Agentes autônomos não são confiáveis por padrão, e isso muda tudo na arquitetura de protocolos

A confiabilidade de agentes autônomos não é uma propriedade emergente dos modelos, é um artefato de arquitetura. O que mudou em junho de 2026 não é a descoberta de que LLMs alucinam, mas a consolidação de que, em ambientes críticos (como protocolos on-chain), não há espaço para suposições de boa-fé. A stack de agentes deixou de ser um problema de engenharia de prompts e virou um problema de *engenharia de invariante*: cada camada, isolamento de processo, sandboxing criptográfico, permissões por negação explícita, limites de gasto em contratos inteligentes, existe para garantir que o comportamento do agente seja previsível mesmo sob tentativa maliciosa. Isso explica por que frameworks como o Control Plane para IA (lançado em 2025) e padrões como o Agent Payments Protocol (AP2) ganharam urgência: eles não são 'camadas extras', mas a infraestrutura mínima para evitar falhas em cascata em redes de agentes que já movem US$ 1,7 bi/dia em tokens relacionados.

O risco não é abstrato. O caso EchoLeak (CVE-2025, 32711) mostrou que um único e-mail malicioso pode fazer um agente de IA exfiltrar dados sem interação humana, e isso se repete em cadeia quando agentes interagem com contratos inteligentes. Por isso, 'segurança on-chain para agentes' deixou de ser um conceito teórico: é a exigência de que todo agente que assina transações tenha identidade vinculada (KYA), chave gerenciada por módulo seguro e execução restrita a contratos pré-aprovados, ou seja, o mesmo rigor aplicado a contas de serviço humanas, mas com controle granular por ferramenta e por ciclo de vida.

Em abril de 2026, a CEVIU apontava que agentes em produção usavam contas compartilhadas, lógica de sessão frágil e segurança deficiente. Hoje, o foco não é mais 'como fazer funcionar', mas 'como impedir que funcione errado'. A mudança concreta está na adoção operacional de restrições *codificadas*, não apenas documentadas: permissões por negação explícita viraram padrão em stacks como LangChain 0.3 e AutoGen 2.4; sandboxing de execução foi integrado nativamente ao Ethereum Client Geth v1.14 (lançado em maio); e o conceito de 'custo de desvio proibitivo' saiu da teoria de mecanismos de consenso e entrou no design de contratos inteligentes que cobram taxas dinâmicas para chamadas de ferramentas não autorizadas. Ou seja: o que era recomendação virou requisito de implantação.

Porque a economia de agentes já está em produção, não como experimento, mas como infraestrutura. Com 40% das aplicações empresariais previstas para ter agentes até 2026 (Gartner), e capitalização de mercado de tokens de agentes acima de US$ 7,7 bi, qualquer falha de confiabilidade escala exponencialmente. Um erro de 5% por etapa vira 36% de taxa de falha em workflows de 20 passos. Em blockchain, onde erros são imutáveis e custos de reversão são proibitivos, o fortalecimento do invariante não é uma otimização, é a única forma de evitar que a autonomia dos agentes se transforme em vulnerabilidade sistêmica. E isso redefine quem projeta protocolos: agora, é preciso saber não só de criptografia e economia, mas de sandboxing de LLMs, gestão de identidade não-humana e políticas de execução em tempo real.