Os agentes de IA de trabalho mudaram uma fronteira importante: já não estamos a falar apenas de sistemas que respondem com texto. Ferramentas como o Codex podem ler um projeto, propor alterações, executar comandos, rever código, usar ferramentas conectadas e trabalhar dentro de um ambiente real de desenvolvimento.

Isso é útil precisamente porque aproxima a IA do lugar onde as decisões são tomadas e as ações são executadas. Mas também muda o risco. Um agente com acesso a repositórios, terminal, navegador, CRM, email, automatizações ou documentação interna não é um assistente abstrato. É uma camada operacional que pode atuar usando a nossa sessão, as nossas permissões e a nossa identidade profissional.

Se essa camada for mal configurada, comprometida ou receber instruções maliciosas de uma fonte não confiável, o problema não é apenas que “se engane”. O problema é que pode produzir ações reais atribuídas a uma pessoa, uma equipa ou uma empresa. No pior caso, poderia facilitar fraude, falsificação de identidade, fuga de dados, envios em massa, manipulação de sistemas ou campanhas coordenadas que parecem legítimas porque saem de contas e ferramentas autorizadas.

Este artigo complementa o guia de privacidade e segurança em agentes de IA comerciais, as regras de negócio em agentes de IA e a análise sobre o que não deve automatizar um agente de IA comercial. O foco aqui é o ambiente de trabalho: desenvolvimento, operações, marketing, vendas, documentação e qualquer processo em que um agente possa usar ferramentas em nome de uma pessoa.

Em Resumo

Controlar agentes de IA como o Codex não significa travar a produtividade. Significa separar claramente o que podem ler, o que podem modificar, que ferramentas podem usar, quando precisam de aprovação humana e o que fica registado para auditoria. O risco real não está no modelo “querer fazer mal”, mas em combinar identidade, permissões, dados, ferramentas e escala sem limites suficientes.

A regra prática é simples: se um agente pode atuar em teu nome, deve operar com permissões mínimas, ambiente delimitado, rede controlada, segredos fora de alcance, revisão humana em ações sensíveis e rastreabilidade completa.

Porque Um Agente de Trabalho Não É Um Chat

Um chat responde. Um agente conectado atua.

Essa diferença muda a arquitetura de segurança. Num ambiente profissional, um agente pode ter acesso a camadas muito diferentes:

  • Repositórios de código.
  • Terminal e scripts locais.
  • Ficheiros de projeto.
  • Gestores de pacotes.
  • Ferramentas de revisão e pull requests.
  • Navegador ou aplicações internas.
  • CRM, email, calendários ou documentação.
  • Pipelines, deployments ou credenciais se o ambiente os expuser.
  • Automatizações que repetem ações em grande escala.

Cada uma dessas camadas amplia a superfície de risco. Uma falha isolada pode ser reversível. Uma falha com ferramentas, permissões e capacidade de repetição pode transformar-se num incidente.

Por isso, não convém avaliar estes agentes como se fossem apenas uma interface conversacional. É preciso avaliá-los como utilizadores operacionais com uma combinação de contexto, autonomia e ferramentas.

O Risco Central: Identidade Delegada

Quando uma pessoa usa um agente de IA dentro do seu ambiente, muitas ações podem ficar associadas a essa pessoa: alterações de ficheiros, comandos executados, mensagens enviadas, tickets criados, branches abertas, comentários em PR, tarefas no CRM ou ações em ferramentas conectadas.

Se alguém comprometer essa sessão, abusar de uma integração ou conseguir que o agente atue sobre instruções não confiáveis, a primeira rastreabilidade pode apontar para o utilizador legítimo. A organização pode ver “foi esta conta que fez”, mesmo que a pessoa tenha sido vítima de uma cadeia de abuso.

Esse é o ponto delicado: o agente pode tornar-se uma interface de identidade delegada. Não tem apenas inteligência; tem acesso.

Identidade delegada entre uma pessoa, um agente de IA e ferramentas internas com camadas de acesso e aprovação.
A identidade delegada transforma as permissões de uma conta legítima numa superfície que deve ser delimitada, revista e auditada.
SuperfícieRisco se não houver controloControlo mínimo
RepositórioAlterações não autorizadas, introdução de erros ou modificações difíceis de rever.Branches separadas, revisão humana, testes e permissões de escrita delimitadas.
TerminalExecução de comandos com efeitos inesperados.Sandbox, allowlist de comandos, aprovação para ações sensíveis e logs.
Ficheiros locaisLeitura de segredos, contratos, dados pessoais ou material interno.Deny-read para .env, chaves, credenciais e pastas sensíveis.
RedeExfiltração de dados ou chamadas para destinos não aprovados.Rede desativada por defeito ou allowlist estrita de domínios.
CRM ou emailEnvios externos, alterações comerciais ou campanhas atribuídas à empresa.Ferramentas granulares, rascunhos, limites de volume e aprovação humana.
AutomatizaçõesRepetição massiva de uma ação incorreta.Quotas, rate limits, circuit breakers e revisão de fluxos.
ProduçãoDeployments, alterações de configuração ou acesso a dados reais.Separação de ambientes, permissões temporárias e aprovação explícita.
LogsImpossibilidade de saber o que aconteceu.Registo de prompts, comandos, tool calls, utilizador, hora e resultado.

A pergunta correta não é “confiamos na IA?”. A pergunta correta é “o que poderia acontecer se esta identidade e estas permissões fossem mal usadas?”.

Campanhas em Massa: Quando a Escala Multiplica o Dano

A automatização transforma uma ação num padrão repetível. Isso é valioso quando o padrão é legítimo: rever tickets, preparar briefings, atualizar documentação, criar tarefas ou gerar rascunhos.

Também é perigoso quando o padrão é mal orientado. Uma conta com acesso a email, CRM, redes sociais, repositórios, formulários ou ferramentas de ads pode causar muito dano se um agente comprometido executar ações em massa. Não é preciso imaginar um sistema especialmente sofisticado: basta combinar permissões amplas, pouca revisão, ausência de limites de volume e uma identidade que já tem confiança interna.

O risco não está apenas em “hackear o modelo”. Pode vir de lugares mais normais:

  • Uma sessão aberta num equipamento não protegido.
  • Um token ou credencial exposto ao ambiente do agente.
  • Uma ferramenta conectada com permissões demasiado amplas.
  • Um documento externo com instruções maliciosas.
  • Um workflow que executa o que o agente devolve sem validação.
  • Uma política de aprovação demasiado permissiva.
  • Um ambiente onde ações repetitivas não são revistas até já ser tarde.

Por isso, os agentes de trabalho precisam de controlos de escala. Uma ação interna de baixo risco pode ser automática. Uma ação externa, repetida, irreversível ou sensível do ponto de vista reputacional deve ter limites de volume, aprovação, observabilidade e capacidade de paragem.

O Prompt Não É Suficiente

Um bom prompt ajuda a orientar o agente. Um ficheiro AGENTS.md ajuda a fixar expectativas do repositório: comandos de verificação, normas de estilo, limites do projeto, rotas de deployment ou decisões que exigem cuidado.

Mas uma instrução não substitui um controlo técnico.

Se o agente tiver acesso de escrita a todo o sistema, rede aberta, segredos disponíveis, ferramentas genéricas e autorização para atuar sem aprovação, o prompt está a carregar responsabilidades que deveriam pertencer à arquitetura.

Os limites importantes devem viver em várias camadas:

  1. Permissões do ambiente: o que pode ler e escrever.
  2. Sandbox: onde pode executar comandos.
  3. Rede: se pode ligar-se ao exterior e a que domínios.
  4. Ferramentas: que ações concretas tem disponíveis.
  5. Aprovações: quando deve parar e pedir revisão.
  6. Segredos: que credenciais ficam fora de alcance.
  7. Rastreabilidade: o que é registado para reconstruir decisões.
  8. Política humana: quem revê alterações, exceções e incidentes.

As instruções são uma camada útil. As permissões são o limite real.

Controlos Específicos para o Codex e Agentes de Desenvolvimento

No caso do Codex, a documentação oficial descreve várias peças relevantes para operar com mais segurança: sandboxing, políticas de aprovação, controlo de rede, perfis de permissões, AGENTS.md, configuração gerida e registos para governo empresarial.

O padrão defensivo deveria ser este:

Controlos por camada para um agente de IA de desenvolvimento: instruções, sandbox, permissões, rede, ferramentas, aprovação e auditoria.
Um agente de trabalho fiável combina instruções de projeto, sandbox, permissões mínimas, rede controlada, ferramentas delimitadas, aprovação humana e registos.
CamadaComo aplicar
AGENTS.mdDocumentar regras do repo, comandos válidos, alcance do projeto, restrições de deployment e critérios de revisão.
Modo read-onlyUsá-lo para exploração, diagnóstico, planeamento ou revisão sem alterações.
Workspace delimitadoPermitir escrita apenas no diretório de trabalho necessário, não em todo o sistema.
Deny-readBloquear .env, chaves SSH, tokens, credenciais, exports de dados e pastas pessoais.
Rede controladaManter a rede desligada ou limitá-la aos domínios necessários.
AprovaçõesExigir confirmação para rede, comandos sensíveis, escritas fora do workspace, deployments ou ações destrutivas.
Ferramentas granularesPreferir ações específicas em vez de ferramentas genéricas de “fazer qualquer coisa”.
Branches e PRsSeparar o trabalho do agente em branches revíveis com testes e diff claro.
LogsConservar atividade suficiente para auditoria, depuração e investigação.
Configuração geridaEm equipas, aplicar perfis permitidos e restrições a partir de uma política central.

O objetivo não é transformar cada tarefa em burocracia. O objetivo é que a autonomia dependa do risco.

Matriz de Autonomia

Nem todas as ações exigem o mesmo nível de controlo. Convém separar cinco níveis.

Matriz visual de autonomia para agentes de IA com zonas de observação, proposta, rascunho, execução limitada e bloqueio de alto impacto.
A autonomia deve crescer apenas quando o risco baixa: observar e propor não têm o mesmo impacto que executar ações externas ou tocar em produção.
NívelO que o agente pode fazerExemplosControlo recomendado
1. ObservarLer informação não sensível.Rever estrutura do repo, documentação pública, ficheiros de código sem segredos.Read-only e logs básicos.
2. ProporSugerir alterações sem as aplicar.Plano de refatoração, diagnóstico, checklist de segurança.Revisão humana antes de editar.
3. PrepararCriar rascunhos ou alterações em branch isolada.Patch, PR draft, email interno, resumo de reunião.Testes, diff revível e aprovação antes de publicar.
4. Executar baixo riscoRealizar ações reversíveis e delimitadas.Formatar código, atualizar docs, criar tarefa interna.Permissões mínimas, rollback simples e registo.
5. Executar alto impactoTocar em produção, enviar campanhas, modificar dados sensíveis ou atuar externamente.Deployments, emails em massa, alterações contratuais, eliminação de dados.Por defeito, não autónomo; requer aprovação explícita e controlos adicionais.

Esta matriz evita uma armadilha comum: tratar da mesma forma uma correção de documentação e um deployment, uma campanha ou uma ação sobre dados pessoais.

O Que Deveria Ficar Fora de Alcance

Um agente de trabalho não deveria ter acesso permanente ou automático a tudo o que uma pessoa pode tocar.

Por defeito, convém deixar fora:

  • Ficheiros .env e segredos locais.
  • Chaves SSH, tokens de API e credenciais de deployment.
  • Dados pessoais, financeiros, legais ou de saúde que não sejam necessários.
  • Backups e exports completos de bases de dados.
  • Ferramentas de envio em massa sem limites.
  • Produção salvo em fluxos muito controlados.
  • Consolas de cloud com permissões amplas.
  • Workflows que executam ações externas sem validação.
  • Históricos ou documentos privados que não estejam ligados à tarefa.

O agente deve receber contexto suficiente para trabalhar, não acesso indiscriminado ao ambiente completo.

Sinais de Que o Ambiente Está Mal Governado

Há sinais práticos que deveriam desencadear uma revisão:

  • O agente pode ler segredos sem precisar.
  • É usada a mesma conta para desenvolvimento, produção e automatização.
  • Não existe diferença entre leitura, escrita e ações externas.
  • O agente pode aceder a rede aberta sem rastreabilidade.
  • As ferramentas conectadas não têm scopes específicos.
  • Ninguém revê comandos, diffs ou tool calls de alto impacto.
  • Não há registo central de ações.
  • As campanhas ou workflows não têm limites de volume.
  • Não existe um procedimento claro para revogar permissões.
  • A organização não sabe que agentes estão ativos nem quem os usa.

Quando aparecem vários destes sinais, o problema não é o modelo. É governo operacional.

Como Responder a Um Incidente

Se houver suspeita de que um agente de IA atuou mal ou foi comprometido, a resposta deve ser prática e rápida.

  1. Revogar sessões, tokens e credenciais associadas.
  2. Parar automatizações e tarefas programadas relacionadas.
  3. Isolar o ambiente onde o agente operava.
  4. Rever logs de comandos, tool calls, ficheiros tocados, mensagens enviadas e destinos de rede.
  5. Identificar alterações em repositórios, CRM, email, documentação e produção.
  6. Reverter ações erradas quando possível.
  7. Rodar segredos que possam ter ficado expostos.
  8. Rever permissões antes de reativar o fluxo.
  9. Documentar causa, alcance, impacto e controlos adicionados.

A resposta não deveria depender de recordar o que aconteceu numa conversa. Deve poder ser reconstruída a partir de registos verificáveis.

Como Nicolás Torres o Enquadraria

Para Nicolás Torres, o controlo de agentes de IA começa antes de os ligar a ferramentas. A pergunta inicial não é “o que pode automatizar o agente”, mas “que identidade, dados e permissões vai herdar”.

A abordagem seria:

  1. Mapear o ambiente: repositórios, ferramentas, dados, credenciais, ações externas e responsáveis.
  2. Classificar riscos: baixo, médio ou alto segundo impacto, reversibilidade, sensibilidade e escala.
  3. Definir permissões mínimas: leitura, escrita, rede e ferramentas apenas onde acrescentam valor.
  4. Separar identidades: utilizadores humanos, contas de serviço e automatizações não deveriam misturar-se sem critério.
  5. Desenhar aprovações: toda ação externa, irreversível ou sensível deve ter revisão humana.
  6. Registar atividade: comandos, alterações, tool calls, decisões, utilizador e resultado.
  7. Testar cenários de abuso: não para ensinar a atacar, mas para comprovar que os limites funcionam.
  8. Rever periodicamente: permissões, logs, exceções, campanhas, integrações e acessos ativos.

Um agente de IA bem governado pode aumentar a produtividade sem transformar o ambiente de trabalho numa caixa negra. A confiança não deveria vir de assumir que o agente “se vai portar bem”. Deveria vir de limites técnicos, revisão humana e rastreabilidade suficiente para saber o que aconteceu, quem autorizou cada ação e como parar o fluxo se algo se desviar.

A potência destes agentes é real. Precisamente por isso é preciso tratá-los como uma parte séria do sistema operativo da empresa.

Perguntas frequentes

Porque é preciso controlar agentes de IA como o Codex?
Porque podem trabalhar sobre repositórios, ficheiros, terminais, ferramentas externas e dados da organização. Se tiverem permissões em excesso, um erro ou compromisso pode transformar-se em ações reais feitas com a nossa identidade.
Que risco surge se um agente de IA for comprometido?
Pode facilitar alterações não autorizadas, fuga de dados, envios externos, manipulação de sistemas, campanhas em massa ou ações que pareçam executadas por uma pessoa ou empresa legítima.
Basta escrever boas instruções no prompt?
Não. As instruções ajudam, mas os limites críticos devem estar em permissões, sandboxing, aprovação humana, ferramentas delimitadas, logs, revisão e políticas de acesso.
Que permissões deve ter um agente de IA de trabalho?
Apenas as necessárias para a tarefa concreta: leitura ou escrita limitada ao workspace, rede desativada ou em allowlist, segredos fora de alcance, ferramentas específicas e aprovação para ações sensíveis.
Como se deteta o uso indevido de um agente de IA?
Com registos de atividade, rastreabilidade de comandos e ferramentas, revisão de alterações, alertas sobre ações invulgares, separação de identidades e capacidade de revogar acessos rapidamente.

Voltar ao Arquivo