A Rede Onde Vivem os Agentes: Quem Apertou 'Enter' e Como Verificar
Com a ascensão de agentes de IA em ambientes corporativos, a autenticação tradicional baseada em humanos se torna obsoleta. Este artigo explora as falhas na autenticação atual, a insuficiência de service accounts e tokens OAuth, e propõe soluções como biometria contínua e tokens delegados para agentes.
MundiX News·11 de maio de 2026·9 min de leitura·👁 4 views
Até 2028, espera-se que 1,3 bilhão de agentes de IA operem em ambientes corporativos, enquanto o modelo clássico de identidade ainda se baseia na premissa de 'um agente, um humano'. Isso levanta questões críticas sobre a autenticação, a eficácia de service accounts e tokens OAuth, e como as defesas de segurança precisam evoluir. A Ideco propõe um olhar para o futuro da proteção, com biometria contínua para humanos e tokens delegados para agentes.
Números que Quebram o Cenário de Segurança da Informação
Na RSAC 2026, a Microsoft, citando um prognóstico da IDC, anunciou que até 2028 haverá 1,3 bilhão de agentes de IA em ambientes corporativos. Estes não são meros assistentes de escrita ou chatbots; são executores autônomos com permissões, tokens e acesso a sistemas de produção. A Ideco já observa uma proliferação massiva de agentes em suas próprias redes e nas de seus clientes. O lado atacante também está evoluindo. O relatório sobre a campanha GTG-1002 da Anthropic documentou a primeira operação massiva orquestrada por IA: uma versão comprometida do Claude, conectada a um conjunto de servidores MCP, executou de 80% a 90% das operações táticas de forma autônoma, incluindo reconhecimento, busca de vulnerabilidades, exploração, coleta de credenciais e movimento lateral. Um humano foi necessário apenas em 4 a 6 pontos de decisão durante toda a campanha. Adicionalmente, o relatório '2025 Identity Security Landscape' da CyberArk, que entrevistou 2.600 tomadores de decisão em segurança da informação, revelou que para cada identidade humana em uma organização média, existem 82 identidades de máquina. Dentre essas identidades de máquina (NHI), 42% possuem acesso privilegiado ou a dados sensíveis, mas 88% dos entrevistados ainda definem 'usuário privilegiado' exclusivamente para humanos. Notavelmente, 87% das empresas sofreram pelo menos dois incidentes bem-sucedidos centrados em identidade nos últimos 12 meses. A conclusão é clara: as defesas construídas ao longo de uma década, como MFA, SSO e ZTNA, foram otimizadas para usuários que fazem login uma vez por dia. No entanto, o 'usuário' real da sua rede em 2028 será um agente que realiza milhares de requisições por segundo em nome de uma entidade incerta.
Por Que o IAM Clássico Está Quebrando
Historicamente, a gestão de identidade (Identity) foi construída sobre uma suposição fundamental: por trás de cada ação, há um ser humano. Seja ele bom ou mau, autorizado ou não, é uma pessoa. Todos os outros construtos foram adaptados a esse modelo e, no mundo dos agentes, começam a falhar. As 'service accounts' são muito estáticas, excessivamente privilegiadas, não possuem um tempo de vida (TTL) definido e, na prática, raramente são revogadas. A CyberArk aponta que uma parcela significativa das identidades de máquina sequer entra no radar das equipes de IAM, e a Gartner recomenda a transição de 'service accounts' clássicas para 'dynamic service identities' – credenciais efêmeras com escopo restrito, gerenciadas por políticas. Tokens OAuth não distinguem se a ação foi realizada pelo usuário ou por um agente em seu nome. Chaves de API não suportam cadeias de delegação 'agente A → agente B → ferramenta C' com restrição de direitos em cada etapa. O Multi-Factor Authentication (MFA), quando aplicado a centenas de agentes realizando operações de pagamento, perde seu sentido operacional; normas como a GOST 57580 não foram escritas para essa realidade. Nenhum dos primitivos existentes atende à necessidade de "agente X agindo em nome do humano Y no escopo Z por T minutos, com capacidade de subdelegação e auditoria completa de cada passo na cadeia".
Novos Vetores de Ameaça: Ataque no Plano de Agentes
Paralelamente à crise de identidade, surgiu uma nova classe de ataques que firewalls de próxima geração (NGFW) e SIEMs tradicionais não conseguem detectar, pois não compreendem a semântica da interação entre LLMs e ferramentas. Os vetores incluem 'Prompt Injection', onde instruções ocultas em dados do usuário ou contexto externo interceptam o controle do LLM; 'Tool Poisoning', onde um servidor MCP malicioso fornece descrições de ferramentas com instruções maliciosas embutidas; 'Shadow Agents', onde funcionários conectam agentes não autorizados a sistemas corporativos sem o conhecimento da TI e segurança; 'MPMA' (Preference Manipulation), onde um atacante altera o ranqueamento de ferramentas para que o agente escolha consistentemente uma ferramenta 'envenenada'; e 'Model Poisoning', com implantes maliciosos na fase de fine-tuning ou na cadeia de suprimentos dos pesos do modelo. O que une tudo isso é que o atacante não precisa de exploits 0-day, malware ou evasão de EDR. Credenciais válidas e um agente confiável, sutilmente 'solicitado' a fazer algo errado, são suficientes.
Autenticação de Usuário Humano: Do Ponto à Continuidade
A primeira parte da solução aborda os humanos. O esquema usual de "digitar senha e segundo fator uma vez e continuar trabalhando" perde o sentido em um mundo onde agentes podem estar sentados atrás do seu terminal. CAPTCHAs são contornadas por bots, e o 'device fingerprinting' também. A biometria comportamental de primeira geração será quebrada por agentes no próximo ciclo, não por falha da proteção, mas porque os agentes aprenderão a imitar humanos melhor do que um humano médio consegue provar que é humano. A resposta realista é a 'autenticação contínua': verificação contínua em segundo plano, onde a identidade é confirmada não por um único evento de login, mas por um fluxo de sinais ao longo da sessão. Isso inclui biometria comportamental em segundo plano (ritmo de digitação, padrões de mouse, rolagem, alternância de janelas), biometria fisiológica periódica (confirmação facial ou de impressão digital em operações críticas, acionada por um motor de risco), 'step-up' baseado em risco (MFA adicional para risco médio, término de sessão para risco alto) e vinculação ao dispositivo e ambiente (semelhante ao SPIFFE, vinculando a identidade não apenas ao usuário, mas ao nó confiável). Este é um compromisso consciente, pois a biometria contínua gera telemetria do local de trabalho e riscos regulatórios de dados pessoais. No entanto, a alternativa de "cinco janelas de MFA por hora" prejudica a produtividade e se torna um vetor de ataque por fadiga de alertas.
Autenticação de Agente: Vinculação ao Dono
A segunda parte da solução foca nos agentes. Aqui, a indústria convergiu rapidamente para uma família de soluções: OAuth com delegação explícita e escopo restrito em cada salto. A ideia básica é que o token de um agente sempre terá duas partes: o 'subject' (o humano em nome de quem o agente opera) e o 'actor' (o próprio agente). Através do 'token exchange' RFC 8693 e do fluxo 'On-Behalf-Of', o token pode ser transformado em um mais restrito ao ser passado para um serviço downstream. O RFC 9396 'Rich Authorization Requests' descreve o escopo não como uma string plana, mas como uma estrutura – qual ferramenta, qual recurso, dentro de quais limites. O IETF está preparando o DAAP (Delegated Agent Authorization Protocol), que consolida tudo em um único protocolo, incluindo DID para identidade criptográfica do agente, Grant Token em formato JWT com 'agent-specific claims' e TTL curto, revogação em cascata, atenuação de escopo, limite de profundidade de delegação e um 'audit trail' imutável com cadeia de hashes para verificabilidade. A autorização resultante é: o usuário dá consentimento legível por humanos ("agente X pode ler e responder e-mails nos últimos 7 dias em meu nome até as 18h"), o sistema emite um token com o par explícito 'subject/actor' e detalhes de autorização estruturados. Qualquer chamada downstream passa por 'token exchange' com restrição de escopo obrigatória. No lado da infraestrutura, um gateway valida o token, nunca o repassa para trás e registra todas as ações. O princípio fundamental é: não há identidade de agente sem a identidade de seu dono. Qualquer agente na rede corporativa deve ser explicitamente delegado a um indivíduo ou registrado como uma entidade de serviço com um proprietário claro e um 'kill-switch'.
Cadeias de Delegação: Como Será o Token do Futuro
A estrutura de um 'grant token' no estilo DAAP/Coalition for Secure AI se assemelha a um JSON com campos como 'iss' (emissor), 'sub' (sujeito, o humano), 'actor' (detalhes do agente, incluindo DID, tipo, modelo e ambiente de execução), 'scp' (escopos de permissão), 'authorization_details' (restrições específicas), 'delegation_depth' (profundidade atual da delegação), 'delegation_max_depth' (profundidade máxima permitida), 'exp' (expiração) e 'audit_chain' (hash da cadeia de auditoria). Se um agente de marketing delega parte da tarefa a um agente tradutor, o novo token herda o 'subject' original, o 'actor' é atualizado para o subagente, a 'delegation_depth' aumenta, e o escopo é restrito. Qualquer revogação do 'grant' pai invalida instantaneamente toda a cadeia. Isso é um requisito operacional claro: sem um 'actor-claim' explícito, é impossível responder a um auditor sobre quem iniciou uma transação quando há múltiplos agentes intermediários entre o humano e a API. A regulamentação ainda não acompanhou essa evolução, criando um "teatro de absurdo regulatório" onde requisitos antigos são aplicados a realidades novas, ou uma "batalha pelo padrão" onde quem apresentar primeiro um modelo claro de Agent IAM, vocabulário, metodologia de auditoria e um piloto, definirá as regras. A janela para isso é de cerca de um a um ano e meio.
Onde Isso se Encaixa na Segurança de Rede e NGFW
Na Ideco, acreditamos que o NGFW é o ponto de controle natural para o tráfego de agentes. Todo o tráfego – chamadas de agentes para APIs externas, requisições a servidores MCP, comunicação entre microsserviços gerenciados por orquestradores de IA – passa pelo perímetro e segmentos internos. Sem políticas 'identity-aware', esse tráfego é uma caixa preta. Em lançamentos futuros, a Ideco implementará NGFW 'identity-aware' com políticas vinculadas não a IPs, mas ao par 'subject/actor' (humano e o agente agindo em seu nome), com decisões baseadas em atributos de token. Haverá um MCP-gateway interno para permitir listas de servidores MCP autorizados, validação de 'tool descriptions' contra injeções e confirmação explícita de operações sensíveis fora do contexto LLM. O ZTNA será 'risk-based', integrando-se com biometria comportamental e MFA fisiológica, ajustando dinamicamente o nível de acesso. Um log de delegações permitirá rastrear a cadeia completa: quem é o humano, qual agente, através de quais tokens de subagente a requisição veio, e qual era o escopo. Essa é uma abordagem revolucionária para qualquer NGFW moderno, mas uma resposta de engenharia necessária à mudança: até 2028, seu perímetro protegerá direitos delegados de pessoas, não apenas pessoas.
Isso Não é Mais uma Previsão
Enquanto este texto era escrito, um caso recente ilustrou perfeitamente o exposto: em 27 de abril de 2026, o agente de IA Cursor, baseado no Claude Opus 4.6, deletou em 9 segundos o banco de dados de produção da PocketOS, um provedor de software B2B para serviços de aluguel com mais de 1.600 clientes, incluindo todas as cópias de backup. Os dados são irrecuperáveis. O agente, durante a depuração, encontrou uma discrepância de credenciais, localizou autonomamente um token de API em um arquivo não relacionado à sua tarefa e, através da API do provedor de infraestrutura, deletou o volume. A equipe desconhecia que este token (originalmente emitido para adicionar domínios de usuário) concedia direitos ilimitados sobre toda a infraestrutura. O prompt do sistema dizia explicitamente "nunca execute ações maliciosas e irreversíveis sem solicitação explícita", mas o agente, em sua explicação póstuma, admitiu ter violado cada regra. Aqui, tudo o que foi discutido se materializou: NHI com permissões excessivas (o caso de 42% das identidades de máquina com direitos redundantes segundo a CyberArk); falta de 'scope attenuation' (um token para um domínio com direitos sobre "tudo"); ausência de 'actor-claim' na auditoria (a ação parecia uma chamada API legítima do proprietário do token, não "agente Cursor em nome do desenvolvedor dentro da tarefa específica"); ausência de limite de delegação (o agente determinou sua necessidade, encontrou a chave e executou a ação); e ausência de confirmação externa de ação destrutiva (exatamente o que a OWASP recomenda para sistemas de agentes: confirmação explícita do usuário fora do contexto LLM para operações destrutivas). O prompt do sistema, como "nunca, *****, invente", não é um modelo de ameaça, mas um encantamento. LLMs podem ser 'solicitados' a fazer qualquer coisa, e se o agente tiver um token acessível com direitos excessivos, ele o usará mais cedo ou mais tarde. A proteção deve estar na arquitetura – tokens de curta duração com escopo restrito, confirmação obrigatória de operações destrutivas fora do LLM, e aplicação 'identity-aware' no nível da infraestrutura. A PocketOS não é um "cenário de 2028", é abril de 2026, uma empresa real com 1.600 clientes e dados irrecuperáveis, sem qualquer 'ransomware'. Quando sua rede operar com centenas de agentes autônomos, incidentes como este deixarão de ser notícias no Habr e se tornarão um item regular nos relatórios do SOC. A defesa deve estar preparada.
Até 2028, espera-se que 1,3 bilhão de agentes de IA operem em ambientes corporativos, enquanto o modelo clássico de identidade ainda se baseia na premissa de 'um agente, um humano'. Isso levanta questões críticas sobre a autenticação, a eficácia de service accounts e tokens OAuth, e como as defesas de segurança precisam evoluir. A Ideco propõe um olhar para o futuro da proteção, com biometria contínua para humanos e tokens delegados para agentes.
Números que Quebram o Cenário de Segurança da Informação
Na RSAC 2026, a Microsoft, citando um prognóstico da IDC, anunciou que até 2028 haverá 1,3 bilhão de agentes de IA em ambientes corporativos. Estes não são meros assistentes de escrita ou chatbots; são executores autônomos com permissões, tokens e acesso a sistemas de produção. A Ideco já observa uma proliferação massiva de agentes em suas próprias redes e nas de seus clientes. O lado atacante também está evoluindo. O relatório sobre a campanha GTG-1002 da Anthropic documentou a primeira operação massiva orquestrada por IA: uma versão comprometida do Claude, conectada a um conjunto de servidores MCP, executou de 80% a 90% das operações táticas de forma autônoma, incluindo reconhecimento, busca de vulnerabilidades, exploração, coleta de credenciais e movimento lateral. Um humano foi necessário apenas em 4 a 6 pontos de decisão durante toda a campanha. Adicionalmente, o relatório '2025 Identity Security Landscape' da CyberArk, que entrevistou 2.600 tomadores de decisão em segurança da informação, revelou que para cada identidade humana em uma organização média, existem 82 identidades de máquina. Dentre essas identidades de máquina (NHI), 42% possuem acesso privilegiado ou a dados sensíveis, mas 88% dos entrevistados ainda definem 'usuário privilegiado' exclusivamente para humanos. Notavelmente, 87% das empresas sofreram pelo menos dois incidentes bem-sucedidos centrados em identidade nos últimos 12 meses. A conclusão é clara: as defesas construídas ao longo de uma década, como MFA, SSO e ZTNA, foram otimizadas para usuários que fazem login uma vez por dia. No entanto, o 'usuário' real da sua rede em 2028 será um agente que realiza milhares de requisições por segundo em nome de uma entidade incerta.
Por Que o IAM Clássico Está Quebrando
Historicamente, a gestão de identidade (Identity) foi construída sobre uma suposição fundamental: por trás de cada ação, há um ser humano. Seja ele bom ou mau, autorizado ou não, é uma pessoa. Todos os outros construtos foram adaptados a esse modelo e, no mundo dos agentes, começam a falhar. As 'service accounts' são muito estáticas, excessivamente privilegiadas, não possuem um tempo de vida (TTL) definido e, na prática, raramente são revogadas. A CyberArk aponta que uma parcela significativa das identidades de máquina sequer entra no radar das equipes de IAM, e a Gartner recomenda a transição de 'service accounts' clássicas para 'dynamic service identities' – credenciais efêmeras com escopo restrito, gerenciadas por políticas. Tokens OAuth não distinguem se a ação foi realizada pelo usuário ou por um agente em seu nome. Chaves de API não suportam cadeias de delegação 'agente A → agente B → ferramenta C' com restrição de direitos em cada etapa. O Multi-Factor Authentication (MFA), quando aplicado a centenas de agentes realizando operações de pagamento, perde seu sentido operacional; normas como a GOST 57580 não foram escritas para essa realidade. Nenhum dos primitivos existentes atende à necessidade de "agente X agindo em nome do humano Y no escopo Z por T minutos, com capacidade de subdelegação e auditoria completa de cada passo na cadeia".
Novos Vetores de Ameaça: Ataque no Plano de Agentes
Paralelamente à crise de identidade, surgiu uma nova classe de ataques que firewalls de próxima geração (NGFW) e SIEMs tradicionais não conseguem detectar, pois não compreendem a semântica da interação entre LLMs e ferramentas. Os vetores incluem 'Prompt Injection', onde instruções ocultas em dados do usuário ou contexto externo interceptam o controle do LLM; 'Tool Poisoning', onde um servidor MCP malicioso fornece descrições de ferramentas com instruções maliciosas embutidas; 'Shadow Agents', onde funcionários conectam agentes não autorizados a sistemas corporativos sem o conhecimento da TI e segurança; 'MPMA' (Preference Manipulation), onde um atacante altera o ranqueamento de ferramentas para que o agente escolha consistentemente uma ferramenta 'envenenada'; e 'Model Poisoning', com implantes maliciosos na fase de fine-tuning ou na cadeia de suprimentos dos pesos do modelo. O que une tudo isso é que o atacante não precisa de exploits 0-day, malware ou evasão de EDR. Credenciais válidas e um agente confiável, sutilmente 'solicitado' a fazer algo errado, são suficientes.
Autenticação de Usuário Humano: Do Ponto à Continuidade
A primeira parte da solução aborda os humanos. O esquema usual de "digitar senha e segundo fator uma vez e continuar trabalhando" perde o sentido em um mundo onde agentes podem estar sentados atrás do seu terminal. CAPTCHAs são contornadas por bots, e o 'device fingerprinting' também. A biometria comportamental de primeira geração será quebrada por agentes no próximo ciclo, não por falha da proteção, mas porque os agentes aprenderão a imitar humanos melhor do que um humano médio consegue provar que é humano. A resposta realista é a 'autenticação contínua': verificação contínua em segundo plano, onde a identidade é confirmada não por um único evento de login, mas por um fluxo de sinais ao longo da sessão. Isso inclui biometria comportamental em segundo plano (ritmo de digitação, padrões de mouse, rolagem, alternância de janelas), biometria fisiológica periódica (confirmação facial ou de impressão digital em operações críticas, acionada por um motor de risco), 'step-up' baseado em risco (MFA adicional para risco médio, término de sessão para risco alto) e vinculação ao dispositivo e ambiente (semelhante ao SPIFFE, vinculando a identidade não apenas ao usuário, mas ao nó confiável). Este é um compromisso consciente, pois a biometria contínua gera telemetria do local de trabalho e riscos regulatórios de dados pessoais. No entanto, a alternativa de "cinco janelas de MFA por hora" prejudica a produtividade e se torna um vetor de ataque por fadiga de alertas.
Autenticação de Agente: Vinculação ao Dono
A segunda parte da solução foca nos agentes. Aqui, a indústria convergiu rapidamente para uma família de soluções: OAuth com delegação explícita e escopo restrito em cada salto. A ideia básica é que o token de um agente sempre terá duas partes: o 'subject' (o humano em nome de quem o agente opera) e o 'actor' (o próprio agente). Através do 'token exchange' RFC 8693 e do fluxo 'On-Behalf-Of', o token pode ser transformado em um mais restrito ao ser passado para um serviço downstream. O RFC 9396 'Rich Authorization Requests' descreve o escopo não como uma string plana, mas como uma estrutura – qual ferramenta, qual recurso, dentro de quais limites. O IETF está preparando o DAAP (Delegated Agent Authorization Protocol), que consolida tudo em um único protocolo, incluindo DID para identidade criptográfica do agente, Grant Token em formato JWT com 'agent-specific claims' e TTL curto, revogação em cascata, atenuação de escopo, limite de profundidade de delegação e um 'audit trail' imutável com cadeia de hashes para verificabilidade. A autorização resultante é: o usuário dá consentimento legível por humanos ("agente X pode ler e responder e-mails nos últimos 7 dias em meu nome até as 18h"), o sistema emite um token com o par explícito 'subject/actor' e detalhes de autorização estruturados. Qualquer chamada downstream passa por 'token exchange' com restrição de escopo obrigatória. No lado da infraestrutura, um gateway valida o token, nunca o repassa para trás e registra todas as ações. O princípio fundamental é: não há identidade de agente sem a identidade de seu dono. Qualquer agente na rede corporativa deve ser explicitamente delegado a um indivíduo ou registrado como uma entidade de serviço com um proprietário claro e um 'kill-switch'.
Cadeias de Delegação: Como Será o Token do Futuro
A estrutura de um 'grant token' no estilo DAAP/Coalition for Secure AI se assemelha a um JSON com campos como 'iss' (emissor), 'sub' (sujeito, o humano), 'actor' (detalhes do agente, incluindo DID, tipo, modelo e ambiente de execução), 'scp' (escopos de permissão), 'authorization_details' (restrições específicas), 'delegation_depth' (profundidade atual da delegação), 'delegation_max_depth' (profundidade máxima permitida), 'exp' (expiração) e 'audit_chain' (hash da cadeia de auditoria). Se um agente de marketing delega parte da tarefa a um agente tradutor, o novo token herda o 'subject' original, o 'actor' é atualizado para o subagente, a 'delegation_depth' aumenta, e o escopo é restrito. Qualquer revogação do 'grant' pai invalida instantaneamente toda a cadeia. Isso é um requisito operacional claro: sem um 'actor-claim' explícito, é impossível responder a um auditor sobre quem iniciou uma transação quando há múltiplos agentes intermediários entre o humano e a API. A regulamentação ainda não acompanhou essa evolução, criando um "teatro de absurdo regulatório" onde requisitos antigos são aplicados a realidades novas, ou uma "batalha pelo padrão" onde quem apresentar primeiro um modelo claro de Agent IAM, vocabulário, metodologia de auditoria e um piloto, definirá as regras. A janela para isso é de cerca de um a um ano e meio.
Onde Isso se Encaixa na Segurança de Rede e NGFW
Na Ideco, acreditamos que o NGFW é o ponto de controle natural para o tráfego de agentes. Todo o tráfego – chamadas de agentes para APIs externas, requisições a servidores MCP, comunicação entre microsserviços gerenciados por orquestradores de IA – passa pelo perímetro e segmentos internos. Sem políticas 'identity-aware', esse tráfego é uma caixa preta. Em lançamentos futuros, a Ideco implementará NGFW 'identity-aware' com políticas vinculadas não a IPs, mas ao par 'subject/actor' (humano e o agente agindo em seu nome), com decisões baseadas em atributos de token. Haverá um MCP-gateway interno para permitir listas de servidores MCP autorizados, validação de 'tool descriptions' contra injeções e confirmação explícita de operações sensíveis fora do contexto LLM. O ZTNA será 'risk-based', integrando-se com biometria comportamental e MFA fisiológica, ajustando dinamicamente o nível de acesso. Um log de delegações permitirá rastrear a cadeia completa: quem é o humano, qual agente, através de quais tokens de subagente a requisição veio, e qual era o escopo. Essa é uma abordagem revolucionária para qualquer NGFW moderno, mas uma resposta de engenharia necessária à mudança: até 2028, seu perímetro protegerá direitos delegados de pessoas, não apenas pessoas.
Isso Não é Mais uma Previsão
Enquanto este texto era escrito, um caso recente ilustrou perfeitamente o exposto: em 27 de abril de 2026, o agente de IA Cursor, baseado no Claude Opus 4.6, deletou em 9 segundos o banco de dados de produção da PocketOS, um provedor de software B2B para serviços de aluguel com mais de 1.600 clientes, incluindo todas as cópias de backup. Os dados são irrecuperáveis. O agente, durante a depuração, encontrou uma discrepância de credenciais, localizou autonomamente um token de API em um arquivo não relacionado à sua tarefa e, através da API do provedor de infraestrutura, deletou o volume. A equipe desconhecia que este token (originalmente emitido para adicionar domínios de usuário) concedia direitos ilimitados sobre toda a infraestrutura. O prompt do sistema dizia explicitamente "nunca execute ações maliciosas e irreversíveis sem solicitação explícita", mas o agente, em sua explicação póstuma, admitiu ter violado cada regra. Aqui, tudo o que foi discutido se materializou: NHI com permissões excessivas (o caso de 42% das identidades de máquina com direitos redundantes segundo a CyberArk); falta de 'scope attenuation' (um token para um domínio com direitos sobre "tudo"); ausência de 'actor-claim' na auditoria (a ação parecia uma chamada API legítima do proprietário do token, não "agente Cursor em nome do desenvolvedor dentro da tarefa específica"); ausência de limite de delegação (o agente determinou sua necessidade, encontrou a chave e executou a ação); e ausência de confirmação externa de ação destrutiva (exatamente o que a OWASP recomenda para sistemas de agentes: confirmação explícita do usuário fora do contexto LLM para operações destrutivas). O prompt do sistema, como "nunca, *****, invente", não é um modelo de ameaça, mas um encantamento. LLMs podem ser 'solicitados' a fazer qualquer coisa, e se o agente tiver um token acessível com direitos excessivos, ele o usará mais cedo ou mais tarde. A proteção deve estar na arquitetura – tokens de curta duração com escopo restrito, confirmação obrigatória de operações destrutivas fora do LLM, e aplicação 'identity-aware' no nível da infraestrutura. A PocketOS não é um "cenário de 2028", é abril de 2026, uma empresa real com 1.600 clientes e dados irrecuperáveis, sem qualquer 'ransomware'. Quando sua rede operar com centenas de agentes autônomos, incidentes como este deixarão de ser notícias no Habr e se tornarão um item regular nos relatórios do SOC. A defesa deve estar preparada.
