Checklist de Segurança para AI Agents: O Que Revisar Antes de Delegar Trabalho

Checklist prático para revisar ferramentas, prompts, limites de dados, permissões, logs e aprovações antes de um AI agent agir.

Por Outlook IT Research · Pesquisa em sistemas de IA e workflows de developers

Atualizado em

Painel de revisão de segurança mostrando ferramentas, prompts, fontes de dados, permissões, logs e aprovações antes de delegar uma tarefa a um AI agent

AI agents estão saindo do chat e entrando no trabalho real. Eles podem ler arquivos, navegar páginas, chamar ferramentas, abrir pull requests, atualizar registros e tomar decisões em várias etapas. Isso muda a pergunta de segurança: não é apenas “o modelo respondeu errado?”, mas “o que o sistema consegue fazer se confiar no input errado?”

Uma checklist de segurança para AI agents é uma revisão prática antes de delegar tarefas reais. Ela olha para prompts, ferramentas, fontes de dados, permissões, memória, logs e pontos de aprovação humana.

O que mudou

A primeira onda de risco em produtos de IA girava em torno de texto gerado. O modelo podia alucinar, vazar contexto ou seguir instruções maliciosas. Agents adicionam uma superfície maior porque combinam raciocínio do modelo com sistemas externos.

Workflows modernos podem incluir arquivos locais, repositórios, tickets, bancos de dados, ferramentas via API ou MCP, ações no navegador, memória de sessões, credenciais e planejamento multi-etapas.

Por isso, melhorar o prompt não basta. Um agent confiável precisa de limites claros: quais dados são confiáveis, quais ferramentas podem ser chamadas, quais ações exigem confirmação e como alguém audita o que aconteceu.

Três camadas de risco

Diagram showing instructions, tools, and data as the three risk layers for AI agent security

CamadaO que pode dar erradoPergunta de revisão
InstructionsPágina, email, ticket ou documento tenta sobrescrever regrasO agent distingue instruções do usuário de conteúdo não confiável?
ToolsFerramenta tem permissão ampla, descrição envenenada ou combinação perigosaO agent vê apenas ferramentas necessárias para a tarefa?
DataDados não confiáveis viram metadados, origem de arquivo ou contexto de execuçãoO sistema separa dados confiáveis de dados controlados por terceiros?

O problema novo é que agents não apenas leem texto malicioso. Eles podem usar esse texto para escolher ferramentas, clicar, escrever código ou alterar registros.

Prompt injection, tool poisoning e data injection

RiscoSignificadoExemplo
Prompt injectionConteúdo não confiável tenta substituir instruçõesPágina pede para revelar instruções ocultas ou enviar dados
Tool poisoningDescrição ou metadata da ferramenta muda a escolha do modeloFerramenta falsa diz que deve processar todos os dados financeiros
Agent data injectionDados maliciosos parecem contexto confiávelRepositório ou resposta de ferramenta manipula paths, origem ou execução

Conteúdo perigoso pode parecer link, label, nome de ferramenta, origem de arquivo, patch ou resposta estruturada.

Checklist antes de delegar trabalho

Seven-step AI agent delegation checklist for task scope, data boundaries, tools, permissions, credentials, logs, and adversarial tests

ChecagemBom padrãoSinal de risco
EscopoUma tarefa clara e uma condição de sucesso”Resolva qualquer coisa que aparecer”
Limite de dadosEntradas confiáveis separadas de conteúdo externoWeb, email, tickets e output de tools misturados
Inventário de toolsCada tool tem dono, propósito e permissãoToolbox grande e confusa
PermissãoRead-only por padrão; escrita exige aprovaçãoAgent pode editar, deletar, deployar, pagar ou enviar email sozinho
CredenciaisTokens com escopo e rotaçãoTokens amplos ou reutilizados entre serviços
Aprovação humanaAções externas ou destrutivas pausam para reviewAções irreversíveis em uma execução
LoggingPrompts, calls, outputs, aprovações e ações finais salvosSó a resposta final aparece
TestesCasos normais, confusos e adversariaisApenas demo feliz

Regra simples: se a ação é difícil de desfazer, o agent não deve executá-la sem aprovação humana.

Revisão específica de MCP

Antes de usar um MCP server, pergunte:

  • Quem mantém o servidor e a implementação é confiável?
  • Quais dados e ações ele expõe?
  • Os nomes e descrições das ferramentas são claros?
  • Os escopos podem ser reduzidos por tarefa ou usuário?
  • A autorização usa consentimento por cliente e redirect URI exata?
  • Tokens são emitidos para o MCP server ou repassados cegamente?
  • O client bloqueia requests para endpoints internos ou metadata?
  • Tool calls são registrados com detalhe suficiente?

O setup mais seguro não é o que tem mais ferramentas, mas o que mostra ao agent só o necessário.

Checklist para coding agents

Antes de permitirRevisar
Edição de arquivosLimitar diretório e exigir review de patches
ComandosSeparar comandos read-only de install, delete, deploy ou mutação
DependênciasRevisar nomes de pacotes, registries, lockfile e postinstall
SecretsManter tokens fora de prompts, logs, arquivos e histórico shell
Pull requestsExigir testes, diff review e provenance clara
Input externoTratar issue, README, comentários e web snippets como não confiáveis

Coding agents podem aumentar produtividade, mas o caminho de revisão precisa continuar visível.

O que times pequenos podem fazer esta semana

  1. Escolha um workflow repetível, como resumir tickets ou rascunhar PR.
  2. Rode primeiro com acesso read-only.
  3. Liste todas as ferramentas que o agent pode chamar.
  4. Remova ferramentas que não são necessárias.
  5. Exija aprovação para escrita, mensagens externas, compras, deploys e deleções.
  6. Salve prompts, tool calls, outputs e ações finais.
  7. Teste um exemplo adversarial, como um ticket pedindo para ignorar regras.

Se o agent não consegue explicar quais dados confiou, quais tools usou e quais ações tomou, o workflow não está pronto para autonomia.

Registro de atualização

Jul 09 2026: Publicada a versão em português do Brasil com checklist de segurança, revisão MCP, riscos de coding agents, FAQ e referências.

Leituras relacionadas