Os agentes de IA agora oferecem mais acesso e mais conexões aos sistemas corporativos do que qualquer outro software no ambiente. Isso os torna uma superfície de ataque maior do que qualquer coisa que as equipes de segurança tiveram que governar antes, e a indústria ainda não possui uma estrutura para isso. “Se esse vetor de ataque for utilizado, pode resultar em violação de dados, ou ainda pior”, disse Spiros Xanthos, fundador e CEO da Resolve AI, falando em um evento recente da VentureBeat AI Impact Series. As estruturas de segurança tradicionais são construídas em torno das interações humanas. Ainda não existe uma construção acordada para agentes de IA que tenham personas e possam trabalhar de forma autônoma, observou Jon Aniano, vice-presidente sênior de produtos e aplicativos de CRM da Zendesk, no mesmo evento. A Agentic AI está se movendo mais rápido do que as empresas conseguem construir barreiras – e o Model Context Protocol (MCP), ao mesmo tempo que diminui a complexidade da integração, está piorando o problema. A Agentic AI está se movendo mais rápido do que as empresas conseguem construir barreiras de proteção ao seu redor, de acordo com Aniano e outros líderes empresariais. E o Model Context Protocol (MCP), embora diminua a complexidade da integração, não ajuda. “No momento, é um problema não resolvido porque é o oeste selvagem”, disse Aniano. “Nem sequer temos um protocolo técnico definido de agente para agente com o qual todas as empresas concordem. Como você equilibra as expectativas do usuário versus o que mantém sua plataforma segura?”
MCP continua “extremamente permissivo”
As empresas estão cada vez mais conectadas aos servidores MCP porque eles simplificam a integração entre agentes, ferramentas e dados. No entanto, os servidores MCP tendem a ser “extremamente permissivos”, disse ele. Eles são “provavelmente piores do que uma API”, afirmou ele, porque as APIs pelo menos têm mais controles para impor aos agentes. Os agentes actuais actuam em nome dos seres humanos com base em permissões explícitas, estabelecendo assim a responsabilidade humana. “Mas poderemos ter dezenas, centenas de agentes no futuro com identidade própria e acesso próprio”, disse Xanthos. “Torna-se uma matriz muito complexa.” Mesmo enquanto sua startup está desenvolvendo agentes autônomos de IA para engenharia de confiabilidade de sites (SRE) e gerenciamento de sistemas, ele reconheceu que a indústria “carece completamente da estrutura” para agentes autônomos. “Cabe inteiramente a nós e a qualquer pessoa que construa agentes descobrir quais restrições impor a eles”, disse ele. E os clientes devem poder confiar nessas decisões. Algumas ferramentas de segurança existentes oferecem acesso refinado – o Splunk, por exemplo, desenvolveu um método para fornecer acesso a certos índices em armazenamentos de dados subjacentes, observou ele – mas a maioria é mais ampla e orientada para humanos. “Estamos tentando descobrir isso com as ferramentas existentes”, disse ele. “Mas não creio que sejam suficientes para a era dos agentes.”
Quem é o responsável quando uma IA autentica incorretamente um usuário?
Na Zendesk e em outros fornecedores de plataformas de gerenciamento de relacionamento com o cliente (CRM), a IA está envolvida em uma série de interações do usuário, observou Aniano – na verdade, agora está em um “volume e escala que não contemplamos como empresas e como sociedade”.
Pode ser complicado quando a IA está ajudando agentes humanos; a trilha de auditoria pode se tornar um labirinto. “Então agora você tem um humano conversando com um humano que está conversando com uma IA”, observou Aniano. “O humano diz à IA para agir. Quem é o culpado se for a ação errada?” Isso se torna ainda mais complicado quando há “múltiplas peças de IA e vários humanos” na mistura. Para evitar que os agentes saiam dos trilhos, o Zendesk tende a ser “muito rigoroso” quanto ao acesso e ao escopo; no entanto, os clientes podem definir suas próprias proteções com base em suas necessidades. Na maioria dos casos, a IA pode acessar fontes de conhecimento, mas não escreve códigos ou executa comandos em servidores, disse Aniano. Se uma IA chamar uma API, ela será “projetada declarativamente” e sancionada, e as ações serão especificamente chamadas. No entanto, a procura dos clientes está a inundar estes cenários e “estamos a segurar as portas neste momento”, disse ele. A indústria deve desenvolver padrões concretos para as interações dos agentes. “Estamos entrando em um mundo onde, com coisas como o MCP que podem descobrir ferramentas automaticamente, teremos que criar novos métodos de segurança para decidir com quais ferramentas esses bots podem interagir”, disse Aniano. Quando se trata de segurança, as empresas ficam preocupadas, com razão, quando a IA assume tarefas de autenticação, como enviar e processar senhas de uso único (OTP), códigos SMS ou outros métodos de verificação em duas etapas, disse ele. O que acontece se uma IA autenticar ou identificar incorretamente alguém? Isso pode levar ao vazamento de dados confidenciais ou abrir a porta para invasores. “Existe um espectro agora, e o fim desse espectro hoje é um ser humano”, disse Aniano. No entanto, “o fim desse espectro amanhã poderá ser um agente especializado projetado para realizar o mesmo tipo de intuição ou interação em nível humano”. Os próprios clientes estão em um espectro de adoção e conforto. Em certas empresas – especialmente serviços financeiros ou outros ambientes altamente regulamentados – os seres humanos ainda devem estar envolvidos na autenticação, observou Aniano. Em outros casos, empresas herdadas ou velhas guardas confiam apenas em humanos para autenticar outros humanos. Ele observou que a Zendesk está experimentando novos agentes de IA que são “um pouco mais conectados aos sistemas” e trabalhando com um grupo seleto de clientes em torno da proteção.
A autorização permanente está chegando
Em algum futuro, os agentes poderão realmente ser mais confiáveis do que os humanos para realizar algumas tarefas e receber permissões “muito além” das que os humanos têm hoje, disse Xanthos. Mas estamos muito longe disso e, na maior parte dos casos, o medo de que algo corra mal é o que impede as empresas de avançarem. “O que é um medo bom, certo? Não estou dizendo que seja uma coisa ruim”, disse ele. Muitas empresas simplesmente ainda não se sentem confortáveis com um agente executando todas as etapas de um fluxo de trabalho ou fechando totalmente o ciclo sozinho. Eles ainda querem revisão humana. A Resolve AI está prestes a conceder autorização permanente aos agentes em alguns casos que são “geralmente seguros”, como na codificação; a partir daí, eles passarão para cenários mais abertos que não são tão arriscados, explicou Xanthos. Mas ele reconheceu que sempre existirão situações muito arriscadas em que erros de IA poderão “alterar o estado do sistema de produção”, como ele disse. Em última análise, porém: “Não há como voltar atrás, obviamente; isso está avançando mais rápido do que talvez até mesmo os dispositivos móveis. Então a questão é: o que fazemos a respeito?”
O que as equipes de segurança podem fazer agora
Ambos os oradores apontaram para medidas provisórias disponíveis no âmbito dos instrumentos existentes. Xanthos observou que algumas ferramentas – entre elas o Splunk – já oferecem controles de acesso refinados em nível de índice que podem ser aplicados aos agentes. Aniano descreveu a abordagem do Zendesk como um ponto de partida prático: chamadas de API projetadas declarativamente com ações sancionadas explicitamente, acesso estrito e limites de escopo, além de revisão humana antes de expandir as permissões do agente.
O princípio subjacente, como disse Aniano: “Estamos sempre verificando essas portas e vendo como podemos ampliar a abertura” – ou seja, não conceda autorização permanente até que você tenha validado cada expansão.
