Segurança em Agentes de IA que Codificam: O Problema de Infraestrutura que Ninguém Está Falando
O Problema de Segurança Escondido nos Seus Ferramentas de Desenvolvedor
Vamos ser diretos: a maioria dos times de engenharia não faz ideia de quantos agentes de IA estão rodando dentro da organização neste momento. Cursor, Claude Code, GitHub Copilot, Gemini CLI, ferramentas internas personalizadas — a lista cresce todo mês. Cada um tem suas próprias configurações, seu próprio modelo de permissões e sua própria interpretação do que significa "seguro".
Isso não é uma preocupação hipotética. É o cenário real da adoção de IA nas empresas hoje.
A Anthropic recentemente publicou como ela segura o Claude, e vale a pena estudar — não porque seja mágica, mas porque expõe a tensão fundamental entre o que a IA pode fazer e o controle que a organização precisa ter sobre isso. Eles conseguem proteger seus agentes porque controlam tudo: o modelo, o runtime, o caminho de rede, o framework de governança. Sua empresa não tem esse luxo. O que você tem é uma coleção de ferramentas de terceiros, autonomia dos desenvolvedores e políticas de segurança que foram escritas numa era em que agentes de IA ainda não podiam ler arquivos, executar comandos shell e acessar a rede.
O Que a Anthropic Acerta
O sandbox-runtime que eles liberaram é elegante na sua simplicidade. Funciona com um princípio de egresso negado por padrão: se um agente dentro do sandbox tenta alcançar um endpoint não autorizado, a requisição morre na camada do proxy. Sem exfiltração, sem callback, sem dano.
Esse é o tipo de segurança determinística que realmente funciona. Em vez de confiar que o modelo vai "entender" que não deveria roubar credenciais, você constrói uma barreira física que torna o roubo de credenciais impossível — independente do que o agente decida fazer.
A Anthropic organiza suas defesas em três camadas, ranqueadas por confiabilidade:
Camada de ambiente — Barreiras rígidas como VMs em sandbox, modos de montagem de filesystem e network allowlists. Essa é a fundação.
Camada de modelo — Controles comportamentais como system prompts, classificadores e fluxos de aprovação. Úteis, mas explicitamente reconhecidos como "nunca 100% eficazes".
Camada de conteúdo externo — Controlar o que chega até o agente, incluindo auditoria de servidores MCP e inspeção de output de ferramentas.
O ponto-chave aqui é o ranqueamento. A camada de ambiente faz o trabalho pesado. A camada de modelo é um complemento útil. A camada de conteúdo externo é seu sistema de alerta precoce.
O Ataque que Ninguém Comenta
Modelos de ameaça abstratos são fáceis de ignorar. Exemplos concretos são mais difíceis de descartar.
Imagine o seguinte cenário, que pesquisadores de segurança reproduzem regularmente: um desenvolvedor clona um repositório para avaliar uma biblioteca open-source. O README parece normal. Foi escaneado em busca de malware e passou em todas as verificações.
Mas escondido naquele README existem instruções para o agente de IA. Não para o humano que lê o arquivo — para o agente que pode ingeri-lo como contexto. O prompt injetado diz ao agente para "configurar o ambiente de desenvolvimento" encontrando arquivos .env, procurando por credenciais AWS e subindo tudo para um endpoint de setup.
Isso não é malware. É só texto. O scanner não detecta. O desenvolvedor não percebe. Mas o agente segue as instruções porque é isso que agentes fazem — executam tarefas embutidas no contexto que recebem.
O ataque se desenrola em etapas: primeiro uma varredura por arquivos de ambiente, depois uma busca por caminhos de upload e exfiltração, e por fim a requisição curl final para o endpoint do atacante. Cada ação parece inocente isoladamente. Juntas, elas constituem roubo de credenciais.
Por Que Seu Laptop Não É Suficiente
Aqui está a verdade desconfortável: se esse agente está rodando em um sandbox configurado corretamente, o ataque falha na camada de rede. A requisição curl nunca chega ao atacante. A credencial nunca sai da máquina.
Mas sabe o que é pior? Sua equipe de segurança não tem ideia de que isso aconteceu.
O sandbox contém o dano. Ele não contém a visibilidade. Você pode estar rodando dezenas de repositórios comprometidos agora mesmo, cada um sondando seus agentes, cada tentativa bloqueada silenciosamente enquanto seu SIEM não registra nada útil.
Esse é o problema empresarial. Não basta parar ataques individuais. Você precisa saber que eles estão acontecendo, quem foi alvo, quais repositórios bloquear e como escrever uma política que cubra cada agente da organização — não só o que roda no sandbox.
O Ponto Cego dos Servidores MCP
Aqui está a parte que surpreende a maioria das equipes: servidores Model Context Protocol são a superfície de ataque mais subestimada em implantações de agentes de IA.
Servidores MCP estendem o que seus agentes podem fazer. Eles podem ler de bancos de dados, chamar APIs, executar código e acessar sistemas que ficam fora da sua infraestrutura. Quando você aprova um servidor MCP, você está basicamente concedendo permissões elevadas a um agente em todo o seu ambiente.
O problema? A maioria das equipes aprova servidores MCP uma vez e nunca mais audita. Um servidor MCP comprometido ou malicioso pode causar muito mais dano do que um README envenenado porque opera em um nível de privilégio mais alto e frequentemente persiste entre sessões.
Seu framework de governança precisa tratar servidores MCP como dependências de terceiros: auditados, versionados e monitorados. Um agente que pode alcançar seu banco de dados de produção através de um servidor MCP é um agente que pode exfiltrar toda a sua tabela de clientes se algo der errado.
O Que Você Pode Fazer Agora
Nada disso é insolúvel, mas requer tratar a segurança de agentes de IA como um problema de infraestrutura — não como um problema de ferramentas de desenvolvedor.
Comece pela camada de ambiente. Rode agentes em ambientes isolados com políticas de rede deny-by-default sempre que possível. Seus desenvolvedores podem reclamar do atrito. Vão reclamar menos do que você quando credenciais vazarem.
Aceite que a camada de modelo é imperfeita. System prompts e classificadores reduzem risco, mas não eliminam. Modelos mais capazes são melhores em encontrar caminhos inesperados para contornar restrições. Planeje para isso.
Audite seus servidores MCP. Faça uma lista de cada servidor MCP que seus agentes podem acessar. Trate como um inventário de software. Remova qualquer coisa que você não reconhece ou não consegue auditar.
Invista em observabilidade. Bloquear ataques é bom. Saber que eles aconteceram é melhor. Sua equipe de segurança precisa de visibilidade em cada agente da organização, não só no que roda no sandbox.
Escreva políticas, não preferências. "Tenha cuidado com credenciais" não é uma política de segurança. "Agentes não podem iniciar conexões de rede para domínios não allowlistados enquanto acessam repositórios marcados como externos" é uma política de segurança. Torne as regras explícitas, aplicáveis e consistentes.
O Fim da História
A transparência da Anthropic sobre contenção de agentes é genuinamente valiosa. Mostra o que é possível quando uma organização controla toda a pilha. Mas a maioria das organizações não tem esse controle, e fingir o contrário é como vazamentos acontecem.
Os agentes já estão rodando na sua organização. A questão não é se você vai protegê-los — é se você vai ser o time que descobre como fazer a governança funcionar antes que algo dê errado.
Seus desenvolvedores estão se movendo rápido. Tenha certeza de que sua infraestrutura está acompanhando.