EN PT
Fale connosco
DRAFT Este artigo não está publicado no site público.
Conselhos

O Problema dos Agentes: Por Que a Sua Força de Trabalho de IA Precisa de um Tipo Diferente de Supervisão

Uma análise ao nível do conselho de administração sobre a infraestrutura de supervisão de agentes

Charles Carrington Fundador, Attribit-ID
Charles Carrington
A

Os agentes de IA tomam ações reais — enviam e-mails, processam transações, acedem a bases de dados — à velocidade da máquina e sem revisão humana de cada ação individual, criando uma lacuna de governação que o seu enquadramento de risco atual não foi construído para resolver.

B

As ferramentas de segurança tradicionais são sintáticas: avaliam endereços e portos, não intenção. Um agente a exfiltrar dados através de um endpoint API aprovado parece idêntico ao tráfego legítimo. Não é possível resolver um problema de julgamento com uma regra que só entende endereços.

C

A resposta é uma infraestrutura de supervisão que opera ao mesmo nível dos agentes: um ponto de verificação semântico obrigatório, autorização específica por agente, atribuição de identidade em cada ação e raio de impacto limitado em qualquer comprometimento.

A sua empresa está a implementar agentes de IA. Se ainda não está, os seus concorrentes estão — e alguns dos seus fornecedores e parceiros já o fizeram. Não são chatbots. São sistemas de software autónomos que tomam ações reais em seu nome: enviam e-mails, processam transações, acedem a bases de dados, fazem chamadas API a serviços externos. Trabalham à velocidade da máquina, ininterruptamente, sem revisão humana de cada ação individual.

Isto cria uma questão de governação que o seu enquadramento de risco atual não foi construído para responder: Como se supervisiona uma força de trabalho que toma milhares de decisões por hora e não pode ser supervisionada decisão a decisão?

O que torna os agentes de IA fundamentalmente diferentes da força de trabalho humana para a qual o seu enquadramento de governação foi construído?

Um colaborador humano opera dentro de um conjunto de restrições sociais, profissionais e legais que não se conseguem articular completamente mas nas quais se pode contar razoavelmente. Entendem o contexto. Reconhecem quando algo não parece certo. Exercem julgamento.

Um agente de IA não tem nenhuma dessas propriedades. Executa instruções. Quando essas instruções são manipuladas — por um adversário que incorpora comandos maliciosos num documento que o agente processa, uma técnica chamada “injeção de prompt” — o agente segue as instruções manipuladas com a mesma conformidade que traz às legítimas. Não tem instinto de que algo não parece certo. Reencaminhará dados confidenciais para o servidor de um atacante com a mesma eficiência com que envia um relatório aprovado para um colega.1

Os investigadores de segurança da Google identificaram isto como um dos vectores de ataque de crescimento mais rápido de 2026. As principais plataformas tecnológicas, incluindo o Microsoft Copilot e o GitHub Copilot, tiveram vulnerabilidades críticas divulgadas no último ano especificamente a explorar esta fraqueza. Não é teórico.23

O problema mais difícil é que as ferramentas de segurança tradicionais não foram construídas para isto. Uma firewall conhece endereços de rede e portos. Não tem capacidade para avaliar se o seu agente de IA deve estar a fazer o que está actualmente a fazer — se essa ligação de saída representa trabalho legítimo ou uma tentativa de exfiltração de dados. Não é possível resolver um problema de julgamento com uma regra que só entende endereços.

Como é a resposta arquitetural à supervisão AIgénica?

O que as empresas na fronteira da implementação AIgénica — incluindo a Brex, que construiu todo o seu modelo de negócio em torno de agentes de IA a gerir finanças corporativas — descobriram é que a resposta não é uma firewall melhor. A resposta é uma infraestrutura de supervisão que opera ao mesmo nível semântico que os próprios agentes.

O princípio é simples: a única tecnologia de supervisão que funciona à velocidade a que os agentes operam é outro sistema de IA a executar a supervisão. Pedro Franceschi, CEO da Brex, construiu exatamente isto — um ponto de verificação obrigatório por onde todas as ações dos agentes passam antes de alcançar a rede. Esse ponto de verificação usa um sistema de IA separado para avaliar se a ação é consistente com a política definida. As ações que passam prosseguem. As ações que falham são bloqueadas antes de acontecer, e cada ação é registada.4

A escolha de conceção crítica é que o agente não sabe que esta supervisão existe. Um agente que consegue ver o seu próprio sistema de supervisão pode potencialmente raciocinar à sua volta. Um agente que não consegue percecionar o sistema de supervisão não consegue contorná-lo. Este é o mesmo princípio dos controlos internos nos sistemas financeiros: a pessoa que faz um pagamento não aprova o seu próprio pagamento.

Três propriedades de reforço tornam esta arquitetura robusta:

Primeira: Encaminhamento obrigatório. O tráfego de rede do agente é fisicamente separado do tráfego de rede humano e só consegue alcançar sistemas externos através do ponto de verificação de supervisão. Não há caminho que o contorne. Esta é uma propriedade topológica da rede, não uma regra de software — mantém-se mesmo que o software do agente esteja comprometido.

Segunda: Autorização específica. Cada agente está autorizado a fazer coisas específicas, e apenas essas. Em vez de definir uma longa lista de ações proibidas (que tem sempre lacunas), a arquitetura define uma lista curta de ações permitidas (que bloqueia tudo o que não é explicitamente permitido). Um agente de recrutamento pode contactar um portal de emprego aprovado e enviar e-mails através de um relay aprovado. Não consegue contactar mais nada. A autorização é específica para a função do agente, não genérica para a tecnologia.5

Terceira: Identidade e responsabilização. Por defeito, os Atores AIgénicos herdam credenciais do humano ou da conta de serviço que os implementou — o Modelo de Herança de Identidade — sem forma de distinguir uma instância de agente de outra. A arquitetura correta atribui a cada instância de agente uma identidade única que não consegue falsificar ou transferir. Cada ação que toma é registada contra essa identidade. Quando revê o que aconteceu num incidente, consegue ver não apenas “um agente fez isto” mas “esta instância de agente específica, a executar esta tarefa específica, neste momento específico, fez estes pedidos específicos, três dos quais foram bloqueados por estas razões específicas.”

Qual é a questão de governação certa para os conselhos de administração e comités de risco?

A questão de governação para os conselhos de administração e comités de risco não é “estamos a usar agentes de IA?” É “temos uma infraestrutura de supervisão proporcional às permissões que concedemos aos nossos agentes?”

Se os seus agentes têm acesso a sistemas financeiros, precisam de uma infraestrutura de supervisão capaz de avaliar ações financeiras face à política. Se têm acesso a dados de clientes, precisam de supervisão capaz de avaliar o tratamento de dados face à política. Se conseguem comunicar externamente em nome da sua organização, precisam de supervisão capaz de avaliar essas comunicações face à política. O âmbito da supervisão necessária escala com o âmbito das permissões dos agentes.

A ausência desta infraestrutura é uma lacuna conhecida, documentada e explorável. O OWASP Top 10 para Aplicações Agénticas — o enquadramento de referência de segurança primário para IA empresarial, publicado por mais de 100 investigadores de segurança em dezembro de 2025 — identifica o sequestro do objetivo do agente e o abuso de identidade como as principais vulnerabilidades nos sistemas agénticos em produção. Os prazos de conformidade de agosto de 2026 do Regulamento de IA da UE para sistemas de IA de alto risco exigirão que as organizações demonstrem robustez contra estes vectores de ataque.26

Que quatro propriedades definem uma implementação de agentes bem governada?

Uma implementação de agentes bem governada tem quatro propriedades sobre as quais os conselhos de administração podem questionar e receber respostas específicas:

  1. Autorização específica: Cada função de agente tem um conjunto definido de ações permitidas. Um agente a gerir recrutamento não consegue tomar ações adequadas a um agente a gerir fluxos financeiros. As autorizações estão escritas, são revisáveis e estão tecnicamente aplicadas — não apenas em documentação de política.

  2. Ponto de verificação obrigatório: O tráfego de agentes não consegue alcançar sistemas externos sem passar por uma camada de supervisão que avalia a conformidade com a política definida. Contornar esta camada não é possível através da operação normal do agente ou através de manipulação de software.

  3. Atribuição de identidade: Cada ação tomada por cada agente é registada contra a instância de agente específica que a tomou. Num incidente, a atribuição não se detém em “o sistema de IA fez isto” — alcança a instância, tarefa e momento específicos.

  4. Contenção de incidentes: Se um agente estiver comprometido ou se comportar anomalamente, o seu acesso pode ser revogado imediata e especificamente, sem perturbar outros agentes ou colaboradores humanos. O raio de impacto do comprometimento de um único agente é limitado.

Se a sua organização não consegue fornecer respostas afirmativas a todas as quatro questões, a exposição ao risco escala com o número de permissões que os seus agentes receberam.

Como devem os conselhos de administração enquadrar a decisão de implementar sistemas AIgénicos?

A forma correta de pensar sobre isto não é “os agentes de IA são perigosos, devemos implementá-los?” As empresas que beneficiarão mais dos sistemas AIgénicos são as que os implementam em fluxos de trabalho reais, à escala de produção, com infraestrutura de supervisão adequada. As empresas que pagarão o custo mais elevado são as que tratam a implementação de agentes como um problema de software e a segurança dos agentes como uma reflexão posterior.

O enquadramento de Pedro Franceschi na Brex é o correto para os conselhos de administração: este é um problema de engenharia, não um impasse filosófico. A infraestrutura de supervisão existe. A arquitetura é compreendida. A questão é se a sua organização a construiu antes, ou construirá depois, do primeiro incidente.

Essa é uma decisão de risco que pertence ao nível do conselho de administração.

Revisto em 2026-04-27. Atores AIgénicos capitalizados como classe ontológica formal. Conteúdo substantivo inalterado.

Footnotes

  1. How to Deal with the 2026 Agent Wave — A injeção de prompt é agora um equivalente a execução remota de código. Quando os agentes têm acesso a ferramentas, injetar instruções em dados processados executa com as permissões completas do agente.

  2. Prompt Injection: Types, Real-World CVEs, and Enterprise Defenses — CVEs críticas atribuídas em 2025-2026 incluindo EchoLeak, RCE no GitHub Copilot e vulnerabilidades do Cursor IDE que exploram agentes de IA com confiança ambiente. 2

  3. AI Agent Security 2026: Google’s Forecast and How to Fix the Gaps — A Google prevê um aumento significativo de ataques de injeção de prompt direcionados contra sistemas de IA empresarial ao longo de 2026.

  4. Redefining Zero Trust in the Age of AI Agents and Agentic Workflows — O Proxy de Inspeção Semântica da Cisco redefine a confiança zero com segurança baseada em intenção para ameaças potenciadas por IA.

  5. Allowlists vs. Denylists in Multi-Tenant Access Control — As listas de permissões implementam comportamento de negação por defeito, enquanto as listas de bloqueio implementam comportamento de permissão por defeito.

  6. OWASP Top 10 for Agentic Applications — ASI01 Sequestro de Objetivo do Agente, ASI02 Uso Indevido de Ferramentas, ASI03 Abuso de Identidade e Privilégio identificados como principais ameaças.

Charles Carrington

Written by

Charles Carrington

Founder, Attribit-ID  ·  LinkedIn