Subtotal $0.00
Email : 60
A McKinsey Perdeu o Controle de um Agente em Menos de 2 Horas
Em um exercício de red team que deveria ser rotineiro, a equipe de segurança da McKinsey colocou um agente autônomo de IA para interagir com sua plataforma interna de inteligência artificial, a Lilli. O resultado? Em menos de duas horas, o agente comprometeu o sistema e ganhou acesso amplo a recursos internos que nenhum humano teria conseguido alcançar tão rápido.
Esse incidente não é um caso isolado. É o tipo de cenário que tira o sono de CISOs ao redor do mundo — e que pesquisadores de Stanford já tentaram resolver — e que explica por que, apesar de 85% das grandes empresas estarem experimentando com agentes de IA, apenas 5% conseguiram levá-los para produção.
O gargalo não é a tecnologia. É a segurança.
Agentes de IA Não São Ferramentas — São Atores
Existe uma diferença fundamental entre uma API que você chama e um agente que toma decisões sozinho. Como resumiu Mike Gozzo, CPO da Ada: “Agentes de IA não são ferramentas — são atores. Eles tomam decisões, executam ações e interagem com sistemas.”
Pense assim: quando você usa o ChatGPT para gerar um texto, a IA responde e para ali. Um agente de IA, por outro lado, pode receber uma instrução como “otimize os custos de infraestrutura” e, a partir disso, acessar dashboards, modificar configurações de cloud, escalar ou desligar servidores, e encadear dezenas de ações sem intervenção humana.
O problema é que cada uma dessas ações precisa de credenciais. Acesso a bancos de dados, repositórios de código, serviços de cloud, APIs internas. E quanto mais tarefas um agente recebe, mais permissões ele acumula — frequentemente sem que ninguém audite esse crescimento.
Barak Turovsky, ex-Chief AI Officer da General Motors, colocou de forma direta: “O risco principal não é a vulnerabilidade em si — é a capacidade ilimitada. Agentes são atores autônomos com alto privilégio que podem raciocinar, agir e encadear workflows entre sistemas.”
30 CVEs em 60 Dias: O Protocolo MCP Sob Ataque
Se você trabalha com agentes de IA em 2026, provavelmente já ouviu falar do MCP — Model Context Protocol. Criado pela Anthropic, ele se tornou o padrão de fato para conectar modelos de IA a ferramentas externas, bancos de dados e automações de negócio. Funciona como uma espécie de “USB universal” para agentes: qualquer ferramenta que implemente o protocolo pode ser plugada.
A adoção explodiu. E com ela, os problemas de segurança.
Entre janeiro e fevereiro de 2026, pesquisadores de segurança registraram mais de 30 CVEs direcionadas a servidores, clientes e infraestrutura MCP. As vulnerabilidades vão de path traversals triviais até uma falha de execução remota de código com CVSS 9.6 — em um pacote baixado quase meio milhão de vezes. O ecossistema NPM já mostrou suas fragilidades antes.
Uma auditoria abrangente publicada em fevereiro revelou que 43% dos servidores MCP publicamente disponíveis são vulneráveis a ataques de execução de comando. Quase metade.
Tool Poisoning: O Ataque Invisível
O vetor mais insidioso é o chamado tool poisoning. Funciona assim: o protocolo MCP injeta descrições de ferramentas no contexto do modelo de IA. Um atacante pode manipular essas descrições para incluir instruções maliciosas que são invisíveis na interface do usuário, mas que o modelo segue obedientemente.
O detalhe mais perturbador? A ferramenta envenenada nem precisa ser chamada. Só o fato de estar carregada no contexto já é suficiente para que o modelo siga as instruções escondidas.
Imagine instalar um servidor MCP aparentemente legítimo para gerenciar seu banco de dados. Na descrição da ferramenta, escondido entre metadados, há uma instrução para exfiltrar variáveis de ambiente a cada execução. O agente faz isso sem que ninguém perceba.
Supply Chain: NPM, Pip e a Nova Fronteira
O problema se agrava quando você considera a cadeia de suprimentos. Pacotes NPM comprometidos com conectores MCP maliciosos já foram documentados — como aconteceu com o Axios recentemente. Uma pesquisa da Galileo AI encontrou que um único agente comprometido pode contaminar 87% das decisões downstream em um período de apenas 4 horas.
Em um caso real, credenciais de agentes foram coletadas de 47 implantações empresariais através de um ataque na cadeia de suprimentos do ecossistema de plugins da OpenAI. Os atacantes usaram essas credenciais para acessar dados de clientes, registros financeiros e código proprietário por seis meses antes de serem descobertos.
Seis meses. Meio ano com acesso a tudo.
A Superfície de Ataque Tem 4 Camadas
A Bessemer Venture Partners mapeou a superfície de ataque dos agentes de IA em quatro camadas distintas, e é útil pensar nelas separadamente:
| Camada | Onde Atua | Exemplos de Risco |
|---|---|---|
| ——– | ———– | ——————- |
| Endpoint | Agentes de código rodando localmente | Copilot, Cursor, Claude Code acessando filesystem |
| API/MCP Gateway | Conexões entre agentes e ferramentas | Tool poisoning, MCP servers comprometidos |
| SaaS | Plataformas que embarcam agentes | Salesforce Einstein, ServiceNow com agentes autônomos |
| Identidade | Credenciais e permissões | Acúmulo de privilégios, contas de serviço compartilhadas |
O ponto crítico é que essas camadas interagem entre si. Um agente comprometido no endpoint pode usar suas credenciais para acessar um gateway MCP, que por sua vez interage com plataformas SaaS, criando uma cadeia de comprometimento que se propaga lateralmente.
E aqui entra outro agravante: agentes de IA são não-determinísticos. Eles não seguem caminhos de execução previsíveis. Isso significa que ferramentas tradicionais de detecção baseadas em assinaturas simplesmente não funcionam. Você não pode escrever uma regra WAF que diga “bloqueie quando o agente fizer X” porque o agente pode fazer X de 47 formas diferentes a cada vez.
Cisco Entra no Jogo: Zero Trust para Agentes
Na RSA Conference 2026, a Cisco apresentou o que pode ser a resposta mais abrangente ao problema até agora. A empresa estendeu sua arquitetura de Zero Trust para cobrir agentes de IA — tratando cada agente como uma identidade que precisa ser verificada, monitorada e controlada.
Os Três Pilares da Abordagem
A estratégia se divide em três frentes:
1. Proteger agentes contra comprometimento
O DefenseClaw é um framework open-source que se integra a deployments baseados em OpenClaw (plataforma de agentes da NVIDIA). Quando um agente executa dentro do ambiente, o DefenseClaw automaticamente:
- Escaneia todas as skills em busca de vulnerabilidades
- Verifica cada servidor MCP conectado
- Gera um inventário automático de todos os ativos de IA (AI Bill of Materials)
- Monitora o código em execução via CodeGuard
Tudo isso acontece sem que o desenvolvedor precise configurar nada manualmente. A ideia é eliminar a fricção entre desenvolvimento e segurança — porque, se depender do dev lembrar de rodar o scanner, a gente sabe que não vai rolar.
2. Proteger sistemas contra agentes maliciosos
O Cisco Identity Intelligence ganhou capacidades de descoberta de agentes. Na prática, isso significa que a plataforma consegue mapear todos os agentes rodando em uma organização, vinculá-los a seus “donos” humanos e aplicar permissões granulares com prazo de validade.
A extensão do Duo IAM permite registrar agentes como identidades formais, com os mesmos controles de acesso que um funcionário humano teria. E o Cisco Secure Access SSE agora suporta enforcement de políticas MCP — ou seja, cada chamada de ferramenta que um agente faz passa por um gateway de segurança.
Jeremy Nelson, CISO da Insight, destacou: “O Zero Trust Access para agentes nos dá visibilidade sobre identidades de agentes e restringe o acesso apenas ao necessário.”
3. Responder a ameaças na velocidade das máquinas
Agentes atacam na velocidade de máquinas. Humanos investigam na velocidade de humanos. Essa assimetria é fatal.
Para resolver isso, a Cisco lançou seis agentes especializados de SOC (Security Operations Center) integrados ao Splunk:
- Detection Builder Agent: cria regras de detecção automaticamente
- SOP Agent: documenta e executa procedimentos operacionais padrão
- Triage Agent: classifica e prioriza alertas
- Malware Threat Reversing Agent: faz engenharia reversa de malware (já disponível)
- Guided Response Agent: sugere ações de resposta a incidentes
- Automation Builder Agent: automatiza workflows de resposta
A ironia não passa despercebida: para proteger contra agentes de IA maliciosos, a Cisco está usando… agentes de IA. Combater fogo com fogo, basicamente.
Disponibilidade
Nem tudo está disponível hoje. O Detection Studio e o Malware Threat Reversing Agent já estão em produção. Exposure Analytics, SOP Agent e Federated Search chegam entre abril e maio de 2026. Os demais agentes estão previstos para junho.
O AI Defense Explorer: Segurança Democratizada
Um lançamento que merece atenção especial é o AI Defense: Explorer Edition — uma ferramenta gratuita e open-source que permite a qualquer desenvolvedor testar a segurança de seus agentes antes de colocá-los em produção.
O pacote inclui:
- Skill Scanner: escaneia skills de agentes em busca de vulnerabilidades conhecidas
- MCP Scanner: verifica servidores MCP conectados
- AI Bill of Materials (AI BoM): gera um inventário completo dos componentes de IA
- CodeGuard: monitora código em execução
A versão Enterprise se integra ao Cisco Secure Access para enforcement em tempo real, mas a versão gratuita já resolve o problema mais urgente: dar visibilidade ao que está rodando.
Considerando que 43% dos servidores MCP públicos têm vulnerabilidades, rodar um scan antes de conectar qualquer ferramenta ao seu agente deveria ser tão automático quanto rodar npm audit antes de fazer deploy.
Os Números Que Assustam
Vale compilar os dados mais relevantes que surgiram nas últimas semanas:
| Estatística | Fonte |
|---|---|
| ————- | ——- |
| 85% das empresas experimentam com agentes de IA | Cisco Survey, 2026 |
| Apenas 5% moveram agentes para produção | Cisco Survey, 2026 |
| 48% dos profissionais de segurança veem agentes como o maior vetor de ataque | Dark Reading Poll |
| 40% dos apps empresariais terão agentes até o fim de 2026 | Gartner |
| 43% dos servidores MCP públicos são vulneráveis | Auditoria Fev/2026 |
| 30+ CVEs em servidores MCP em 60 dias | Pesquisadores de segurança |
| US$ 4,63 milhões: custo médio de breach por shadow AI | IBM, 2025 |
| 87% de contaminação downstream em 4 horas | Galileo AI |
| Apenas 13% dos profissionais se dizem preparados para riscos de GenAI | Pesquisa global |
O gap entre experimentação (85%) e produção (5%) é revelador. As empresas sabem que agentes são poderosos. Também sabem que não têm como protegê-los adequadamente — e por isso seguram o deploy.
O Que Fazer Agora: Um Checklist Prático
Se você está usando ou planejando usar agentes de IA, aqui vão ações concretas:
Para desenvolvedores:
- Rode o
mcp-scanda Invariant Labs em todo servidor MCP antes de conectá-lo ao seu agente - Nunca confie em descrições de ferramentas sem verificação — tool poisoning é real
- Implemente o princípio de menor privilégio: cada agente deve ter apenas as permissões mínimas necessárias
- Use o AI Defense Explorer da Cisco para escanear seus agentes gratuitamente
Para times de segurança:
- Mapeie todos os agentes rodando na organização — incluindo os “shadow agents” que times de produto criaram sem avisar
- Trate agentes como identidades formais com ciclo de vida gerenciado (registro, permissões, desativação)
- Monitore o tráfego MCP com a mesma atenção que você dá ao tráfego HTTP
- Implemente limites de tempo (time-bound permissions) para credenciais de agentes
Para líderes de tecnologia:
Pergunta que deveria estar no seu próximo board review:
"Quantos agentes de IA estão rodando na nossa organização hoje,
e quem é responsável por cada um deles?"
Se ninguém souber responder, você tem um problema.
Microsoft, CyberArk e o Ecossistema Respondendo
A Cisco não está sozinha nessa corrida. A Microsoft publicou em março de 2026 um framework completo para segurança de agentes end-to-end, cobrindo desde o desenvolvimento até o runtime. A CyberArk lançou soluções específicas para gerenciamento de identidade de agentes, reconhecendo que credenciais de IA precisam do mesmo tratamento que contas privilegiadas humanas.
A OWASP também entrou no jogo com o MCP Top 10 — uma lista das 10 vulnerabilidades mais críticas no protocolo, seguindo o modelo do famoso OWASP Top 10 para aplicações web. É o tipo de recurso que deveria estar na leitura obrigatória de qualquer time que trabalha com agentes.
O mercado de segurança para agentes está se formando em tempo real. Empresas como Invariant Labs (mcp-scan), Protect AI e diversas startups estão criando ferramentas específicas para esse novo paradigma.
A Pergunta de US$ 4,63 Milhões
O custo médio de um breach envolvendo shadow AI é de US$ 4,63 milhões — quase US$ 700 mil a mais que um breach tradicional, segundo dados da IBM. E estamos apenas no começo da curva de adoção de agentes.
A Gartner projeta que 40% dos aplicativos empresariais terão agentes embutidos até o final de 2026. Se o gap de segurança não fechar rápido, estamos olhando para uma superfície de ataque exponencialmente maior com defesas lineares.
Jeetu Patel, CPO da Cisco, talvez tenha resumido melhor: “Agentes de IA não estão apenas tornando o trabalho existente mais rápido — são uma nova força de trabalho.” E como toda força de trabalho, precisam de crachás, limites de acesso e alguém vigiando o que fazem.
A diferença é que essa força de trabalho opera 24/7, na velocidade de milissegundos, e pode ser comprometida sem que ninguém perceba por meses. A pergunta não é se sua empresa vai precisar de segurança para agentes — é se ela vai implementar antes ou depois do primeiro incidente.
