À medida que agentes de código movidos por IA começam a puxar e instalar pacotes autonomamente, muitas empresas ficam sem um responsável por essas decisões, abrindo uma lacuna de responsabilidade que aumenta o risco na cadeia de suprimentos; soluções como Aikido Endpoint e Aikido Infinite prometem inspeção e bloqueio antes da instalação, combinando detecção por IA e validação humana, enquanto outras empresas adotam estratégias complementares para detecção em tempo real, endurecimento de imagens e proteção em runtime.
“There is no accountability”: é como Willem Delbare, cofundador e CEO da Aikido Security, descreve a situação em que um agente instala um pacote e ninguém assumiu a responsabilidade.
Ele alerta que, com agentes de código em ascensão, pacotes podem ser adicionados sem que alguém decida quem responde por aquilo.
Isso expõe empresas a todo tipo de ataques à medida que equipes de marketing, vendas e produto usam IA sem fiscalização.
Aikido busca fechar essa lacuna com soluções como o Aikido Endpoint, lançado no mês passado, que inspeciona pacotes, plugins e extensões de IDE e navegador antes de cada instalação e bloqueia malware automaticamente.
O Endpoint dá às equipes de segurança monitoramento em tempo real e aplicação de políticas, mantendo a flexibilidade para que desenvolvedores usem pacotes, MCPs, extensões, modelos de IA e agentes de forma segura.
Em março, a empresa também apresentou o Aikido Infinite, uma plataforma contínua de pen testing por IA destinada a tornar o software auto-seguro.
Aikido não é a única no mercado: empresas como Socket, Endor Labs, Chainguard, Arcjet e Mobb Security adotam abordagens diferentes para proteger a cadeia de suprimentos e fluxos de trabalho agenticos.
Socket, por exemplo, afirma ter detectado uma dependência maliciosa no pacote Axios em seis minutos e ajudado organizações a bloqueá-la antes da produção.
Endor Labs lançou em março ferramentas para detectar vulnerabilidades em tempo real dentro de assistentes de código como Cursor e Claude Code.
Chainguard foca em imagens de contêiner mínimas e repositórios de pacotes curados, enquanto Arcjet atua na proteção em tempo de execução e Mobb mira vulnerabilidades na cadeia de skills de agentes.
Segundo Delbare, a questão central é a falta de definição sobre quem deve decidir as políticas de segurança para instalações realizadas por agentes de IA.
O modelo proposto por Aikido é que equipes de segurança definam as diretrizes e os desenvolvedores atuem livremente dentro desses limites, aplicando um modelo de responsabilidade compartilhada.
Muitas empresas não têm visibilidade sobre instalações iniciadas por agentes, incluindo máquinas de equipes não técnicas que acabam com skills e pacotes instalados localmente.
O Endpoint não distingue entre instalações humanas ou por agente, porque o risco de instalar malware é o mesmo em ambos os casos.
Atualmente, o Endpoint monitora ferramentas e modelos como Gemini, OpenAI, GitHub Copilot, xAI, MCP Servers, Claude Code e skills.sh, e a cobertura é atualizada quando novos agentes surgem.
Cobertura de marketplaces inclui hoje skills.sh e o VS Code Marketplace.
Delbare também aponta que a disponibilidade de assinaturas de IA baratas reduziu a barreira de entrada para a criação de malware na cadeia de suprimentos, aumentando a sofisticação, o volume e a velocidade dos ataques.
O Aikido Intel afirma processar indicadores de 100.000 pacotes maliciosos por dia e usa IA combinada com uma equipe interna para descobrir vulnerabilidades em código aberto.
A metodologia analisa changelogs e notas de release públicas com dois modelos LLM: um para filtrar contexto e outro para avaliar potenciais vulnerabilidades, seguidos pela validação humana antes da publicação do Intel.
Sobre o bloqueio de instalação de 48 horas do Endpoint, a empresa diz que a janela captura a maioria dos pacotes maliciosos e raramente impede o desenvolvimento legítimo, mas o período é configurável e pode ser ajustado por ecossistema.
Versões permitidas, whitelists de pacotes e aprovações pontuais permitem contornar o bloqueio quando necessário.
No fim, Delbare defende que é preciso assumir propriedade das políticas de instalação para que times de segurança recuperem visibilidade e controle diante do avanço dos agentes de IA.
