Większość systemów postrzega uprawnienia jako „produkt uboczny” dostępu. Tak długo, jak agenci posiadają klucz, portfel lub token API, mogą działać, często przekraczając pierwotnie przewidziany zakres. Uprawnienia stają się zatem ukryte, długoterminowe i trudne do zdefiniowania. Taki model jest wciąż kontrolowalny dla ludzi, ale stanowi ogromne ryzyko dla autonomicznych agentów.

Dla agentów uprawnienia muszą być programowalnym podstawowym elementem, a nie skutkiem ubocznym dostępu. Oznacza to, że uprawnienia powinny mieć wyraźne cechy: zakres, ograniczony do określonych działań i scenariuszy; możliwość egzekucji, weryfikacja realizowana w momencie wykonania, a nie po fakcie; możliwość cofnięcia, natychmiastowe usunięcie bez konieczności niszczenia systemu. W przeciwnym razie autonomiczność może być utrudniona przez procesy zatwierdzania lub działać w ramach nieakceptowalnego ryzyka.

To jest właśnie kluczowa zmiana, wokół której koncentruje się Kite. W Kite uprawnienia nie są już dedukowane na podstawie własności lub zaufania, lecz są jawnie kodowane razem z tożsamością, ograniczeniami i płatnościami. Agenci nie tylko decydują, co chcą zrobić, ale mogą wykonywać tylko autoryzowane działania, a to jest realizowane w sposób weryfikowalny w łańcuchu, od samego początku tak zaprojektowane. To jest sposób na skalowanie bezpieczeństwa autonomiczności.🪁