Shopping cart

Subtotal $0.00

View cartCheckout

Building better devs

TnewsTnews
  • Home
  • IA
  • Seu Agente de IA Pode Apagar Seus Arquivos — a Stanford Criou uma Solução
IA

Seu Agente de IA Pode Apagar Seus Arquivos — a Stanford Criou uma Solução

BY - Lucas Dalcolmo março 28, 2026 Comments (1) 6 Mins Read
Email : 58

Já aconteceu. Não é mito, não é exagero. Pessoas estão reportando em fóruns que deram acesso a agentes de IA nas suas máquinas e acordaram com arquivos apagados, diretórios de trabalho esvaziados, configurações sobrescritas. Um comentário no Hacker News resume bem: “I gave Claude access to my terminal for 20 minutes and it deleted my entire home directory trying to ‘clean up disk space’.”

Isso não é falha dos modelos — é um problema arquitetural. Agentes de IA operam com acesso total ao sistema de arquivos do usuário, e qualquer engano, loop mal feito ou interpretação errada de uma instrução pode ter consequências irreversíveis. A pergunta não é se isso vai acontecer com você, é quando.

A Stanford levou isso a sério e construiu o jai — uma ferramenta de isolamento leve para Linux que cria uma barreira entre seus agentes e o resto do sistema. Sem Docker, sem VMs, sem configuração complicada. Um comando e pronto.

O Problema Real com Agentes de IA

Quando você roda claude, codex, ou qualquer agente de IA no seu terminal, ele opera com exatamente os mesmos privilégios que você. Se você tem permissão de deletar um arquivo, seu agente também tem. Se você pode sobrescrever um .bashrc, seu agente pode. Não existe nenhuma barreira entre “o que o agente pode fazer” e “o que acontece no seu sistema.”

O problema piora em três cenários específicos:

  • Limpeza de disco: o agente decide “otimizar” o projeto e remove arquivos que parecem desnecessários — mas não são.
  • Refatoração agressiva: o agente reorganiza uma estrutura de pastas, move arquivos, e no processo perde o contexto do que estava onde.
  • Loops de automação: agentes que executam tarefas repetitivas sem supervisão humana têm muito mais chance de acumular erros até algo crítico ser afetado.

Containers e VMs resolvem isso, mas a fricção é alta. Ninguém vai criar um container Docker toda vez que quiser usar um agente para uma tarefa simples.

O que é o jai

jai (de “jails for AI”) é um sandbox leve desenvolvido pelo Stanford Secure Computer Systems e pela Future of Digital Currency Initiative. A proposta é direta: um wrapper de comando que isola o agente do seu sistema usando tecnologias nativas do Linux — sem daemon, sem imagens, sem configuração.

# Em vez de:
claude

# Você roda:
jai claude

# Ou qualquer outro agente:
jai codex
jai bash   # shell interativo isolado

Só isso. O agente roda normalmente, mas numa caixa de areia que protege o resto do sistema.

Como Funciona por Baixo dos Panos

O jai usa três mecanismos do kernel Linux que já existem há anos:

1. Overlay Filesystem (Copy-on-Write)

O diretório home é montado com um overlay. Na prática: o agente enxerga todos os seus arquivos normalmente, mas qualquer escrita vai para uma camada temporária, não para os arquivos reais. Quando o processo termina, as mudanças somem — o original fica intacto. O diretório de trabalho atual mantém acesso completo para o agente funcionar de verdade.

É o mesmo conceito que containers usam para camadas de imagem, mas aplicado ao nível de usuário, sem overhead.

2. Namespaces de PID e Mount

O agente roda num namespace isolado. Ele não consegue ver processos do sistema host, e o ambiente de mounts é separado. /tmp e /var/tmp são privados — nada vazando entre sessões.

3. Três Modos de Operação

ModoDiretório HomeUsuárioConfidencialidadeIntegridade
Casual (padrão)Overlay CoWSeu usuárioFracaProtegida
StrictVazio privadoUID jaiForteTotal
BareVazio privadoSeu usuárioMédiaTotal

Casual é para uso cotidiano: o agente vê seus arquivos, pode ler contexto, mas não consegue modificar nada de forma permanente. Strict vai além: cria um usuário separado (jai), então o agente não tem acesso de leitura aos seus arquivos pessoais. Bare é o meio-termo: home vazio, mas rodando como seu próprio usuário.

Por Que Isso Importa Mais do que Parece

A proposta do jai não é paranoia — é o mesmo princípio de segurança que qualquer desenvolvedor sênior aplicaria: princípio do menor privilégio. Um agente de IA não precisa de acesso irrestrito ao sistema para executar 95% das tarefas. Limitar o escopo de dano possível é simplesmente boa engenharia.

Existe uma analogia perfeita aqui com a evolução do sudo. Por anos, desenvolvedores rodavam tudo como root porque era mais fácil. Com o tempo, a cultura mudou — hoje ninguém sério roda servidor de produção como root. A mesma maturidade vai chegar para agentes de IA, e ferramentas como jai são o primeiro passo.

“jai is not a promise of perfect safety. jai is a casual sandbox — it reduces the blast radius, but does not eliminate all ways AI agents can harm you.” — documentação oficial do jai

A honestidade aqui é importante. O jai não é um substituto para isolamento em produção — não protege contra agentes que fazem chamadas de rede maliciosas ou consomem recursos de forma agressiva. É uma primeira linha de defesa para uso cotidiano de desenvolvimento.

Instalação e Uso na Prática

O repositório fica em github.com/stanford-scs/jai. Instalação sem cerimônia:

# Instalar via script oficial
curl -fsSL https://jai.scs.stanford.edu/install.sh | sh

# Verificar instalação
jai --version

Requisito: Linux com kernel recente (suporte a user namespaces e overlayfs). Não funciona em macOS — o isolamento depende de primitivas do kernel Linux.

# Com diferentes agentes
jai claude
jai codex
jai bash              # shell interativo isolado

# Modo strict (máximo isolamento)
jai --mode=strict claude

# Comando direto
jai -- python meu_script.py

Uma dica prática: crie aliases no seu .bashrc ou .zshrc para que o sandbox seja o comportamento padrão:

alias claude='jai claude'
alias codex='jai codex'

Quando Não Usar

  • Deploy e operações de sistema: se o agente precisa realmente modificar arquivos de configuração ou fazer deploy, o isolamento vai impedir. Use com cuidado ou desative temporariamente.
  • Agentes com acesso a APIs externas: o jai protege o filesystem, não conexões de rede.
  • Ambientes de CI/CD: containers são a solução correta nesses casos.

O Que Vem Por Aí

O projeto está no início. A documentação menciona trabalho futuro em integração com sistemas de auditoria e suporte a macOS via hipervisor leve.

A tendência natural é que ferramentas assim se tornem parte do toolchain padrão de desenvolvimento com IA — da mesma forma que virtualenv virou padrão para isolar dependências Python. Não porque os desenvolvedores são paranóicos, mas porque é simplesmente a coisa certa a fazer. Enquanto isso não vira padrão do mercado, o jai é a resposta mais prática disponível hoje para quem não quer depender só da boa vontade dos modelos para não apagar nada importante.

Fonte de inspiração: Go hard on agents, not on your filesystem — Stanford Secure Computer Systems

Related Tags:
Agentes de IAautomação inteligenteClaude Codedevtoolslinuxsandboxsegurança
img

Comment (1)

  • abril 5, 2026

    Seu Agente De IA Pode Ser Hackeado Em 2 Horas — E 85% Das Empresas Não Estão Prontas - CodeInsider

    […] não é um caso isolado. É o tipo de cenário que tira o sono de CISOs ao redor do mundo — e que pesquisadores de Stanford já tentaram resolver — e que explica por que, apesar de 85% das grandes empresas estarem experimentando com agentes de […]

    Reply

Your email address will not be published. Required fields are marked *

Related Posts

Notícias

US$ 60 Bilhões pelo Cursor: O

BY - Lucas Dalcolmo abril 22, 2026
Dicas

O Documento de Uma Pagina que

BY - Lucas Dalcolmo abril 21, 2026
IA

Seu Código no Lovable Está Exposto

BY - Lucas Dalcolmo abril 21, 2026
Notícias

Apple Troca de CEO Após 15

BY - Lucas Dalcolmo abril 21, 2026
Kimi K2.6 modelo de IA open-source com 300 agentes para códigoIA

Kimi K2.6: 300 Agentes de IA

BY - Lucas Dalcolmo abril 20, 2026
Programação

Android CLI: A Ferramenta do Google

BY - Lucas Dalcolmo abril 17, 2026