Agentes Zumbi não são um problema de segurança; são um problema de arquitetura

Compartilhar:

Há uma metáfora circulando nos papers de cibersegurança neste momento que considero mais precisa do que seus autores provavelmente pretendiam.

O agente zumbi.

Um agente de IA criado para um projeto, uma prova de conceito, uma automação temporária. O projeto termina. O time segue em frente. O agente permanece. Com suas credenciais válidas, seus tokens de API ativos, suas permissões de acesso a sistemas em produção. Ninguém o monitora. Ninguém é responsável por ele. Ninguém sabe exatamente o que está fazendo, ou se ainda está fazendo alguma coisa.

Roland Palmer, CISO da JumpCloud, descreveu esse cenário com uma frase certeira: é como um prestador de serviços que terminou o trabalho, guardou o crachá e continua aparecendo no escritório para fazer coisas que ninguém pediu.

Os dados quantitativos sobre esse fenômeno ainda são fragmentados, o território é recente demais para estatísticas consolidadas. Mas quem trabalha em ambientes enterprise complexos sabe que isso não é hipótese. É a realidade operacional de quase toda organização que começou a adotar agentes de IA nos últimos dezoito meses.

O problema real não é o zumbi. É o cemitério.

A narrativa dominante enquadra o problema como um tema de segurança de identidade: agentes têm identidades digitais, essas identidades precisam ser gerenciadas como as humanas, com ciclos de vida definidos, nascimento, vida operacional, morte controlada.

Está correto. Mas está incompleto. O motivo pelo qual uma organização se vê rodeada de dezenas de agentes zumbis não é culpa do atacante. É culpa do processo pelo qual os agentes são criados. Nascem sem um responsável formal. São implantados sem documentação de propósito. São conectados a sistemas produtivos sem uma governança que rastreie suas dependências. E quando o projeto termina ou quando o desenvolvedor que os criou muda de time, ninguém sabe onde estão, o que fazem, a quais sistemas têm acesso.

O cemitério não se enche porque alguém mata os agentes de forma incorreta. Se enche porque ninguém jamais os fez “nascer” da forma correta.

A fronteira que ninguém quer desenhar

Há um segundo problema, mais sutil, que emerge assim que se passa das provas de conceito para a produção real. E diz respeito não à morte dos agentes, mas à sua vida operacional.

Agentes de IA raciocinam de forma probabilística. Estimam, pesam contextos, escolhem entre opções com graus de confiança. É exatamente essa capacidade que os torna úteis, conseguem navegar a ambiguidade, interpretar instruções incompletas, adaptar-se a situações não previstas. O mundo agêntico é, por definição, um mundo de aproximações inteligentes.

O problema é que os agentes não vivem num mundo agêntico. Vivem num mundo híbrido, feito de sistemas legados, ERPs, bancos de dados relacionais, APIs corporativas construídas nos anos 2000, processos de aprovação que exigem um sim ou um não, não uma probabilidade de 87%.

Quando um agente decide atualizar um registro num sistema SAP, enviar uma comunicação a um cliente, aprovar uma solicitação de compra abaixo de determinado valor, ou modificar uma configuração de rede, ele entra num território determinístico que não tolera ambiguidade. O sistema a jusante não entende “provavelmente correto”. Ele executa e ponto.

Essa é a verdadeira ausência de guardrail nas arquiteturas agênticas de hoje. Não apenas “a quais sistemas este agente pode acessar”, mas “onde termina sua margem de autonomia e onde começa a certeza exigida pelo sistema a jusante”. É a fronteira entre raciocínio probabilístico e ação determinística. Entre o mundo da IA e o mundo real do enterprise.

Desenhar essa fronteira não é um problema técnico no sentido estrito. É uma decisão arquitetural e organizacional: quais ações um agente pode executar com autonomia, quais exigem supervisão humana, quais estão simplesmente fora do seu alcance, independentemente de quão “seguro” ele esteja da resposta. Um agente que faz pesquisa de informações pode tolerar uma margem de erro. Um agente que escreve num banco de dados de produção, não.

Da segurança à arquitetura: a mudança de perspectiva necessária

Juntando os dois problemas, o ciclo de vida dos agentes e a fronteira entre autonomia e determinismo, chega-se a uma conclusão que muda completamente as soluções a buscar. Se o problema é de segurança, a resposta é uma ferramenta de descoberta e revogação de acessos. Útil. Necessária. Insuficiente.

Se o problema é de arquitetura, como acredito, a resposta precisa ser estrutural e responder a perguntas diferentes:

Quem tem o direito de criar um agente? Com qual processo de aprovação, qual documentação obrigatória de propósito, responsável, dependências e data de revisão?

O que pode fazer, e com qual grau de autonomia? Não apenas quais APIs pode chamar, mas em quais sistemas pode escrever, com qual orçamento computacional, com qual supervisão humana obrigatória acima de determinados limiares de impacto. O guardrail não é um filtro estático, é um mapa dinâmico de onde termina o probabilístico e começa o determinístico.

Quanto custa? FinOps para agentes de IA ainda não está na agenda da maioria das organizações. Um agente esquecido não é apenas um risco de segurança, é um custo operacional que ninguém está monitorando.

Como morre de forma garantida? Não “alguém vai cuidar disso quando precisar”, mas um processo automatizado, rastreável, verificável, com revogação de acessos e trilha de auditoria completa.

O paradoxo da velocidade

Há uma ironia estrutural em tudo isso. Os agentes de IA são adotados para aumentar a velocidade operacional. Criam-se em minutos, um desenvolvedor escreve algumas linhas, conecta um LLM, aponta para uma API, e em menos de uma hora automatizou um fluxo de trabalho que antes levava horas. É exatamente essa velocidade de criação que gera o problema.

Ao contrário de um funcionário, que exige semanas de integração, contrato, acessos formais, um agente é implantado com a mesma urgência com que se resolve um ticket. E com o mesmo nível de documentação: quase zero.

O resultado é que as organizações estão repetindo os erros históricos do gerenciamento de identidades: contas dormentes, permissões excessivas e ausência de revisão periódica. Mas agora isso acontece na velocidade das máquinas e em uma escala que as infraestruturas de governança existentes não foram projetadas para suportar. E estão fazendo isso com sistemas que, ao contrário das contas humanas esquecidas, podem agir de forma autônoma.

A pergunta que revela tudo

Há uma pergunta simples que aprendi a fazer quando entro numa organização que começou a adotar agentes de IA: se este agente deixasse de ser útil hoje, seu acesso desapareceria imediata e verificavelmente?

Na quase totalidade dos casos, a resposta é incerta. O que significa que o modelo de governança já está falhando, não como risco futuro, mas como dívida operacional presente.

Acrescento uma segunda, que diz respeito não ao fim, mas à vida do agente: você sabe exatamente onde este agente para de raciocinar e começa a agir em sistemas que não toleram erros?

Se essa resposta também for incerta, a arquitetura tem um problema que nenhuma ferramenta de segurança resolve sozinha. O futuro não é o mundo totalmente agêntico que o marketing da IA pinta, onde os agentes orquestram tudo com autonomia e os seres humanos supervisionam de cima com serenidade olímpica. O futuro próximo é híbrido, necessariamente: agentes de IA operando dentro de ecossistemas legados construídos sobre lógicas determinísticas, com dados estruturados de formas que nenhum LLM viu no treinamento, com processos de aprovação que existem por razões regulatórias inegociáveis.

Governar essa fronteira com precisão, rastreabilidade e responsabilidade clara é o trabalho real. Sem glamour. Mas é aí que se ganha ou se perde. Agentes zumbis não nascem sozinhos. E sistemas legados não se tornam agênticos por decreto.



Fonte Startupi

Artigos relacionados

Enquanto muitos concentram seus projetos nas grandes capitais, Pai Fernando de Oxum consolida sua trajetória a partir do interior do Rio Grande do Sul

Aos 26 anos, Pai Fernando de Oxum demonstra que grandes projetos não precisam nascer nos principais centros urbanos...

Seu rosto comunica quem você é? Especialista explica como a análise facial e a imagem estratégica podem influenciar a forma como você é percebido

Método une comportamento, análise facial, visagismo e estratégia de imagem para fortalecer autoridade, credibilidade e posicionamento profissional São Paulo,...

Lys Valmont amplia atuação no entretenimento e consolida nova fase da carreira com o lançamento de “Diz Que Me Ama”

Empresária artística e cantora, Lys Valmont reforça sua presença no mercado do entretenimento ao lançar o single "Diz...

Matheus Oliveira celebra 33 anos com almoço exclusivo e reúne convidados em evento marcado pela gastronomia e sofisticação

O nutricionista Matheus Oliveira celebrou a chegada dos seus 33 anos em grande estilo, reunindo um seleto grupo...