Agentic AI já está em produção em muitas empresas e muitas vezes opera sem a supervisão da equipe de segurança; entender como esses agentes funcionam, as categorias de risco e controles de configuração é prioridade para reduzir a superfície de ataque e evitar que decisões de arquitetura sejam tomadas sem participação da segurança.
Agentic AI já está em produção em muitas empresas e frequentemente age sem participação significativa da equipe de segurança.
A discussão do setor tem se concentrado em permitir, restringir ou monitorar, mas isso perde o ponto mais urgente: se os profissionais de segurança realmente compreendem o que estão enfrentando.
Em grande parte das organizações, essa compreensão ainda não existe e a lacuna só aumenta com o tempo.
Não se pode proteger algo que não se compreende, pois fluência na tecnologia vem antes de qualquer defesa eficaz.
Assim como ocorreu com firewalls e depois com a nuvem, a segurança só funciona bem quando a equipe desenvolve familiaridade profunda com a tecnologia em questão.
O mesmo processo está acontecendo com a IA, porém em ritmo mais rápido e com consequências potencialmente maiores.
Quando a equipe de segurança não fala a linguagem da engenharia de IA, acaba sendo contornada nas decisões e não consegue propor controles práticos.
O ponto de partida sugerido é o engajamento direto: experimente construir um agente e use as mesmas ferramentas que seus desenvolvedores utilizam.
O panorama de agentes é amplo e o perfil de risco varia bastante, mas três categorias merecem atenção distinta.
A primeira categoria inclui agentes gerais de codificação e produtividade já integrados ao fluxo dos desenvolvedores, como assistentes de código.
A segunda são agentes de fornecedores que usam o Model Context Protocol (MCP) para conectar-se a serviços externos e agir em nome dos usuários.
Esses agentes podem gerenciar agenda, e-mail e sistemas internos, criando vetores de ataque práticos, como convites de calendário com instruções escondidas que o agente interpreta e executa.
A terceira categoria é a dos agentes personalizados criados por usuários sem necessidade de programação tradicional, o que remove barreiras antigas entre segurança e código.
Isso é útil para times de segurança que podem acelerar investigações e triagens, mas também significa que outras áreas da empresa poderão implantar agentes sem revisão de segurança.
Na prática, isso configura um problema de cadeia de suprimentos em nova forma, porque muitos agentes entram em produção sem controles aplicados.
Quando a segurança chega atrasada em uma mudança tecnológica, a organização já avançou e as permissões amplas que tornam agentes úteis também ampliam o blast radius de falhas.
Um agente com acesso ao terminal e à caixa de e-mail, por exemplo, pode ser manipulado por um canal para realizar ações no outro, criando caminhos de movimentação lateral exploráveis.
Para mitigar esse risco é preciso entender como o agente foi construído, algo que só vem com engajamento prático e hands-on.
Duas camadas de conhecimento são essenciais: entender a arquitetura das aplicações de IA do ponto de vista do praticante e manter-se atualizado sobre ferramentas, frameworks e taxonomias de ameaça emergentes.
Sem essa base técnica, conversas com fornecedores de soluções de segurança para IA tornam-se difíceis e fica quase impossível distinguir controles reais de simples marketing.
Muitas implantações inseguras decorrem de configurações negligentes mais do que de defeitos fundamentais nas ferramentas.
Controlar o escopo é uma medida de segurança poderosa: um agente de agenda não precisa de acesso ao terminal, e um agente que processa solicitações não precisa de permissão de escrita no repositório de código.
Pequenas mudanças de configuração, como restringir um assistente auto-hospedado a uma conta confiável, já reduzem significativamente a exposição.
O trade-off entre a necessidade de amplo acesso para utilidade e a necessidade de limitação para segurança exige o envolvimento da equipe de segurança ainda na fase de desenho da solução.
Organizações que desenvolverem fluência em segurança de IA agora terão mais influência sobre como esses sistemas serão implantados no futuro.
Para quem busca iniciar com uma base sólida, há cursos que tratam de segurança de aplicações GenAI e LLM em eventos como o SANSFIRE 2026, incluindo atividades práticas como varredura de modelos para detectar modelos comprometidos antes da execução.
