Seu agente não é mais apenas um chatbot — então por que você ainda o trata como um?

Nos primórdios da IA generativa, o pior cenário para um chatbot que se comportasse mal era frequentemente pouco mais do que constrangimento público. chatbot pode alucinar fatos, cuspir textos tendenciosos ou até mesmo te xingar. Isso já era ruim o suficiente. Mas agora, nós entregamos as chaves.

Bem-vindo à era dos agentes.

Do chatbot ao agente: a mudança de autonomia

Os chatbots eram reativos. Permaneciam em suas áreas de atuação. Faça uma pergunta e obtenha uma resposta. Mas os agentes de IA — especialmente aqueles desenvolvidos com uso de ferramentas, execução de código e memória persistente — podem executar tarefas com várias etapas, invocar APIs, executar comandos e escrever e implementar código de forma autônoma.

Em outras palavras, eles não estão apenas respondendo a comandos — eles estão tomando decisões. E, como qualquer profissional de segurança lhe dirá, quando um sistema começa a agir no mundo, é melhor levar a segurança e o controle a sério.

O que alertamos sobre 2023

Na OWASP, começamos a alertar sobre essa mudança há mais de dois anos. Na primeira publicação do OWASP Top 10 para Candidaturas a Mestrado em Direito, criamos um termo: Agência Excessiva.

A ideia era simples: quando você dá a um modelo muita autonomia — muitas ferramentas, muita autoridade, pouca supervisão — ele começa a agir mais como um agente livre do que como um assistente limitado. Talvez ele agende suas reuniões. Talvez ele exclua um arquivo. Talvez ele provisione uma infraestrutura de nuvem excessiva e cara.

Se você não tomar cuidado, ele começa a se comportar como um delegado confuso... ou pior, um agente inimigo adormecido, à espera de ser explorado em um incidente de segurança cibernética. Em exemplos reais recentes, agentes de grandes produtos de software como copiloto da Microsoft, Produto Slack da Salesforce ambos se mostraram vulneráveis a serem enganados e usar seus privilégios escalonados para exfiltrar dados confidenciais.

E agora, essa hipótese está parecendo menos ficção científica e mais com seu próximo roteiro para o terceiro trimestre.

Conheça o MCP: a camada de controle do agente (ou não?)

Avançando para 2025, vemos uma onda de novos padrões e protocolos projetados para lidar com essa explosão na funcionalidade dos agentes. O mais proeminente deles é o Protocolo de Contexto de Modelo (MCP) da Anthropic — um mecanismo para manter memória compartilhada, estruturas de tarefas e acesso a ferramentas em sessões de agentes de IA de longa duração.

Pense no MCP como a cola que mantém o contexto de um agente unido em todas as ferramentas e ao longo do tempo. É uma maneira de dizer ao seu assistente de codificação: "Aqui está o que você fez até agora. Aqui está o que você pode fazer. Aqui está o que você deve lembrar."

É um passo muito necessário. Mas também está levantando novas questões.

O MCP é um facilitador de capacidades. Onde estão as proteções?

Até agora, o foco do MCP tem sido expandir o que os agentes podem fazer, não controlá-los.

Embora o protocolo ajude a coordenar o uso de ferramentas e a preservar a memória nas tarefas do agente, ele ainda não aborda questões críticas como:

• Resistência à injeção imediata:O que acontece se um invasor manipular a memória compartilhada?
• Escopo de comando:O agente pode ser induzido a exceder suas permissões?
• Abuso de token: Um vazamento de memória pode expor credenciais de API ou dados do usuário?

Estes não são problemas teóricos. Uma análise recente das implicações de segurança revelou que arquiteturas no estilo MCP são vulneráveis a injeção de prompts, uso indevido de comandos e até mesmo envenenamento de memória, especialmente quando a memória compartilhada não tem escopo ou criptografia adequados.

Este é o clássico problema do "poder sem supervisão". Construímos o exoesqueleto, mas ainda não descobrimos onde fica o botão de desligar.

Por que os CISOs devem prestar atenção — agora

Não estamos falando de tecnologia do futuro. Estamos nos referindo a ferramentas que seus desenvolvedores já usam, e isso é apenas o começo de uma implementação massiva que veremos nas empresas.

Agentes de codificação como Claude Code e Cursor estão ganhando força nos fluxos de trabalho corporativos. Uma pesquisa interna do GitHub mostrou que o Copilot pode acelerar tarefas em 55%. Mais recentemente, a Anthropic relatou que 79% do uso do Claude Code foi focado em execução automatizada de tarefas, não apenas sugestões de código.

Isso é produtividade de verdade. Mas também é automação de verdade. Eles não são mais copilotos. Estão cada vez mais voando sozinhos. E a cabine? Está vazia.

O CEO da Microsoft, Satya Nadella, afirmou recentemente que a IA agora escreve até 30% do código da Microsoft. O CEO da Anthropic, Dario Amodei, foi ainda mais longe, prevendo que a IA gerará 90% do novo código em seis meses.

E não se trata apenas de desenvolvimento de software. O Model Context Protocol (MCP) agora está sendo integrado a ferramentas que vão além da codificação, abrangendo triagem de e-mails, preparação de reuniões, planejamento de vendas, resumo de documentos e outras tarefas de alta produtividade para usuários em geral. Embora muitos desses casos de uso ainda estejam em estágios iniciais, eles estão amadurecendo rapidamente. Isso muda os riscos. Esta não é mais uma discussão apenas para seu CTO ou VP de Engenharia. Exige atenção de líderes de unidades de negócios, CIOs, CISOs e diretores de IA. À medida que esses agentes começam a interagir com dados confidenciais e a executar fluxos de trabalho multifuncionais, as organizações devem garantir que governança, gerenciamento de riscos e planejamento estratégico sejam parte integrante da conversa desde o início.

O que precisa acontecer a seguir

É hora de parar de pensar nesses agentes como chatbots e começar a pensar neles como sistemas autônomos com requisitos de segurança reais. Isso significa:

• Limites de privilégios do agente:Assim como você não executa todos os processos como root, os agentes precisam de acesso com escopo às ferramentas e comandos.
• Governança de memória compartilhada: A persistência de contexto deve ser auditada, versionada e criptografada, especialmente quando compartilhada entre sessões ou equipes.
• Simulações de ataque e formação de equipes vermelhas: Injeção de prompt, envenenamento de memória e uso indevido de comandos devem ser tratados como ameaças de segurança de alto nível.
• Treinamento de funcionário: O uso seguro e eficaz de agentes de IA é uma habilidade nova, e as pessoas precisam de treinamento. Isso as ajudará a serem mais produtivas e a manter sua propriedade intelectual mais segura.

À medida que sua organização se aprofunda em agentes inteligentes, muitas vezes é melhor começar do que correr. Adquira experiência com agentes com escopo, dados e permissões limitados. Aprenda à medida que constrói guarda-corpos e experiência organizacionais e, em seguida, avance para casos de uso mais complexos, autônomos e ambiciosos.

Você não pode ficar de fora desta

Seja você um Diretor de IA ou um Diretor de Informação, suas preocupações iniciais podem ser diferentes, mas o caminho a seguir é o mesmo. Os ganhos de produtividade com agentes de codificação e sistemas autônomos de IA são atraentes demais para serem ignorados. Se você ainda adota a abordagem de "esperar para ver", já está ficando para trás.

Essas ferramentas não são mais apenas experimentais — estão rapidamente se tornando apostas básicas. Empresas como a Microsoft estão gerando uma enorme quantidade de código por meio de IA e, como resultado, avançando em suas posições competitivas. Ferramentas como o Claude Code estão reduzindo o tempo de desenvolvimento e automatizando fluxos de trabalho complexos em inúmeras empresas no mundo todo. As empresas que aprenderem a utilizar esses agentes com segurança entregarão seus produtos mais rapidamente, se adaptarão mais rapidamente e superarão seus concorrentes.

Mas velocidade sem segurança é uma armadilha. Integrar agentes autônomos ao seu negócio sem controles adequados é uma receita para interrupções, vazamentos de dados e repercussões regulatórias.

Este é o momento de agir, mas agir com inteligência:

• Programas piloto de agentes de lançamento, mas exigem revisões de código, permissões de ferramentas e sandbox.
• Limite a autonomia ao que é necessário—nem todo agente precisa de acesso root ou memória de longo prazo.
• Auditar memória compartilhada e chamadas de ferramentas, especialmente em sessões de longa duração ou contextos colaborativos.
• Simular ataques usando injeção rápida e abuso de comando para descobrir riscos do mundo real antes que os invasores o façam.
• Treine seus desenvolvedores e equipes de produtos sobre padrões de uso seguro, incluindo controle de escopo, comportamentos de fallback e caminhos de escalonamento.

Segurança e velocidade não são mutuamente exclusivas — se você construir com intenção.

As empresas que tratam os agentes de IA como infraestrutura central, e não como brinquedos ou brinquedos transformados em ameaças, serão as que prosperarão. O restante ficará limpando a bagunça — ou, pior, observando de fora.

A era dos agentes chegou. Não reaja apenas. Prepare-se. Integre. Proteja.