Six ingénieurs d'Uber (Matt Mathew et al.) publient le 21 mai 2026 sur le blog Uber Engineering un article exposant l'architecture d'identité et de contrôle d'accès pour agents IA déployée en production chez Uber pour des milliers d'agents internes. Thèse-pivot : « an agent is best defined as an entity that is authorized to act for or in the place of another », ce qui rend caduc le modèle d'identité classique humain+workload.

Deux problèmes nommés : (1) « Current Identity Model Doesn't Describe Agency » — la délégation est le mode par défaut, les workflows sont compositionnels, le comportement dynamique ; (2) « Original Provenance Isn't Effectively Carried Forward Across Agents to Systems »« Execution context is dropped across agent hops » — créant des trous d'audit et empêchant l'application cohérente des politiques d'accès fine-grained.

Single-hop, short-lived tokens. Every JWT minted by the STS is intended for a single hop, with a specific Audience claim and a short time-to-live in the order of minutes.

**Matt Mathew** , uber.com

Architecture comme extension de la Zero Trust Architecture Uber : Agent Registry (source of truth agent↔workload) + AI Agent Mesh (data plane inter-agents) + STS (Security Token Service) (émission JWT courts scopés) + MCP Gateway (policy enforcement pour tools) + AI Gateway (médiation LLM + redaction via AI Guard) + SPIRE (provider credentials workload).

Mécanique : workloads récupèrent des SPIFFE Verifiable IDs (SVIDs) cryptographiquement signés depuis SPIRE → SDK demande JWT au STS → STS vérifie l'autorisation contre Agent Registry → token court (TTL en minutes) émis pour destination single-hop spécifique (claim Audience). Doctrine canonique : « Single-hop, short-lived tokens. Every JWT minted by the STS is intended for a single hop, with a specific Audience claim and a short time-to-live in the order of minutes. »

Walkthrough multi-hop : un on-call engineer user1 → Oncall Agent → Investigation Agent → MCP Gateway. Le JWT final transporte l'actor chain [user1, oncall-agent, investigation-agent] vérifiable — décisions d'accès tool-level basées sur l'historique complet de la requête.

Standardisation : un Standardized A2A (Agent-to-Agent) Client SDK automatise les échanges STS et la propagation de l'actor chain — « the secure path is also the easiest path for developers to implement A2A calls ». Migration phasée des agents legacy.

Métriques production : « P99 latency for the STS Token Exchange API is consistently below 40 milliseconds », milliers d'agents internes adoptés, observabilité temps réel.

Vision long terme — three-layer framework : (1) Identity & Trust Foundation, (2) Dynamic Access Control, (3) Unified Enforcement Plane.

Standards externes : SPIFFE/SPIRE (CNCF graduated), OAuth 2.0 Token Exchange (RFC 8693), IETF WIMSE working group, draft draft-klrc-aiagent-auth-01, A2A protocol.

Importance : première publication de référence d'un hyperscaler non-AI-lab qui industrialise la sécurité agent au niveau infrastructure, comblant le gap doctrinal entre les frameworks de skills/harness (productivité) et les questions d'identité enterprise grade (gouvernabilité). Devient une référence canonique pour les architectes plateforme, security engineers, et CISO confrontés au déploiement d'agents en interne.