As autoridades de segurança cibernética dos Estados Unidos e seus aliados emitiram recentemente diretrizes conjuntas de implantação de segurança para "agente AI" (agente AI), enfatizando que tais sistemas de IA que podem agir de forma autônoma na Internet entraram em áreas altamente sensíveis, como infraestrutura crítica e defesa, mas a maioria das organizações lhes concede direitos de acesso que excedem em muito suas próprias capacidades de monitoramento e controle. O documento apela a várias organizações para que considerem os agentes autónomos de IA como questões centrais de segurança cibernética e priorizem a resiliência, a reversibilidade e a contenção de riscos, em vez de simplesmente procurarem melhorias de eficiência.

Baixar texto completo:

https://cyberscoop.com/wp-content/uploads/sites/3/2026/05/CAREFUL-ADOPTION-OF-AGENTIC-AI-SERVICES_FINAL.pdf

A orientação foi escrita em conjunto pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), a Agência de Segurança Nacional (NSA), o Centro Australiano de Segurança Cibernética da Agência Australiana de Sinais, o Centro Canadense de Segurança Cibernética, o Centro Nacional de Segurança Cibernética da Nova Zelândia e o Centro Nacional de Segurança Cibernética britânico, e foi divulgada na sexta-feira, horário local. O “agente AI” no qual o guia se concentra é um sistema de software construído em um grande modelo de linguagem que tem a capacidade de planejar, tomar decisões e executar ações de forma autônoma dentro da autoridade estabelecida. Para concluir tarefas complexas, esses sistemas geralmente precisam interagir com ferramentas externas, bancos de dados, armazéns de memória e fluxos de trabalho automatizados para executar tarefas de várias etapas sem revisão manual de cada etapa.

As agências de divulgação conjunta enfatizaram no documento que a implantação de agentes de IA não significa que um sistema de segurança completo deva ser reconstruído, mas que deve ser integrado na estrutura de segurança de rede existente e na estrutura de governação. As sugestões incluem: aplicação sistemática de princípios existentes, como confiança zero, profundidade de defesa e menor privilégio aos agentes de IA; tratar os agentes de IA como componentes técnicos de "permissões fortes e altamente sensíveis" para governança em aspectos como gerenciamento de identidade e acesso, registros de auditoria e controle de alterações.

A orientação resume os riscos associados à IA baseada em agentes em cinco grandes categorias. O primeiro é o “risco de permissão”: quando são concedidos a um agente de IA direitos de acesso demasiado elevados ou demasiado amplos, uma intrusão bem-sucedida pode causar danos muito além das vulnerabilidades de software tradicionais, como a adulteração centralizada de configurações críticas ou a perturbação de empresas de grande escala. A segunda categoria é o risco de defeitos de design e configuração, ou seja, antes do sistema ficar online, devido ao design de arquitetura inadequado, configuração padrão muito frouxa ou definição vaga de limites de segurança, existem lacunas de segurança inerentes que são difíceis de preencher.

O terceiro tipo de risco é classificado como “risco comportamental”, que se refere ao fato de que, na busca de objetivos, os agentes podem seguir caminhos que os projetistas não previram, ou mesmo nunca imaginaram, desencadeando incidentes de segurança ou compliance. A quarta categoria é “risco estrutural”. Quando vários agentes estão interligados em uma rede com sistemas de negócios complexos, uma falha ou comportamento anormal pode se espalhar e se espalhar dentro do sistema, desencadeando uma reação em cadeia entre sistemas e departamentos.

O quinto tipo de risco está relacionado com a “responsabilidade”. O guia salienta que o processo de tomada de decisão da IA ​​do agente é muitas vezes difícil de examinar completamente, e os registos de operação e de decisão que gera não são fáceis de analisar, o que torna extremamente difícil rastrear a causa raiz do problema e esclarecer as responsabilidades posteriormente. Quando ocorre uma falha num sistema deste tipo, as consequências não permanecerão no "nível virtual", mas serão refletidas em ativos de TI específicos, tais como a adulteração de ficheiros, a alteração dos controlos de acesso, a eliminação de pistas de auditoria, etc., afetando diretamente o trabalho de recolha e recuperação de provas.

O documento também alerta especificamente sobre o risco de ataques causados ​​por “injeção imediata”. Os invasores podem incorporar silenciosamente instruções em dados ou conteúdo para orientar o agente de IA a se desviar de sua missão original e realizar operações maliciosas. A injeção de dicas sempre foi considerada uma doença crônica no grande ecossistema do modelo de linguagem. Algumas empresas admitiram publicamente que este problema pode não ser completamente erradicado por muito tempo. Isso também torna o dano potencial desse tipo de ataque particularmente proeminente em cenários de proxy mais automatizados.

Ao nível das medidas de proteção específicas, a gestão de identidade ocupa uma posição importante ao longo do guia. A agência conjunta recomenda que cada agente de IA tenha uma identidade independente verificável protegida por criptografia; as credenciais utilizadas devem ser válidas por um curto período de tempo; todas as comunicações entre o agente e outros agentes e serviços devem utilizar canais criptografados. Para qualquer operação que possa ter um impacto significativo, como modificar configurações críticas, elevar privilégios de usuário ou excluir dados em grande escala, as diretrizes exigem claramente que a aprovação seja feita por humanos e que o projetista do sistema, e não o próprio agente, defina quais operações são “comportamentos de alto impacto”.

Ao mesmo tempo, a agência emissora também admitiu que as práticas existentes na indústria de segurança ainda não acompanharam totalmente a velocidade de desenvolvimento da IA ​​baseada em agentes. Alguns riscos com “características distintas de agente de IA” não foram totalmente cobertos pela estrutura de segurança existente, e são urgentemente necessárias mais pesquisas e cooperação entre agências e entre setores. O guia salienta que antes que as metodologias de segurança, os métodos de avaliação e as normas relacionadas sejam imaturos, as organizações devem assumir que a IA do agente "pode ​​apresentar comportamentos inesperados" e fazer planos de implementação em conformidade, dando prioridade à garantia de resiliência, reversibilidade e controlabilidade de risco na concepção do sistema, em vez de perseguir cegamente os dividendos de eficiência trazidos pela automação.