A proliferação de agentes de inteligência artificial nas empresas redefiniu os limites da cibersegurança empresarial. A proteção de agentes de IA autónomos exige abordagens que os métodos tradicionais não contemplam, com zero trust, sandboxing e supervisão humana entre as medidas com resultados mais comprovados.
Ao longo da série “Agentes de IA sob Ataque”, vimos como os agentes de IA podem ser sequestrados através de conteúdo web malicioso, como o prompt injection engana a inteligência artificial e como o hermes-px expôs riscos profundos na cadeia de fornecimento de software. Faltava, no entanto, responder a uma questão mais concreta: o que estão as empresas efetivamente a fazer para garantir a proteção de agentes de IA?
Zero trust e a proteção de agentes de IA
O princípio do zero trust assenta numa lógica direta: nenhuma entidade, humana ou automatizada, é considerada confiável por defeito. Para a proteção de sistemas autónomos, este princípio traduz-se em tratar cada agente como uma identidade de máquina privilegiada, sujeita a autenticação contínua, controlo de acesso contextual e auditoria em tempo real.
A Cloud Security Alliance publicou em fevereiro de 2026 o Agentic Trust Framework, um referencial aberto de governança especificamente concebido para agentes autónomos. O documento recomenda que as organizações progressem os agentes por níveis de autonomia crescente, com controlos verificados em cada etapa, em vez de conceder acesso total desde o início.
Sandboxing e isolamento de execução
Uma das ferramentas com maior impacto comprovado na proteção de agentes de IA é o sandboxing, isto é, o isolamento do ambiente de execução do agente relativamente aos sistemas críticos da organização. Containers convencionais ficaram aquém das exigências atuais: em 2026, a recomendação técnica aponta para microVMs com kernels dedicados por processo, que impedem que um agente comprometido aceda ao sistema operativo anfitrião ou a redes internas.
A esta camada somam-se a segmentação de rede, com agentes a operar em sub-redes privadas com filtragem de tráfego de saída, DNS restrito e listas de permissões explícitas para os endpoints externos que podem contactar. Um agente que não consegue estabelecer ligações arbitrárias na web resiste melhor a ataques de prompt injection indireta.
Supervisão humana e gestão da cadeia de fornecimento
A automação sem supervisão humana mantém riscos que nenhuma camada tecnológica elimina por completo. As empresas mais avançadas na proteção de agentes de IA implementam pontos de aprovação humana obrigatórios para operações de alto impacto como transferências financeiras, acesso a dados sensíveis ou envio de comunicações externas. Esta abordagem limita o raio de ação de um agente comprometido e cria uma barreira que a tecnologia sozinha não consegue garantir.
A segurança da cadeia de fornecimento de software é outro vetor prioritário, diretamente relacionado com o caso hermes-px. As boas práticas incluem auditar todas as dependências de código aberto dos frameworks de agentes, manter ciclos de atualização rigorosos e verificar a integridade dos pacotes antes de cada implantação. O ponto vulnerável está, muitas vezes, não no modelo de IA, mas no ambiente onde esse modelo opera.
O que falta às empresas portuguesas
A tecnologia existe, os frameworks estão publicados e as boas práticas são conhecidas. O problema não é, necessariamente, de conhecimento, é de prioridade. A maioria das empresas portuguesas, nomeadamente as PME, ainda trata a proteção de agentes de IA como uma preocupação futura. No entanto, os ataques documentados ao longo desta série demonstram que a ameaça é presente e operacional. Na minha opinião, adiar a adopção do zero trust e do sandboxing não é uma opção neutra, é uma decisão de risco com consequências que, a breve prazo, serão difíceis de justificar perante clientes, reguladores e parceiros.
Outros artigos interessantes:
