CEVIU Logo
Voltar

O verdadeiro gargalo dos agentes de IA corporativos são as permissões, não os modelos

Aprofundamento CEVIU

Aprofundamento

O verdadeiro gargalo dos agentes de IA corporativos não é a capacidade dos modelos, mas a governança de permissões em escala, e isso já virou um problema operacional crítico. Em 2026, empresas como Workday, SAP e EY deixaram claro que o desafio não é construir agentes mais inteligentes, mas garantir que cada um execute apenas o que está autorizado, com rastreabilidade total. A Workday resolveu isso integrando seu sistema de registros (onde estão definidos papéis, hierarquias e políticas de RH/finanças) diretamente ao Gemini Enterprise, transformando dados estruturados de identidade em regras executáveis em tempo real. Isso vai além do que a Merge faz com seu Agent Handler: não basta mapear grupos a ferramentas, é preciso vincular ações específicas, como 'aprovar adiantamento de R$ 10 mil' ou 'consultar folha de pagamento de outro departamento', a permissões granulares, baseadas no contexto de negócios, não só na função.

Essa abordagem responde a uma realidade exposta por relatórios recentes: 40% das organizações devem desativar agentes autônomos até 2027 por falhas de governança pós-implantação (Gartner), e 63% delas não fizeram avaliação formal de riscos antes de colocar agentes em produção (IBM Security). O modelo de 'micropermissões', adotado pela Workday no Agent Passport e alinhado ao Model Context Protocol (MCP) da Anthropic, permite que um agente peça acesso a uma API específica, com escopo limitado e tempo de vida definido, sem herdar privilégios globais do usuário. É menos sobre bloquear IA e mais sobre orquestrar autonomia com precisão cirúrgica.

O que mudou

A cobertura CEVIU de 2026-05-30 e 2026-06-02 tratava da expansão da parceria Workday-Google Cloud como uma iniciativa estratégica de integração. Agora, com o lançamento do Agent Passport (2026-06-04) e a confirmação de que o sistema de registros da Workday atua como camada de governança ativa, não apenas como fonte de dados, mas como mecanismo de execução de políticas, há uma mudança concreta: a governança deixou de ser um módulo pós-fato e virou parte integrante do fluxo de trabalho do agente. Antes era 'integração com IA'; agora é 'IA governada por design', com validação contínua, não pontual.

Por que isso importa

Porque a LGPD já aplicou as primeiras multas por uso indevido de IA em 2025, e a nova regulamentação da União Europeia sobre IA (AI Act) entra em vigor pleno em 2026 para sistemas de alta prioridade, como os usados em RH e finanças. Um agente que acessa dados de salário sem justificativa funcional não é um erro técnico, é uma infração regulatória. Além disso, o mercado de agentes deve crescer 2.700% entre 2024 e 2033, segundo projeção de US$ 5 bi para US$ 139 bi. Empresas que não resolverem governança de permissões agora estarão presas em pilotos eternos ou sujeitas a recall operacional, como já aconteceu com dois clientes da SAP em maio, após um agente de compras ter gerado ordens sem aprovação hierárquica.

Linha do tempo

  1. Salesforce publica abordagem de governança unificada para agentes, focando em identidade, dados e APIs

  2. Workday e Google Cloud ampliam parceria para integrar agentes em fluxos de trabalho de RH e finanças

  3. Workday e Google Cloud anunciam expansão com Sana Self-Service Agent e integração com Gemini Enterprise

  4. Merge lança Agent Handler, camada de governança baseada em provedores de identidade

  5. SAP defende, na Sapphire 2026, que IA corporativa depende de contexto e governança, não de modelos mais potentes

  6. Workday lança Agent Passport, com validação contínua de segurança e políticas de governança em tempo real

  7. CEVIU News destaca que o verdadeiro gargalo dos agentes corporativos são as permissões, não os modelos

Perguntas frequentes

O que são 'micropermissões' e por que elas substituem os controles tradicionais?

Micropermissões são autorizações granulares, vinculadas a ações específicas (ex: 'ler dados de um funcionário do mesmo departamento'), não a perfis genéricos. Elas substituem controles tradicionais porque evitam o 'privilégio excessivo': um analista de RH não precisa de acesso irrestrito à base de dados financeira só para consultar benefícios. Isso reduz superfície de ataque e simplifica auditoria, especialmente sob a LGPD.

Como o Agent Passport da Workday se diferencia de soluções como o Agent Handler da Merge?

O Agent Handler da Merge é uma camada de TI que mapeia usuários a ferramentas aprovadas. O Agent Passport da Workday opera no nível de ação: ele testa, valida e monitora continuamente *cada chamada* que um agente faz, como acessar uma API de folha de pagamento ou emitir um relatório fiscal, com base em políticas de negócio embutidas no sistema de registros da própria Workday.

Por que a integração com o Model Context Protocol (MCP) é relevante para empresas brasileiras?

O MCP é um padrão aberto que permite que modelos de IA conversem com ferramentas externas (como sistemas de RH ou ERP) de forma segura e auditável. Para empresas no Brasil, isso significa que um agente pode, por exemplo, consultar dados da Receita Federal via API, mas só com permissão explícita, escopo limitado e registro completo, atendendo aos requisitos de rastreabilidade da LGPD e da Lei de Acesso à Informação.

O que acontece se um agente de IA tomar uma decisão errada em um processo regulado, como admissão de funcionários?

A responsabilidade não recai apenas no modelo ou no fornecedor. A LGPD e a jurisprudência emergente apontam para o 'operador', quem implantou e governou o agente. Se não houver trilha de auditoria, validação prévia e controle de permissões (como o Agent Passport oferece), a empresa assume integralmente o risco legal, inclusive multas e danos reputacionais.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU IA
Publicado
01 de junho de 2026
Editoria
CEVIU IA

Quer receber mais sobre CEVIU IA?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
O verdadeiro gargalo dos agentes de IA corporativos são as