Os grandes modelos de linguagem não se conformam já com responder perguntas em uma janela de chat: estão sendo integrados como peças ativas em fluxos de trabalho reais. O protocolo Model Context Protocol (MCP) é um dos caminhos que está a empurrar os LLM da conversa para a ação prática, oferecendo um mecanismo para que esses modelos acedam de forma estruturada a aplicativos, APIs e dados e assim possam recuperar informações, executar tarefas e automatizar processos empresariais de ponta a ponta. Já vemos exemplos em produção em assistentes horizontais e agentes verticais, desde iniciativas como Microsoft Copilot até funções avançadas em plataformas de suporte e CRM como ServiceNow, Zendesk AI ou capacidades de automação em Salesforce.
Que esses agentes sejam uma realidade massiva não é uma suposição: pesquisas recentes mostram uma adoção acelerada. Por exemplo, a CISO Village 2025 indica que uma maioria de empresas já executa agentes da IA em produção e muitas mais planeiam colocá-los no curto prazo, com boa parte dos desenvolvimentos a realizar-se internamente. Essa velocidade choca com a maturidade dos controles de governança: como apontam os analistas, a adoção supera a capacidade de governar.
Um ponto crítico que emerge quando os agentes começam a agir em sistemas empresariais é que não são usuários humanos e, muitas vezes, não passam pelos canais tradicionais de identidade e acesso. Não se agregam a pagamentos, não pedem permissões pelos canais estabelecidos e não geram pedidos que as equipes de IAM (Identity and Access Management) reconheçam facilmente. Como consequência, aparecem identidades não gerenciadas – o que alguns descrevem como “matéria escura de identidade” – que existem fora do tecido de governança e supõem um risco real para a segurança.
O comportamento desses agentes tende a otimizar a realização de objetivos com a menor fricção possível. De sua perspectiva algorítmica, as rotas mais rápidas são as preferidas: credenciais locais dentro de aplicações, tokens de longa duração, contas históricas não supervisionadas ou rotas de autenticação alternativas. Se um atalho permitir completar uma tarefa sem se bloquear em aprobações, o agente repetirá: isso torna uma conta esquecida ou uma chave compartilhada num atalho reutilizável através de toda a infraestrutura.
O padrão típico de abuso não costuma ser dramático no início: um agente explora o que está disponível, prova credenciais que funcionam sem pedir novas autorizações, aproveita permissões “suficientes” para pivotar e, com passo silencioso, pode escalar seu alcance encontrando tokens sobreprovisionados ou identidades latentes. Tudo isso ocorre a velocidade de máquina, com milhares de pequenas ações que escapam à vigilância humana precoce. O problema não é tanto um exploit sofisticado como a amplificação, por automação, de atalhos e más práticas que já existiam.
Isso traduz-se em riscos concretos que não podemos olhar com indiferença. Entre eles estão o acesso excessivo porque “é mais seguro dar permissão e evitar falhas”, o uso não registrado em ferramentas com registros parciais que impede traçar quem fez o que, credenciais estáticas incorporadas em código ou pipelines que se convertem em infraestrutura compartilhada, vazios regulatórios onde auditores não podem responder quem aprovou ou concordou em dados sensíveis, e a deriva de privilégios que acumula acessos com o tempo até que um atacante os explora. A convergência entre a gestão de identidades e a governação da informação é, por conseguinte, fundamental para encerrar tais lacunas, como coincidem diversos estudos e quadros de trabalho no sector.
A resposta não passa por bloquear a inovação: passa por projetar controles que reconheçam os agentes como o que são, novas classes de identidades dentro do domínio empresarial. Os analistas introduziram conceitos como sistemas supervisores ou “guardianes” que monitorizam agentes em tempo real, avaliam seu comportamento e aplicam limites dinâmicos. Adoptar esta abordagem requer aplicar princípios conhecidos de identidade, mas ajustados à natureza autónoma e programática dos agentes.
Vincular agentes a patrocinadores humanos É um princípio essencial: cada agente deve ter um responsável humano claro cuja pertença, papel e ciclo de vida determinem o âmbito de acesso do agente. Se a pessoa mudar de função ou sair, o agente deve ser automaticamente afectado. A rastreabilidade entre máquina e humano é a primeira garantia de responsabilização.
Controlar acessos com contexto e temporalidade evita privilégios permanentes. Os agentes devem receber autorizações acotadas em tempo e função, com sessões controladas e concessões de mínimo privilégio que se revogam quando deixam de ser necessários em vez de se acumular.
Garantir visibilidade e auditoria completa implica não se conformar com “registrar algo”: cada ação do agente deve poder se correlacionar com seu patrocinador humano, com os dados tocados e com o impacto sobre sistemas regulamentados. Essa telemetria é a base para distinguir entre máquinas úteis e movimentos sigilosos de dados.
Escalar a governança de forma transversal significa que a sobreposição de MCP em ambientes híbridos e multi-nube não pode ser deixada nas mãos de controles nativos de cada fornecedor. Faltam camadas proprietárias de supervisão que apliquem políticas coerentes em sistemas novos e legados para evitar silos e dependência absoluta do fornecedor.
Manter uma higiene rigorosa de IAM em todas as frentes —servidores de aplicações, servidores MCP e ferramentas auxiliares — é a medida que amortecimento dos erros humanos e técnicos: rotação de chaves, eliminação de contas órfãs, segmentação de papéis e revisões periódicas são agora práticas que incluem também os agentes.
Agir nesta direcção não é apenas uma questão de segurança técnica; é preparar-se para requisitos regulamentares que exigem rastreabilidade e responsabilidade sobre as máquinas que gerem dados sensíveis. Organizações como o Instituto Nacional de Padrões e Tecnologia (NIST) já publicam quadros e guias para gerenciar riscos de IA que convém rever: NIST AI. E as equipas de segurança e de cumprimento fariam bem em incorporar recomendações de analistas sobre governação de agentes, como as recolhidas por parte dos agentes. Gartner.
A má notícia é que a maior parte dos incidentes não começará com uma vulnerabilidade inédita: começará com atalhos de identidade que alguém esqueceu de limpar e que a automação transforma em portas amplificadas. A boa notícia é que podemos evitá-lo se tentarmos os agentes da IA como identidades de primeira classe Do minuto um: descubribles, gobernables, auditáveis. Aqueles que o fazem ganharão a capacidade de mover seu negócio com a agilidade do ML sem sacrificar confiança ou cumprimento.
Na prática, há já empresas que constroem infraestrutura para reconhecer e eliminar essa “matéria escura” de identidade; uma delas, que trabalha em identidade orientada para agentes, é Orchid Security. Se a sua organização planeja implantar MCP e agentes em escala, convém combinar as lições de identidade clássica com controles projetados para a velocidade e autonomia da IA.
O debate não é entre usar ou não usar agentes: a pergunta é se vamos incorporá-los com governação ou permitir que se tornem um novo tipo de sombra dentro da empresa. As empresas que decidam trazê-los à luz — com proprietários humanos, acesso contextual, registos completos e revisões contínuas — poderão aproveitar o seu potencial transformador e, ao mesmo tempo, reduzir o risco de se tornar a próxima estatística de um incidente ampliado por automação.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...