Quando os agentes entram, seu modelo de segurança desaparece

A maior parte das ferramentas de segurança empresarial atuais se baseia em um conjunto específico de premissas. Isso é positivo, pois essas premissas foram testadas e comprovadas milhares de vezes nos últimos vinte anos. A principal premissa é que o software executa ordens corretamente, usuários podem ser perfilados e sistemas atuam de forma previsível sob condições conhecidas. Essa lógica funcionava quando você protegia APIs, servidores web ou usuários com práticas inseguras de senha.

Mas tudo isso falha quando surgem agentes autônomos.

Agentes nem sempre seguem roteiros. Eles nem sempre atuam em caminhos fixos. Eles raciocinam, planejam, se adaptam e, se você não estiver atento, podem agir de forma inesperada. Isso torna seu manual de defesa tradicional uma abordagem excessivamente otimista.

Felizmente, os pesquisadores de segurança começaram a lidar com essa realidade. Um dos sinais mais importantes apareceu em um artigo: “Protegendo a IA Agentic: Modelagem de ameaças para agentes LLM.” Ele não só apresenta vários cenários preocupantes, como também oferece uma nova estrutura operacional, criada para o mundo de agentes no qual estamos entrando de cabeça.

Os autores apresentam SHIELD, uma abordagem em camadas para gerenciar agentes autônomos em ambientes reais. Não é apenas uma lista de vetores de ataque; é um modelo de governança. SHIELD inclui:

• Ambiente isolado: Defina com precisão o que um agente pode acessar (ferramentas, arquivos, APIs) antes de agir. Aplique algum tipo de controle de acesso rigoroso. A ideia principal é sólida, e já existem muitos esforços para regular o uso de ferramentas pela IA de forma geral.
• Intervenção humana: Inclua checkpoints ou caminhos de escalonamento antes de realizar ações irreversíveis. Isso é básico, pois faz parte da maioria dos processos de automação.
• Restrições da interface: Regras rigorosas de entrada e saída para a interação do agente com o sistema. Parece sanitização de dados de entrada e verificação das respostas. Hmm.
• Monitoramento de execução: Acompanhe chamadas de ferramentas, mudanças no estado da memória e ciclos de planejamento. Observabilidade. Observabilidade. Observabilidade.
• Registro: Capture as etapas do raciocínio e o uso das ferramentas, não apenas os resultados. Embora seja necessário para formar uma sigla simpática, ele complementa o rastreamento mencionado acima e compõe uma estratégia ampla de observabilidade.
• Repetição determinística: Reconstruímos sessões de inferência para auditar por que algo ocorreu, e não apenas o que aconteceu. É difícil acreditar que isso seja possível, já que recriar o "estado" de um agente — qualquer IA, na verdade — é quase impossível. Mas, se conseguirmos, será fantástico.

Ainda estamos no começo, mas a ideia central da SHIELD é fundamental: a IA autônoma exige novos pontos de controle, novas premissas e novos modelos mentais. Talvez já tenhamos mencionado isso recentemente, como neste whitepaper. Agora, vamos resumir o real impacto disso para líderes e engenheiros de segurança.

1. De modelos estáticos de ameaça a monitoramento dinâmico de comportamento
Modelos tradicionais de ameaça pressupõem que atacantes sigam padrões conhecidos, como movimento lateral, escalada de privilégios e entrega de carga mal-intencionada. Mas agentes não seguem nada conhecido. Eles podem improvisar.

As equipes de segurança devem começar a monitorar comportamentos emergentes. Isso envolve criar telemetria sobre o que os agentes fazem, como pensam e quando se desviam dos caminhos planejados. Semântica. Observabilidade. Isso basta.

2. Dos controles de perímetro à aplicação de políticas em tempo real
Firewalls e proteções no nível do gateway não funcionam quando o agente LLM já está dentro, usando ferramentas, acessando arquivos ou enviando solicitações de API de forma autônoma.

A segurança deve se aproximar mais do tempo de execução, aplicando permissões com escopo de tarefa, isolamento de ambiente e validação de intenção em tempo real. Pense nisso como uma política como inferência: o que um agente tem permissão para fazer deve ser verificado quando ele decide fazê-lo . Este é o colapso dos planos de dados e controle, e a segurança precisa estar envolvida.

3. Do registro de eventos à captura do contexto
Você não pode proteger o que não entende, e com agentes, entender vai além dos logs. Você deve registrar e rastrear cadeias de comandos, metadados das chamadas das ferramentas, capturas de memória e o contexto da execução. O contexto é o novo perímetro.

Por que o agente marcou cinco reuniões e enviou um e-mail para um fornecedor às 2 da manhã? Você só saberá se puder reproduzir a árvore de decisão dele. Isso não é observabilidade. É investigação forense de agentes.

4. De revisões de código a testes comportamentais
A lógica de um agente não está no código, mas na combinação de pesos, prompts, ferramentas e contexto. Por isso, revisão estática não funciona.

É preciso um controle de qualidade comportamental isolado: simule casos extremos, entradas adversas e limites de permissão. Coloque os agentes para atuar como engenheiros juniores em treinamento, não como módulos de código determinístico.

A equipe de red-teaming precisa evoluir de “invadir o sistema” para “manipular o agente” — repetidamente e atento às cascatas de falhas.

5. Da identidade do usuário à identidade e escopo do agente
O controle de acesso hoje é focado no usuário: quem você é e quais funções exerce? Isso não é suficiente para agentes. Agora, você deve atribuir identidade, escopo de privilégios e limites de tarefas aos agentes de IA, incluir expiração automática (como TTL), isolamento de memória compartilhada e registros de auditoria persistentes.

Em resumo: zero trust agora vale para atores não humanos. Você deve garantir essa confiança toda vez que eles acessam uma ferramenta ou utilizam um recurso.

IA agentiva não é apenas uma novidade, é uma transformação no nível dos sistemas. Quando os modelos alcançam autonomia, seu sistema aumenta em entropia, e suas suposições antigas viram riscos.

O que a SHIELD faz certo não é apenas sua lista de controles. É a filosofia, que considera duas premissas fundamentais:

• Considere que os agentes sairão do roteiro, seja por instinto ou por manipulação
• Considere que erros de raciocínio podem provocar efeitos colaterais em todo o sistema

As equipes de segurança que adotarem essas práticas agora vão construir diretrizes que acompanham o crescimento. E quem não fizer? Vai acabar tendo que resolver problemas causados por agentes que estavam apenas "tentando ajudar".

Então, não, suas estruturas atuais não bastam. Os agentes já chegaram. É hora de enfrentá-los com uma governança que realmente compreenda o que eles são.