book_icon

Sem Agent ID, empresas perdem controle sobre o que agentes de IA fazem, alerta WSO2

Antes de escalar o número de agentes de IA em produção, as organizações precisam entender como tratá-los como identidades de primeira classe, com rigor de governança, segurança e auditoria

Sem Agent ID, empresas perdem controle sobre o que agentes de IA fazem, alerta WSO2

À medida que agentes de Inteligência Artificial deixam de ser experimentos isolados e passam a tomar decisões, acessar sistemas críticos e executar tarefas sem supervisão constante, a WSO2, fornecedora global de tecnologia de identidade, integração e APIs, reforça um alerta que considera central para essa nova fase da transformação digital: antes de multiplicar o número de agentes de IA em produção, as organizações precisam entender como tratá-los como identidades de primeira classe, com o mesmo rigor de governança, segurança e auditoria já aplicado a usuários humanos.

Para a companhia, o momento exige mais do que a adoção acelerada de tecnologia, pois exige educação sobre um novo tipo de risco que ainda não está no radar da maioria das lideranças de TI e segurança. “Empresas estão automatizando decisões e acessos em uma velocidade sem precedentes, mas boa parte ainda trata agentes de IA como uma simples extensão de contas humanas ou de sistemas já existentes. Esse é exatamente o ponto cego que pode transformar produtividade em exposição ao risco”, explica Fernando Arditti, VP e gerente-geral para a América Latina na WSO2.

Para a WSO2, este é o momento de as empresas pararem, entenderem o problema e agirem preventivamente, tratando a identidade de agentes de IA como parte estrutural de qualquer estratégia de automação inteligente

Diferentemente de usuários humanos ou de aplicações tradicionais, agentes de IA autônomos apresentam características que desafiam diretamente os sistemas convencionais de IAM (Identity and Access Management):

Autonomia: agentes operam com graus significativos de independência, sem supervisão humana constante;

Tomada de decisão dinâmica: executam ações em tempo real, com impacto direto sobre dados, sistemas e processos de negócio;

Acesso complexo e em escala: conectam-se rapidamente a múltiplas APIs, bases de dados e ferramentas para cumprir tarefas, muitas vezes atravessando fronteiras entre departamentos e sistemas.

Com isso, sem uma identidade própria, rastreável e governada, um agente de IA se torna um usuário anônimo com acesso privilegiado. Esse é exatamente o tipo de risco que frameworks de segurança corporativa foram criados para eliminar.

Esse cenário já aparece refletido em levantamentos recentes do setor. Segundo o relatório State of AI Agent Security 2026, da Gravitee, a adoção supera a governança: 81% das equipes já passaram da fase de planejamento, mas apenas 14,4% têm aprovação de segurança completa. Além disso, 88% das organizações confirmaram ou suspeitaram de incidentes de segurança este ano, e apenas 22% das equipes tratam os agentes como identidades independentes (a maioria ainda depende de chaves de API compartilhadas).

O caminho recomendado é tratar agentes como identidades de primeira classe. A WSO2 defende que, antes de qualquer organização escalar o número de agentes de IA em produção, quatro pilares de governança precisam estar endereçados:

Administrar: provisionar e gerenciar o ciclo de vida da identidade de cada agente com o mesmo rigor aplicado a contas humanas, incluindo metadados como proprietário, propósito e nível de risco;

Autorizar: aplicar o princípio do menor privilégio, com políticas sensíveis ao contexto e suporte à delegação;

Autenticar: usar credenciais robustas e apropriadas para operação máquina a máquina, com criptografia forte, eliminando a dependência de segredos estáticos ou credenciais compartilhadas;

Auditar: manter registros imutáveis e segregados das ações de agentes, com detecção de comportamento anômalo e geração de relatórios de conformidade;

Essa abordagem ganha ainda mais relevância à medida que o Model Context Protocol (MCP) se consolida como padrão para conectar modelos de linguagem a ferramentas e dados corporativos, exigindo autorização padronizada (como OAuth 2.1), controle de acesso em nível de ferramenta e mecanismos de consentimento que mantenham humanos no loop de decisões críticas.

“Estamos em um momento em que a adoção de agentes de IA está acontecendo mais rápido do que a maturidade dos processos de governança dentro das empresas. Sentimos que é nossa responsabilidade, como referência em identidade digital, trazer essa conversa para o centro do debate antes que ela se torne um problema. Tratar um agente de IA como se fosse apenas uma extensão de um usuário humano é ignorar que ele toma decisões, acessa sistemas e age de forma autônoma. E isso exige uma identidade própria, com regras próprias de autenticação, autorização e auditoria. Nosso compromisso é ajudar as organizações a construírem essa base de segurança antes de escalar o uso de agentes, e não depois que o primeiro incidente acontecer.”, comenta Arditti.

A adoção de IA Agêntica não vai desacelerar e a capacidade de governá-la com segurança precisa evoluir na mesma velocidade. Para a WSO2, este é o momento de as empresas pararem, entenderem o problema e agirem preventivamente, tratando a identidade de agentes de IA como parte estrutural de qualquer estratégia de automação inteligente.

Serviço
www.wso2.com

 

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital