A Promessa e o Risco dos Sistemas Multiagentes

Imagine entregar as chaves do seu carro para alguém e pedir que faça as compras. Se a loja fica perto e sua lista é simples, o risco de erro é pequeno. Mas conforme a tarefa fica mais complexa, com marcas específicas, restrições alimentares e orçamento apertado, a dificuldade aumenta. As consequências de algo simples dar errado podem ir desde compras erradas até um acidente grave com o veículo.

Muitas organizações enfrentam atualmente um desafio semelhante ao implementar agentes de IA. Criar agentes que executem todas as tarefas de um fluxo de trabalho com excelência é difícil e caro, e até pouco tempo, a comunicação entre agentes e ferramentas carecia de padrões uniformes — algo para IA equivalente ao que o HTTP representa na conexão web.

Sistemas multiagentes (MAS) entram em cena como um novo paradigma de IA que distribui responsabilidades entre vários agentes altamente especializados, trabalhando juntos para entregar resultados mais precisos e relevantes. O MAS alcança isso ao limitar intencionalmente o escopo, o acesso e o treinamento especializado de cada agente, além de aumentar a escalabilidade por meio da execução modular de tarefas. A promessa do MAS é atrativa, mas à medida que as organizações entregam à IA agente as “chaves do castelo”, surgem muitos desafios de segurança. Por trás dessa promessa, há um risco evidente: a ampliação das superfícies de ataque e a necessidade de repensar segurança, confiança e responsabilidade em sistemas de IA agentes.

Fundamentalmente, MAS é um framework para criar sistemas de IA distribuídos e autônomos. Em vez de usar agentes de IA monolíticos que realizam várias tarefas de forma subótima, o MAS distribui tarefas entre agentes especializados em uma ou poucas áreas, frequentemente organizados em hierarquias ou grupos de subagentes. Esses agentes atuam de forma independente, mas colaboram para alcançar metas individuais e comuns. Devemos considerar algumas categorias principais de agentes dentro do MAS: 

• Super agentes – orquestradores de fluxo dentro de um MAS. O grau de centralização varia conforme o uso, e alguns fluxos simples de MAS conferem autonomia igual a todos os agentes. 
• Agentes de triagem – responsáveis por alocar recursos e garantir que cada agente tenha acesso às ferramentas e recursos necessários para realizar as tarefas com eficiência. 
• Agentes guardiões – Validadores que funcionam como camadas de responsabilidade, verificando a precisão dos resultados e garantindo o cumprimento da intenção do usuário. 

O conceito de sistema distribuído ou painel de especialistas não é novidade, mas até pouco tempo a comunicação entre agentes de IA carecia de padrões uniformes para ser eficiente. Com o lançamento do Model Context Protocol (MCP) da Anthropic, a recuperação de dados e o acesso a ferramentas em fontes estruturadas passaram a ter um padrão universal, e graças à estrutura Agent-to-Agent (A2A) do Google, agentes de IA agora contam com um framework independente de modelo para se comunicarem via linguagem natural. Simplificando, o MCP é a comunicação do agente com os dados, enquanto o A2A é a comunicação entre agentes.

Os maiores obstáculos para gerar ROI positivo com IA autônoma são a precisão, o custo e a escalabilidade. Apesar das complexidades que inevitavelmente trará, o MAS é uma das soluções mais promissoras para otimizar essas três áreas:

1. Precisão – Agentes especializados criam uma camada modular para reduzir riscos e garantir qualidade, ajustada às necessidades do seu fluxo de trabalho. Ao focar a responsabilidade de cada agente, o MAS diminui o risco de alucinações ou interpretações incorretas em comparação com modelos monolíticos (Yang et al., 2025).
2. Custo – Embora os custos de treinamento de agentes especializados e generalistas variem, o custo de inferência em um ambiente MAS distribuído tende a ser menor, devido à redução da redundância e do processamento excessivo (Gandhi, Patwardhan, Vig, & Shroff, 2024).
3. Escalabilidade – MAS transforma a forma como a escalabilidade funciona em ecossistemas de IA. Em vez de substituir ou retreinar sistemas inteiros, você pode adicionar agentes de forma modular para atender novas demandas de negócios com custos menores

Cada um desses agentes a jusante possui hierarquias adicionais e grupos de subagentes dedicados a tarefas específicas, como personalização ou análise de notícias; alguns trabalham de forma interligada, enquanto outros funcionam isolados.

Assim que montamos um relatório, enviamos para o agente de conformidade checar se ele atende a todos os requisitos regulatórios antes de encaminhá-lo ao agente guardião ou humano na operação para validar se o resultado está correto e alinhado com o objetivo do cliente. Entregamos um ativo valioso de forma precisa e personalizada.

Suponha que seu fluxo de trabalho MAS não receba o tratamento ideal. Cada conexão entre seus agentes usa uma API padrão, uma via comum de ataque à qual muitas organizações ainda estão vulneráveis.

Seu prompt inicial sofreu um ataque de injeção que instruiu o envio do relatório final de Alice para o e-mail de um invasor. Isso não seria um problema se o agente de conformidade detectar, mas uma conexão de API insegura permite um ataque de falsificação. Impersonando o agente de conformidade, o invasor autoriza agentes subsequentes a acessar as informações da conta bancária e do cartão de crédito de Alice e remove restrições adicionais.

Sem limites claros, os agentes aumentam privilégios exponencialmente, acessando tudo que estiver disponível. O agente de personalização pode avaliar que o saldo da poupança de Alice é um dado relevante no momento, ou o agente de análise financeira pode interpretar algoritmos de negociação proprietários e acordos de parceria como informações úteis para agentes próximos.

Quando alcançamos o agente humano no processo ou guardião para validação, o resultado parece preciso e alinhado à sua intenção, mas acabamos propagando excessivamente a confiança, divulgando informações e facilitando a escalada de privilégios entre conexões. Com um único pedido, comprometemos a confiança de clientes e parceiros e abrimos diversas vulnerabilidades.

A operação típica de sistemas multiagentes fica entre esses dois casos, onde a precisão dos resultados aumenta significativamente, mas proteger a superfície de ataque se torna muito mais desafiante. Embora apps totalmente autônomos sejam tecnicamente possíveis hoje, a forma mais prática de implementar esses sistemas será majoritariamente híbrida—integrando tanto a infraestrutura legada quanto componentes de IA. Essa transformação acontecerá gradualmente, e a complexidade envolvida exigirá colaboração ativa entre todos os envolvidos para desenvolver sistemas autônomos que gerem valor comercial sem expor você a riscos maiores do que os benefícios.

Ao longo da história das aplicações modernas, observamos um ciclo constante de consolidação e hibridização. As empresas geralmente começam dependendo totalmente de plataformas monolíticas, mas acabam migrando para portfólios híbridos que equilibram melhor as necessidades funcionais e os custos. A IA Agente provavelmente seguirá esse mesmo caminho. O entusiasmo inicial por plataformas monolíticas dará lugar a um ecossistema distribuído de aplicações e APIs que abrangem ambientes locais, SaaS, computação de borda e a inevitável proliferação de ferramentas que vemos hoje. Ao antecipar esse ciclo, você pode adotar medidas proativas para se preparar para fluxos de trabalho impulsionados por MAS e para o futuro distribuído da IA.

1. Proteja suas APIs – A importância da segurança de APIs cresce à medida que surgem conexões MCP e sistemas agentivos. Você precisa de soluções que cubram todas as APIs, conhecidas e desconhecidas, detectem vulnerabilidades em tempo real e garantam visibilidade constante.
2. Exija comportamento explicável – Embora a “caixa preta” da IA ainda exista, você pode usar agentes com escopos intencionalmente limitados combinados com comportamento explicável programável para melhorar a rastreabilidade de alucinações e resultados prejudiciais. Registre as saídas dos agentes, identifique comportamentos problemáticos durante a execução e analise-os para impedir a proliferação não autorizada.
3. Estabeleça políticas para o envolvimento humano (HITL) – Use para tarefas em que decisões erradas têm alto impacto, é necessária governança humana para garantir conformidade e casos especiais não têm protocolos definidos. Agentes guardiões não substituem a inteligência humana e podem se tornar alvos atrativos para invasores. Para evitar bloqueios, sistemas tradicionais baseados em regras que envolvem HITL continuam sendo o método mais seguro para manter riscos abaixo de um limite determinado. Sob esses limites, use agentes guardiões com moderação para reduzir riscos, considerando sempre sua mitigação contra o pior cenário de um agente comprometido.
4. Implemente zero trust para dados sensíveis – Use o princípio do menor privilégio para limitar o acesso e o compartilhamento dos agentes, verifique continuamente as permissões para evitar a escalada de privilégios e adote a hipótese de violação em todos os estágios e agentes.
5. Consolide ferramentas distintas - Com a rápida proliferação de agentes na variedade atual de ferramentas, não conseguimos mais garantir observabilidade com soluções pontuais. Você deve apostar em plataformas de segurança integradas que reúnam as ferramentas e a visibilidade necessárias para manter uma postura de segurança sólida na nova superfície de ataque ampliada.