relieve la crisis de identidad central en el corazón del emergente “año del agente”. A medida que las empresas se apresuran a desplegar agentes de IA más allá de simples copilotos, la conversación revela que los obstáculos más importantes no consisten solo en hacer a los agentes más inteligentes, sino en gestionar de forma segura a qué pueden acceder y qué pueden hacer en nuestro nombre.


La discusión enmarca la evolución de la asistencia de IA como un continuo, desde el software determinista de nivel cero hasta los agentes totalmente autónomos de nivel cinco. Actualmente estamos dejando atrás a los copilotos —esencialmente un autocompletado avanzado— para entrar en un ámbito en el que los agentes pueden realizar tareas de varios pasos con una supervisión humana mínima, como comprar unos jeans dentro de un presupuesto. Este cambio introduce profundas complejidades de seguridad porque el modelo clásico de permisos estáticos de usuario se desmorona por completo. Un agente que actúa en nombre de un usuario necesita acceso dinámico y contextual a herramientas y datos, lo que crea un escenario en el que el control de acceso debe entenderse como una matriz, no como una ruta lineal, y debe poder ser aplicado por los propietarios de los recursos de destino.


Esto conduce a la necesidad urgente de un nuevo paradigma en identidad y autorización, a menudo denominado política “basada en la intención” o “basada en tareas”. El objetivo es pasar de un mundo en el que “Joel es socio, por lo tanto siempre tiene acceso a X”, a otro en el que “el agente de Joel tiene la tarea de analizar los datos financieros de las empresas Y y Z, por lo que obtiene acceso efímero únicamente a esos datos específicos para esta tarea”. Estándares como MCP (Model Context Protocol) y A2A (Agent to Agent) están surgiendo para ayudar a los agentes a descubrir y utilizar herramientas, pero actualmente carecen de la sólida capa de identidad y gobernanza requerida para un despliegue empresarial seguro. La solución reside en un sistema híbrido que combine la aplicación determinista de políticas con el razonamiento no determinista del propio agente, garantizando que los humanos conserven la supervisión final y una trazabilidad clara de auditoría.


Contrariamente a olas tecnológicas anteriores, las empresas están preparadas para adoptar agentes a gran escala antes que los consumidores. La fuerza impulsora es un imperativo empresarial de alto nivel orientado a la eficiencia operativa y al crecimiento de las ganancias, junto con el hecho de que los datos y la infraestructura en la nube ya están disponibles. Por tanto, los equipos de seguridad se encuentran en un rol habilitador en lugar de uno de control o bloqueo, encargados de encontrar maneras de desplegar agentes de forma segura en medio de lo que un experto llama “shadow IT con esteroides”. Es probable que la infraestructura del futuro implique sistemas federados en los que los usuarios otorguen a los agentes un consentimiento condicional en tiempo de ejecución, y los propietarios de los recursos apliquen políticas adaptativas, creando una red de responsabilidad para esta nueva fuerza laboral de agentes.


Ideas sorprendentes



  • La “crisis de identidad” de los agentes: Un desafío central es que un agente de IA no es simplemente una extensión de un único usuario. Agentes como ChatGPT son inherentemente multiinquilino, usados por muchas personas, lo que introduce problemas complejos y contextuales de acceso que los permisos estáticos de usuario no pueden resolver.

  • Las empresas lideran, no los consumidores: En un giro respecto de tendencias como las redes sociales o los teléfonos inteligentes, se prevé que la adopción empresarial de agentes de IA supere a la adopción por parte de los consumidores debido a su traducción directa en rentabilidad, a la existencia previa de datos en la nube y a la abrumadora presión ejecutiva por la eficiencia operativa.

  • La nueva “proliferación de secretos”: La adopción de protocolos como MCP, aunque útil para conectar agentes con herramientas, ha creado inadvertidamente un enorme riesgo de seguridad. Muchas empresas ahora tienen credenciales de producción y accesos administrativos incrustados en servidores MCP que se ejecutan localmente, sin control ni gobernanza centralizados.

  • El control de acceso como matriz dinámica: La seguridad para agentes exige abandonar el modelo estático de permisos usuario-grupo-recurso. Un control eficaz debe ser una matriz dinámica y efímera basada en la intención específica del usuario, la tarea del agente y el contexto, aplicada en el momento del acceso.

  • El imperio del “no” ha terminado: Para los directores de seguridad de la información (CISO), la era de la nube acabó con la posibilidad de simplemente vetar nuevas tecnologías. La ola de agentes de IA intensifica esto; el papel de seguridad ahora consiste exclusivamente en habilitar de forma segura una adopción crítica para el negocio, ya que decir “no” no es una opción viable.


Conclusiones prácticas



  • Implemente controles de acceso basados en la intención: Comience a diseñar sistemas de autorización que otorguen permisos según la tarea específica que está realizando un agente, no solo según la identidad estática del usuario que lo lanzó. Piense en términos de acceso acotado y de corta duración para flujos de trabajo discretos.

  • Gobierne sus servidores MCP: Si utiliza el Model Context Protocol (MCP), audite de inmediato y centralice el control sobre los servidores MCP para gestionar la “proliferación de secretos con esteroides”. Asegúrese de que no contengan credenciales amplias de producción y de que su acceso esté estrictamente delimitado y supervisado.

  • Exija barreras de protección deterministas: Al crear o adquirir herramientas de agentes, requiera puntos de aplicación de políticas deterministas —reglas claras sobre lo que el agente puede y no puede hacer— que operen por separado del razonamiento no determinista del agente, creando una caja de seguridad confiable.

  • Planifique una capa de supervisión humana: Diseñe las interacciones con agentes con un modelo de “conductor de Waymo” en mente. Incluso para agentes avanzados, mantenga controles claros de intervención humana para acciones críticas (como compras grandes) y proporcione a los usuarios un panel para supervisar y revocar la actividad del agente.

  • Adopte una mentalidad de identidad federada: Prepárese para un futuro en el que los agentes, herramientas y datos de su empresa interactúen con agentes y servicios externos.


Invierta en comprender e implementar estándares abiertos para la identidad y autorización de agentes, con el fin de garantizar la interoperabilidad y la seguridad.

Imagine uma empresa implementando um agente de IA para permitir que funcionários consultem dados do negócio, apenas para descobrir que pedir “me dê meus dados” poderia retornar informações confidenciais de outra empresa. Isso não é um risco teórico, mas um incidente de segurança real, destacando a crise central de identidade no cerne do emergente “ano do agente”. À medida que as empresas correm para implantar agentes de IA além de simples copilotos, a discussão revela que os obstáculos mais significativos não dizem respeito apenas a tornar os agentes mais inteligentes, mas a gerenciar com segurança o que eles podem acessar e fazer em nosso nome.


A discussão enquadra a evolução da assistência por IA como um continuum, do software determinístico de nível zero aos agentes totalmente autônomos de nível cinco. Atualmente, estamos indo além dos copilotos — essencialmente um autocompletar avançado — para entrar em um campo no qual agentes podem executar tarefas de múltiplas etapas com supervisão humana mínima, como comprar uma calça jeans dentro de um orçamento. Essa mudança introduz profundas complexidades de segurança, porque o modelo clássico de permissões estáticas de usuário simplesmente deixa de funcionar. Um agente agindo em nome de um usuário precisa de acesso dinâmico e contextual a ferramentas e dados, criando um cenário em que o controle de acesso deve ser entendido como uma matriz, e não como um caminho linear, além de precisar ser aplicável pelos proprietários dos recursos de destino.


Isso leva à necessidade urgente de um novo paradigma de identidade e autorização, frequentemente chamado de política “baseada em intenção” ou “baseada em tarefa”. O objetivo é sair de um mundo em que “Joel é sócio, portanto sempre tem acesso a X” para outro em que “o agente de Joel está encarregado de analisar os dados financeiros das empresas Y e Z, portanto recebe acesso efêmero apenas a esses dados específicos para essa tarefa”. Padrões como MCP (Model Context Protocol) e A2A (Agent to Agent) estão surgindo para ajudar agentes a descobrir e usar ferramentas, mas atualmente carecem da camada robusta de identidade e governança necessária para uma implantação empresarial segura. A solução está em um sistema híbrido que combine a aplicação determinística de políticas com o raciocínio não determinístico do próprio agente, garantindo que os humanos mantenham a supervisão final e uma trilha de auditoria clara.


Ao contrário de ondas tecnológicas anteriores, as empresas estão prestes a adotar agentes em escala antes dos consumidores. A força motriz é um imperativo de negócios de alto nível por eficiência operacional e crescimento dos lucros, aliado ao fato de que os dados e a infraestrutura em nuvem já estão disponíveis. As equipes de segurança, portanto, se veem em um papel de viabilização, e não de bloqueio, encarregadas de encontrar formas de implantar agentes com segurança em meio ao que um especialista chama de “shadow IT turbinado”. A infraestrutura do futuro provavelmente envolverá sistemas federados nos quais usuários concedem consentimento condicional, em tempo de execução, aos agentes, e os proprietários dos recursos aplicam políticas adaptativas, criando uma rede de responsabilização para essa nova força de trabalho baseada em agentes.


Percepções Surpreendentes



  • A “Crise de Identidade” dos Agentes: Um desafio central é que um agente de IA não é simplesmente uma extensão de um único usuário. Agentes como o ChatGPT são inerentemente multilocatários, usados por muitas pessoas, o que introduz problemas complexos e contextuais de acesso que permissões estáticas de usuário não conseguem resolver.

  • As Empresas Lideram, Não os Consumidores: Em uma inversão de tendências como redes sociais ou smartphones, prevê-se que a adoção empresarial de agentes de IA ultrapasse a adoção pelos consumidores devido à sua tradução direta em rentabilidade, aos dados em nuvem já existentes e à enorme pressão executiva por eficiência operacional.

  • A Nova “Proliferação de Segredos”: A adoção de protocolos como MCP, embora útil para conectar agentes a ferramentas, criou inadvertidamente um enorme risco de segurança. Muitas empresas agora têm credenciais de produção e acesso administrativo embutidos em servidores MCP executados localmente, sem controle central ou governança.

  • Controle de Acesso como uma Matriz Dinâmica: A segurança para agentes exige abandonar o modelo estático de permissões entre usuário, grupo e recurso. Um controle eficaz precisa ser uma matriz dinâmica e efêmera baseada na intenção específica do usuário, na tarefa do agente e no contexto, aplicada no momento do acesso.

  • O Império do “Não” Acabou: Para os Chief Information Security Officers (CISOs), a era da nuvem encerrou a possibilidade de simplesmente vetar novas tecnologias. A onda dos agentes de IA intensifica isso; o papel da segurança agora é exclusivamente viabilizar, com segurança, a adoção de tecnologias críticas para o negócio, já que dizer “não” não é uma opção viável.


Conclusões Práticas



  • Implemente Controles de Acesso Baseados em Intenção: Comece a projetar sistemas de autorização que concedam permissões com base na tarefa específica que um agente está executando, e não apenas na identidade estática do usuário que o iniciou. Pense em termos de acesso de curta duração e escopo limitado para fluxos de trabalho discretos.

  • Governe seus Servidores MCP: Se estiver usando o Model Context Protocol (MCP), audite imediatamente e centralize o controle sobre os servidores MCP para gerenciar a “proliferação de segredos turbinada”. Garanta que eles não armazenem credenciais amplas de produção e que seu acesso seja estritamente limitado e monitorado.

  • Exija Trilhos de Proteção Determinísticos: Ao construir ou adquirir ferramentas de agentes, exija pontos de aplicação de políticas determinísticos — regras claras sobre o que o agente pode e não pode fazer — que operem separadamente do raciocínio não determinístico do agente, criando uma caixa de segurança confiável.

  • Planeje uma Camada de Supervisão Humana: Projete interações com agentes tendo em mente um modelo de “motorista da Waymo”. Mesmo para agentes avançados, mantenha controles claros de humano no circuito para ações críticas (como grandes compras) e forneça aos usuários um painel para monitorar e revogar a atividade do agente.

  • Adote uma Mentalidade de Identidade Federada: Prepare-se para um futuro em que os agentes, ferramentas e dados da sua empresa interagirão com agentes e serviços externos.


Invista na compreensão e implementação de padrões abertos para identidade e autorização de agentes, a fim de garantir interoperabilidade e segurança.

In 2025, we saw the first glimpses of true AI agents. In 2026, every company will be rushing to get them into production, and they’ll need companies like Keycard to manage fleets of agents.

In this conversation, a16z Partner Joel de la Garza sits down with Keycard Cofounder and CEO Ian Livingstone to discuss the continuum from copilots to agents, the security realities of tool-calling, why enterprises will adopt before consumers, and how to control your agents.

Follow Joel on LinkedIn: https://www.linkedin.com/in/3448827723723234/

Follow Ian on X: https://x.com/ianlivingstone

Follow Keycard on X: https://x.com/keycardlabs

Learn more about Keycard: https://www.keycard.sh/

Stay Updated:

Find a16z on X

Find a16z on LinkedIn

Listen to the a16z Show on Spotify

Listen to the a16z Show on Apple Podcasts

Follow our host: https://twitter.com/eriktorenberg

 

Please note that the content here is for informational purposes only; should NOT be taken as legal, business, tax, or investment advice or be used to evaluate any investment or security; and is not directed at any investors or potential investors in any a16z fund. a16z and its affiliates may maintain investments in the companies discussed. For more details please see a16z.com/disclosures.

Hosted by Simplecast, an AdsWizz company. See pcm.adswizz.com for information about our collection and use of personal data for advertising.

Leave a Reply

a16z Podcasta16z Podcast
Let's Evolve Together
Logo