Estamos a assistir a uma mutação profunda na forma como a inteligência artificial se incorpora ao trabalho diário das empresas. Nos últimos anos, a adoção tem se centrado em assistentes conversacionais e copilotos que respondem perguntas, resumo textos ou facilitam buscas. No entanto, a tendência que hoje leva força é a de agentes de IA capazes não só de dialogar, mas de planejar, raciocinar e executar ações em sistemas empresariais em nome de usuários ou organizações.
Este salto — de "responder" a "actuar" — muda completamente o panorama de riscos. Os novos agentes não se limitam a mostrar informações: interagem com aplicações, consultam bases de dados, lançam fluxos de trabalho e, em alguns casos, modificam recursos. Essa capacidade de intervenção transforma a IA em uma entidade que exige controles distintos aos de um bot tradicional.
Nem todos os agentes geram o mesmo perigo. O nível de risco depende fundamentalmente de duas variáveis: a que podem aceder e quanta independência têm para agir sem supervisão humana. Um assistente que procura apenas numa documentação local representa um risco muito diferente do de um agente que pode, por exemplo, executar implantaçãos na nuvem ou mudar configurações críticas.
Na prática, convém distinguir, pelo menos, três famílias de agentes corporativos. As primeiras versões são os chatbots integrados em plataformas gerenciadas: aparecem em ferramentas de produtividade, sistemas de atendimento ao cliente ou bases de conhecimento e se ativam com a interação humana para recuperar ou condensar informações. Eles tendem a ser de baixa autonomia, mas não estão isentos de problemas: se empregam conectores com credenciais estáticas ou licenças demasiado amplas, tornam-se portas de acesso privilegiadas a recursos sensíveis.
A segunda categoria, e provavelmente a mais problemática por sua rápida expansão, são os agentes locais que correm nos endpoints dos empregados. Esses assistentes são integrados com editores de código, terminais, ferramentas de análise ou scripts automatizados e herdam as credenciais e permissões do usuário que os executa. Essa propriedade facilita a adoção porque elimina passos de provisão centralizada, mas também gera um buraco de governança: cada funcionário pode, sem perceber, converter seu ambiente de trabalho em um vetor de ação com permissões corporativos.
O terceiro grupo o constituem os agentes de produção: serviços contínuos que orquestram tarefas complexas, respondem a eventos e atuam sem intervenção humana. Eles são usados para automatizar resposta a incidentes, pipelines de DevOps ou processos de negócio e operam com identidades de máquina e credenciais dedicadas. Aqui os riscos são mais evidentes porque combinam autonomia elevada, acesso a infra-estruturas críticas e, frequentemente, o processamento de entradas externas que podem conter instruções maliciosas.
O fio condutor entre estes cenários é a identidade. Cada agente é, de fato, uma nova classe de identidade digital dentro da empresa: pede tokens, consome APIs, escreve em repositórios e dispara trabalhos. Se essas identidades estiverem mal geridas — perda excessiva, ciclo de vida descontrolada, rotação defeituosa — o agente transforma-se numa janela para atacantes ou numa fonte de erros com consequências operacionais e regulamentares.
Além disso, a configuração típica de arquiteturas com múltiplos agentes pode gerar cadeias de confiança ocultas: um agente pode invocar outro e assim escalar privilégios ou propagar ações não previstas. E não se deve subestimar a exposição a injeções de instruções (prompt injection), um vetor onde entradas externas manipulam o comportamento do modelo para induzir ações indesejadas; sobre este tema, é conveniente rever recursos especializados como o guia OWASP sobre prompt injection ( OWASP Prompt Injection).
Para quem lidera a segurança (CISOs), a prioridade deixa de ser discutir se a IA entrará na organização e passa a identificar onde já está e como opera. É necessário conhecer quais agentes existem, quais identidades utilizam, quais sistemas podem acessar e se essas permissões correspondem ao propósito declarado de cada agente. Essa visão é a base para decidir em que ordem abordar riscos e que controles aplicar.
Algumas referências de bom governo e gestão de riscos podem ajudar a estruturar essa resposta. O quadro de gestão dos riscos para a IA do NIST oferece princípios e ferramentas para avaliar e mitigar riscos específicos de sistemas inteligentes ( NIST AI RMF), enquanto os guias de identidade digital do NIST são úteis para entender como o ciclo de vida de identidades humanas e de máquina deve ser gerido ( NIST SP 800-63). No extremo da cadeia de abastecimento, as recomendações do Centro Nacional de Cibersegurança do Reino Unido sobre a segurança da cadeia de fornecimento de software são valiosas para mitigar riscos associados a plugins e dependências externas ( NCSC Software Supply Chain Security).
Em termos práticos, as organizações deveriam investir em detecção e visibilidade: descobrir agentes implantados, inventariar identidades e registrar as ações que executam. A partir daí, convém aplicar o princípio de menor privilégio e mecanismos de acesso dinâmico que limitem o que cada identidade pode fazer e por quanto tempo. A rotação automática de credenciais, o uso de identidades federadas e o controle de uso de plugins de terceiros são medidas que reduzem a superfície de ameaça sem parar a produtividade.
Não menos importante é instrumentar a telemetria: traços, registros de auditoria e alertas que permitam reconhecer comportamentos anormais de um agente. Os testes de resiliência contra instruções adversas e a validação segura de entradas externas ajudam a atajar vetores como a injeção de prompts. Para projetar estes testes, convém consultar boas práticas de plataformas que oferecem modelos e APIs, que geralmente incluem recomendações específicas de segurança ( OpenAI Security Guidance) e documentação sobre inteligência artificial responsável por fornecedores de nuvem ( Microsoft Responsible AI).
O paradoxo da era dos agentes é que a velocidade e a autonomia que os fazem tão úteis são também as que exigem um replanteamento de controles tradicionais. As ferramentas de identidade e acesso pensadas para humanos e para serviços convencionais não são suficientes: soluções que manejem identidades de agentes à escala, com provisão, regras de acesso temporário, rotação automática e capacidades de auditoria específicas para atividades automatizadas.
Afinal, garantir a IA não é proibi-la, mas governar. As organizações que avancem mais depressa serão as que saibam mapear os seus agentes, alinhar as permissões com as intenções operacionais e aplicar controlos de identidade como plano de controlo. Nesse sentido, a identidade deixa de ser um componente mais da arquitetura: torna-se a alavanca central para permitir a adoção segura de agentes que atuem sem supervisão humana frequente.
Se a sua empresa estiver a desenvolver ou a avaliar agentes, deve começar por um inventário, definir critérios de risco baseados em acesso e autonomia e priorizar controlos sobre os agentes com maior capacidade de impacto. A literatura e os padrões de organismos como o NIST e as equipes de segurança de fornecedores de plataformas oferecem quadros sólidos para estruturar essa transição para uma IA que contribua valor sem comprometer a segurança.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Alerta de segurança: CVE-2026-45829 expõe ChromaDB a execução remota de código sem autenticação
Uma falha crítica na API Python de ChromaDB - a popular base de vetores usada para recuperação durante a inferência de LLM - permite a atacantes não autenticados executar código...