O problema do ataque de repetição: porque agentes de AI não conseguem verificar que uma credencial está a ser usada pela primeira vez
Um agente de AI que recebe uma credencial válida aprendeu apenas uma coisa: a credencial foi emitida validamente em algum momento no passado. Não aprendeu que está a ser usada agora pela entidade correta, no contexto pretendido, pela primeira vez. Validade e frescura são propriedades diferentes, mas a maioria das pilhas de credenciais de agentes confunde-as.
Porque agentes de AI são particularmente vulneráveis
Um ataque de repetição explora esta lacuna. Um adversário captura uma credencial legítima, como token de autorização, registo de consentimento assinado, relatório de atestação ou cookie de sessão, e apresenta-a mais tarde ou noutro contexto. A assinatura valida. O emissor é legítimo. A credencial está apenas velha, nas mãos erradas ou a ser usada depois de dever ter expirado.
A dimensão pós-quântica
Os protocolos de rede tradicionais acumularam décadas de engenharia contra repetição: sessões curtas, nonces de desafio-resposta, rotação de tokens OAuth e janelas TOTP. Funcionam porque a camada de protocolo aplica essas proteções antes de a aplicação ver a credencial. Agentes de AI consomem credenciais também a partir de documentos, emails, memórias, respostas de API e saídas de ferramentas. A resistência a repetição tem de ser aplicada na camada de decisão do agente.
A dimensão da atestação de hardware
Com a transição criptográfica, o problema intensifica-se. Algoritmos pós-quânticos aumentam resistência a falsificação, mas não tornam uma credencial automaticamente fresca. Uma credencial assinada por esquema pós-quântico continua a ser apenas uma credencial assinada. Ela deve estar vinculada a nonce, sessão específica e finalidade específica.
A dimensão dos cuidados no mundo físico
A atestação de hardware também é repetível. Um relatório legítimo capturado pode ser apresentado como se fosse atestação viva. O agente dependente deve emitir um desafio, exigir que o relatório cubra esse nonce e rejeitar relatórios sem vínculo de frescura ou fora de uma janela estreita.
A resposta de desenho
Em cuidados, a repetição aparece como autorizado mas obsoleto. Um consentimento assinado pode ser real e ainda assim já não representar o momento clínico atual. Autorizações de medicação, diretivas antecipadas ou planos de cuidado podem tornar-se inválidos pela alteração do estado da pessoa.
A resposta exige três elementos: cada credencial de autorização deve levar nonce, expiração apertada ou ambos dentro da assinatura; agentes devem desafiar antes de aceitar atestações; e autorizações de cuidado devem ter janelas calibradas à volatilidade clínica, com reautorização obrigatória quando expiram. Uma credencial válida é uma afirmação sobre o passado. Um agente que atua no presente precisa de prova de que esse passado ainda é presente.