O lado obscuro dos agentes de IA: poder sem controlo

A adoção de agentes de IA avançou mais depressa do que a capacidade de os governar

Um estudo da SailPoint indica que 82% das organizações já têm agentes AI em produção, mas apenas 44% dispõem de políticas documentadas sobre permissões e limites operacionais. O resultado vê-se no terreno: 80% das implementações registam ações não intencionais e 23% expõem credenciais em registos ou mensagens de erro. Não são casos isolados — são sintomas de um modelo operativo que ainda não acompanhou a tecnologia.

A diferença estrutural em relação aos antigos chatbots é simples: os agentes não apenas respondem — agem. Fazem chamadas de API autenticadas, utilizam contas de serviço e tokens com privilégios alargados e contornam controlos concebidos para pessoas — MFA, DLP no correio eletrónico ou aprovações manuais. Um agente de apoio ao cliente pode ler e alterar dados sem acionar mecanismos de controlo; um agente de DevOps consegue gerir pipelines de CI/CD com pouca ou nenhuma supervisão direta.

Este novo perímetro abre vetores de ataque sem qualquer interação humana. Na Black Hat USA 2025, a Zenity demonstrou cadeias zero-click contra agentes empresariais; no caso do Microsoft Copilot Studio, bastou um ficheiro armadilhado numa fonte integrada — por exemplo, SharePoint ou um e-mail/convite — para introduzir instruções ocultas. Quando o agente processa esse conteúdo, interpreta-o como ordens, contorna barreiras de prompt e, com credenciais válidas, enumera conectores e extrai registos do CRM — tudo sem um único clique.

Responder a este risco não implica travar a adoção; implica tratá-los como identidades privilegiadas, com gestão completa do seu ciclo de vida: autenticação com rotação regular, inventário de agentes com proprietário definido, propósito claro e data de desativação planeada, bem como procedimentos de break-glass para revogar credenciais rapidamente quando algo corre mal.

A observabilidade também precisa de evoluir. Não basta registar o resultado final; é essencial capturar a cadeia de decisão: que ferramentas foram invocadas, com que parâmetros, que valores retornaram e como isso conduziu à ação seguinte. Com essa visibilidade, é possível criar uma linha de base por agente; a partir daí, perfis de comportamento permitem detetar desvios cedo — antes de se transformarem em incidentes.

Os controlos mais eficazes vivem fora do modelo. Limitação de taxa para travar extrações massivas, segmentação de rede para reduzir movimentos laterais e tokens de aprovação para operações sensíveis, como alterações em massa, pagamentos ou ações destrutivas. Sempre que possível, aplique guardrails no próprio plano de execução — APIs, filas, gateways — e não apenas no prompt.

Convém ainda ajustar o modelo operativo: revisões de risco em pré-produção, testes de penetração específicos para agentes (incluindo cenários de injeção indireta), segregação clara de ambientes e métricas de governação que realmente importam — tempo médio até à revogação, percentagem de agentes com proprietário identificado, idade média dos segredos e cobertura de logging das decisões. Sem estes controlos básicos, a automação amplifica erros e multiplica o impacto.

A pressão competitiva tornará os agentes inevitáveis e, configurados com disciplina, os ganhos são reais. A Gartner estima que 40% destes projetos falharão até 2027 devido a custos, valor de negócio pouco claro e controlos de risco frágeis. O problema não é a tecnologia — é a governação. Trate os agentes como software altamente privilegiado que opera com credenciais de produção. Com regras bem definidas, proporcionam velocidade sem abrir brechas; sem essa disciplina, criam uma camada de shadow AI — mais perigosa do que qualquer ferramenta não autorizada, porque atua de forma legítima dentro dos próprios sistemas.

João Sequeira, Director Secure e-Solutions GMV in Portugal

*Este artigo foi publicado pela primeira vez na IT Security