Proteja seu Agente de Código IA: Por Que Visibilidade nas Ações É Essencial Agora
O Poder Oculto (e os Riscos) dos Agentes de IA para Código
Em 2024, quem desenvolve software já deve ter sentido o encanto dos assistentes de IA. Basta descrever uma funcionalidade nova. O agente analisa o código, aplica mudanças, testa tudo e até faz o commit. Você só relaxa com um café na mão. É uma revolução de verdade.
O problema é esse: a maioria dos devs não tem controle claro sobre o que esses agentes fazem enquanto rodam.
Todo comando shell, escrita de arquivo ou leitura de configs acontece com suas permissões de usuário, no seu sistema de arquivos e usando suas credenciais. O agente acessa chaves SSH, tokens AWS e variáveis de ambiente. Você vê só a interface amigável do chat. Por baixo dos panos? Um mistério total.
Um Cenário Real (e Assustador)
Pense nisso: você pede para o agente refatorar um módulo de autenticação bagunçado. Ele lê os arquivos, otimiza o código e roda testes. Mas aí, por uma dependência maliciosa, injeção de prompt ou raciocínio confuso, ele tenta ler ~/.ssh/known_hosts. Depois, mexe em ~/.aws/credentials/.
Você ia perceber? Quase certeza que não, só depois do estrago.
É uma ameaça de segurança que pouca gente discute. Por isso, monitorar agentes de IA em tempo real vira essencial.
Conheça o Prempti: Falco para Agentes de Código
A comunidade open-source está agindo. Usando ferramentas prontas de segurança em runtime — como o motor Falco de detecção de ameaças — sobre as chamadas de ferramentas dos agentes de IA, surge algo forte: visibilidade estruturada e aplicação de regras no exato momento da ação.
Funciona assim:
Antes de qualquer tool call (leitura de arquivo, escrita, comando bash etc.), o Prempti intercepta. A solicitação vai para o Falco, que checa contra suas políticas de segurança. O Falco dá o veredicto:
- Allow — a ação rola normal
- Deny — bloqueia e explica o motivo pro agente
- Ask — pede sua aprovação ou rejeição na hora
Sem módulos no kernel. Sem root. Sem containers. É um serviço leve no user-space que se integra ao pipeline de tool calls do agente.
O agente não só para: ele ganha uma explicação clara do porquê. Isso torna a segurança visível, em vez de invisível.
Dois Modos de Operação: Observa Primeiro, Depois Bloqueia
O Prempti vem com dois modos espertos:
Modo monitor mostra tudo que o agente acessa, sem bloquear nada. Rode por umas sessões, entenda o comportamento real, ajuste regras e ganhe confiança.
Modo guardrails (padrão) aplica os veredictos de verdade. Bloqueia o que deve, pergunta quando precisa, libera o resto.
Troque fácil:
premptictl mode monitor # só observa
premptictl mode guardrails # aplica regras
premptictl logs # vê eventos ao vivo
É assim que ferramenta de segurança tem que ser: observa antes, bloqueia com segurança.
Criando Políticas: Simples e Familiar
Se você já mexeu com regras Falco, vai pegar no ar. Veja uma regra que barra um truque antigo — pipe direto pra interpretador shell (alvo clássico de injeção de prompt):
- rule: Deny pipe to shell
desc: Block piping content to shell interpreters
condition: >
tool.name = "Bash"
and (tool.input_command contains "| sh"
or tool.input_command contains "| bash"
or tool.input_command contains "| zsh")
output: >
Falco blocked piping to a shell interpreter (%tool.input_command)
priority: CRITICAL
source: coding_agent