Segurança de Agentes de IA: A 'Caixa' Determinística
Aprofundamento CEVIU
Aprofundamento
A 'caixa' determinística não é só uma metáfora: é uma camada de execução isolada, com sandboxing de código em microVMs ou interceptação de syscalls no espaço de usuário, que impede que agentes de IA explorem o ambiente além do estritamente autorizado. O AgentCore Runtime da AWS, anunciado oficialmente em 12 de março de 2026, não é um container genérico, ele roda sob controle de um gateway unificado que força toda chamada a ferramentas (Lambda, APIs externas, bancos de dados) a passar por uma política escrita em Cedar, linguagem de autorização formal e auditável. Isso transforma segurança em código executável, não em comentário de documentação.
O risco real não está no agente 'desobedecer': está na injeção de prompt que, em ambientes agênticos, vira comando executável, e pode acionar uma função de pagamento, excluir um bucket S3 ou reconfigurar um firewall. Por isso, políticas como as do AgentCore não permitem apenas 'acesso à API X', mas 'acesso à API X somente se o usuário tiver papel financeiro, o payload não conter campos bloqueados e o horário for entre 9h e 18h'. É menos 'controle de acesso' e mais 'governança de ação'.
Por que isso importa
Até 2026, 40% das aplicações empresariais terão agentes integrados, mas menos de 15% conseguem reconstruir o caminho completo de decisão de um agente após uma ação. Sem caixas determinísticas, cada agente vira um ponto cego de auditoria e um vetor de ataque autônomo. A exigência de trilhas de auditoria estruturadas já está entrando em projetos de regulamentação brasileiros como a futura norma da ANPD para sistemas de IA de alto risco. Empresas que adotam agora sandboxes com políticas granulares não só evitam vazamentos operacionais, mas preparam-se para responder a fiscalizações com evidências técnicas, não com declarações de boas intenções.
Linha do tempo
AWS lança oficialmente Policy in Amazon Bedrock AgentCore
Publicação da notícia sobre a 'caixa' determinística para agentes de IA
Perguntas frequentes
O que diferencia uma 'caixa determinística' de um sandbox tradicional?
Um sandbox tradicional isola recursos de sistema (CPU, memória, rede). A caixa determinística vai além: ela impõe restrições *semânticas*, como 'só acessa essa tabela se o usuário for da área jurídica', via política executada no gateway, não no kernel. Ela também registra todas as decisões de autorização com timestamp, identidade e contexto, gerando trilha auditável por padrão.
Por que usar Cedar em vez de IAM roles ou RBAC convencional?
IAM e RBAC operam em nível de serviço ou recurso. Cedar permite regras baseadas em atributos do *conteúdo* (ex: 'não permitir chamada a /transfer se valor > R$ 10.000') e do *contexto* (horário, geolocalização, histórico de ações). Isso é essencial para agentes que tomam decisões dinâmicas com base em dados em tempo real.
Como detectar se um agente foi comprometido por injeção de prompt?
Não basta monitorar logs de entrada. É preciso correlacionar, em tempo real, o payload recebido com a decisão de autorização no Gateway e com a ação efetivamente executada. Soluções como as da Zscaler e TrueFoundry já oferecem alertas quando há discrepância entre o que foi autorizado e o que foi feito, sinal clássico de prompt injection bem-sucedida.
Essa abordagem funciona para agentes que usam ferramentas de terceiros, como APIs de bancos ou ERPs?
Sim, o AgentCore Gateway atua como proxy obrigatório para *toda* chamada externa, independentemente da origem da ferramenta. Ele reinsere tokens de autorização, valida payloads e aplica políticas antes mesmo de a requisição sair da nuvem. Ferramentas de terceiros não precisam ser modificadas, mas devem aceitar os headers e formatos impostos pelo gateway.
Fontes
- brooker.co.zafonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 11 de março de 2026
- Editoria
- CEVIU Segurança da Informação
