Pentesting agentic levanta dúvidas jurídicas inéditas em segurança da informação

O pentesting agentic não é só mais rápido, é um novo tipo de ataque simulado que opera fora dos limites legais e técnicos dos frameworks tradicionais. Enquanto o NCSC CHECK e o PTES ainda servem como referência para riscos conhecidos, eles não preveem agentes que se reprogramam ao ler páginas do alvo (prompt injection via target), que aprendem com dados de um cliente para testar o concorrente (contaminação cruzada) ou que geram relatórios não reprodutíveis por natureza (não determinismo). A CVE-2025-12420 na ServiceNow, explorável por um segredo codificado e confiança inter-agente automática, já mostrou que a falha não está no agente, mas na arquitetura de identidade e delegação que o abriga.

Isso conecta diretamente com o que o CEVIU já reportou: desde março de 2026, alertamos que 'agentes de IA quebram segurança' porque os controles tradicionais de identidade não escalam para entidades efêmeras, com tokens OAuth e acesso transversal entre sistemas. Em abril, a RSAC 2026 confirmou que nenhum dos cinco frameworks de identidade apresentados resolveu as três lacunas críticas, vínculo fraco de identidade, ciclo de vida mal gerido e visibilidade nula sobre ações em tempo real. Agora, em junho de 2026, vemos o impacto prático: autorização legal sem atribuição técnica é papel molhado. Se você não consegue provar quem fez o quê, e em nome de qual contrato, não há defesa jurídica válida.

Em abril de 2026, o CEVIU apontava que agentes exigem um 'novo playbook de segurança' por causa de prompt injection e falhas em cascata. Hoje, sabemos que o risco não é teórico: a CVE-2025-12420 já foi explorada em produção e corrigida pela ServiceNow em outubro de 2025. Também evoluímos do diagnóstico para a regulamentação: enquanto em abril discutíamos lacunas em frameworks de identidade, agora o Reino Unido avança com o National Security Bill (maio/2026) para reformar a Computer Misuse Act, e os EUA lançam uma ordem executiva específica para IA de fronteira, exigindo avaliação pré-lançamento até 30 dias antes da publicação. O que era alerta técnico virou agenda legislativa.

Empresas que contratam pentesting agentic hoje estão assinando contratos que não resistem a um único litígio. A ausência de atribuição de ação, a impossibilidade de reconstruir passos de teste e a contaminação cruzada entre clientes não são 'detalhes operacionais', são falhas estruturais que invalidam relatórios para remediação, seguro e fiscalização. Um relatório não reprodutível não serve para auditoria do BACEN, ANPD ou FCA. E se um agente for comprometido via session smuggling (como demonstrado pela Unit 42 em novembro/2025), sua empresa responde por danos causados sob cobertura de 'teste autorizado', mesmo sem saber que o agente foi substituído.