Os agentes de IA não criam risco apenas quando alucinam ou produzem uma resposta imprecisa. Eles criam risco quando tomam a ação errada.
Um único prompt do utilizador pode mover-se através de uma aplicação, alcançar um tempo de execução de agente, chamar uma ferramenta, acionar um servidor MCP e tocar numa API a jusante. No momento em que a ação acontece, o pedido original pode estar várias camadas de distância do sistema que realmente altera dados, envia informações ou executa um fluxo de trabalho.
Esse é o problema que as equipas de segurança enfrentam agora. As organizações estão a correr para implementar agentes de IA, mas muitas ainda não têm uma visão clara do que esses agentes podem aceder, quais ferramentas podem chamar e quais APIs podem acionar.
A indústria da cibersegurança também tem focado demasiada atenção apenas na camada do modelo. A segurança de LLMs é importante, mas um sistema agêntico empresarial não é uma camada única. Abrange LLMs no topo, servidores MCP no meio, e APIs e sistemas a jusante na camada de ação. O risco move-se através dos três.
É por isso que a segurança de agentes de IA não pode parar em prompts, modelos ou guardrails. Para proteger este novo ecossistema, as equipas de segurança precisam de entender como os sistemas agênticos realmente funcionam e porque a visibilidade da API se tornou o ponto de controlo.
A Arquitetura Agêntica Explicada
Quando mapeamos uma aplicação agêntica, o risco torna-se muito mais fácil de ver. Um agente não é apenas um chatbot com uma interface melhor. É um sistema que pode raciocinar, escolher ferramentas e agir através de uma infraestrutura de negócios real.

A Entrada
Tudo começa com o utilizador final.
Um prompt do utilizador viaja através da camada de aplicação, geralmente através de um website, interface de produto, proxy ou serviço backend-for-frontend. A partir daí, alcança o tempo de execução do agente através de um endpoint dedicado, como /api/chat.
Nesta fase, o pedido pode parecer simples. Um utilizador pode pedir ao agente para resumir uma conta, atualizar um ticket, extrair dados de clientes, pesquisar documentação ou acionar um fluxo de trabalho. Mas assim que o pedido entra no tempo de execução do agente, o sistema começa a decidir o que precisa acontecer a seguir.
O Cérebro: LLM e Governança
Dentro do tempo de execução do agente, o orquestrador do agente gere o fluxo de decisão. Envia pedidos ao LLM para raciocínio e geração. Também recebe instruções do prompt do sistema, aplica políticas e encaminha a entrada e saída através de guardrails.
Esta camada é importante porque molda como o agente pensa e responde. Pode ajudar a detetar injeção de prompt, bloquear conteúdo inseguro e aplicar regras básicas de política.
Mas esta camada não é suficiente por si só.
O modelo pode decidir o que deve acontecer, mas o risco real aparece quando o agente é autorizado a fazer algo. É aí que a arquitetura passa do raciocínio para a ação.
A Camada de Ação: Onde o Risco se Torna Real
Esta é a camada mais importante para as equipas de segurança entenderem.
Os agentes tornam-se poderosos porque podem usar ferramentas. Podem consultar bases de dados, pesquisar na web, chamar serviços internos, atualizar registos, criar tickets, enviar mensagens ou acionar fluxos de trabalho automatizados.
Em muitos ambientes empresariais, estas ações ocorrem através de três vias principais.
Ferramentas Integradas
As ferramentas integradas dão aos agentes acesso a capacidades comuns, como consultas a bases de dados, pesquisa na web, recuperação de ficheiros ou ações específicas de aplicações.
Estas ferramentas tornam os agentes úteis, mas também criam novos caminhos para dados sensíveis e operações críticas para o negócio. Se um agente for enganado para usar uma ferramenta incorretamente, o resultado pode não ser uma resposta errada. Pode ser uma ação errada.
Ferramentas Personalizadas
As ferramentas personalizadas conectam os agentes diretamente a APIs internas e sistemas de negócio.
É aqui que muitas organizações subestimam o risco. Uma ferramenta personalizada pode expor fluxos de trabalho de reembolso, registos de clientes, dados de produtos, ações de suporte ou funções administrativas internas. Se a ferramenta tiver permissões amplas, o agente pode herdar um acesso muito mais abrangente do que o utilizador deveria ter.
Estes não são riscos teóricos. Investigadores de segurança já demonstraram como a injeção indireta de prompts pode manipular sistemas de IA através de conteúdo oculto em páginas web, e-mails, documentos ou outras entradas externas. O mesmo padrão pode ser aplicado a ferramentas de agente: um agente de suporte pode ser levado a usar indevidamente uma API de reembolso ou gestão de contas, um agente de pesquisa pode ser manipulado para expor dados internos sensíveis através de uma ferramenta de recuperação excessivamente permissiva, e um agente de fluxo de trabalho pode ser guiado a desencadear um processo a jusante sem validação suficiente.
A questão não é apenas se o prompt era seguro. A questão é se a ação foi autorizada, esperada e visível.
A Camada MCP
A camada MCP está rapidamente a tornar-se uma das partes mais importantes da arquitetura de agentes.
MCP, ou Model Context Protocol, é uma forma emergente para agentes de IA se conectarem com ferramentas, dados e sistemas externos. Oferece aos agentes uma maneira mais padronizada de descobrir e chamar ferramentas através de servidores MCP.
Num fluxo típico, o runtime do agente usa um cliente MCP para comunicar com um servidor MCP através de endpoints como /initialize, /tools/list e /tools/call. O servidor MCP executa então ferramentas específicas, que podem desencadear APIs a jusante.
Isto cria uma poderosa camada de abstração. Também cria um problema de visibilidade.
Uma equipa de segurança pode ver uma chamada de API no final da cadeia, mas não compreender qual agente a causou, qual ferramenta foi usada, qual servidor MCP a tratou, ou qual prompt do utilizador iniciou a ação.
Esse contexto em falta é onde o risco de agente se esconde.
O Ponto de Estrangulamento da API: Por que a Visibilidade Importa
Uma vez que se compreende a arquitetura, um ponto torna-se claro: por mais complexo que seja o raciocínio do agente, as suas ações no mundo real acabam por se manifestar como atividade de API.
O agente pode comunicar com o LLM, descobrir ferramentas através do MCP, usar funções personalizadas ou depender de conectores integrados – todas estas interações também são baseadas em API. A Salt oferece visibilidade em toda esta camada de comunicação, não apenas na chamada final da API a jusante. Isso significa que as equipas de segurança podem ver o caminho mais amplo que um agente percorre ao raciocinar, selecionar ferramentas e agir em sistemas de negócio.
Isso torna a camada de API o ponto de controlo natural para a segurança de agentes.
As equipes de segurança não precisam apenas saber que uma API foi chamada. Elas precisam entender a cadeia completa por trás da chamada:
- Qual agente iniciou a ação?
- Qual usuário ou prompt iniciou o fluxo?
- Qual servidor ou ferramenta MCP esteve envolvido?
- Qual API downstream foi acionada?
- O comportamento foi normal, arriscado ou malicioso?
Logs de API tradicionais muitas vezes não conseguem responder a essas perguntas. Eles mostram o tráfego, mas nem sempre o contexto agêntico por trás dele. É por isso que a visibilidade da API precisa evoluir para a era agêntica.
A estrela-guia da Salt Security é proteger o ciclo de vida completo desses sistemas com visibilidade completa, compreensão contextual de riscos e proteção em tempo real.
Observabilidade Através do Grafo de Segurança
A Salt não trata cada chamada de API como um evento isolado. Ela constrói um mapa contextual da cadeia de execução agêntica, incluindo comunicação agente-para-LLM, comunicação agente-para-MCP, atividade MCP-para-ferramenta, uso de conectores e chamadas de API downstream.
Isso é importante porque as equipes de segurança precisam de relacionamentos, não apenas de registros.
Se uma API downstream se comporta de forma anormal, as equipes precisam rastrear essa atividade até o agente de origem. Se uma ferramenta MCP expõe ações arriscadas, as equipes precisam entender quais agentes podem acessá-la. Se um agente se comunica com um LLM, chama um conector, invoca uma ferramenta ou move dados sensíveis por um caminho inesperado, as equipes precisam ver a rota completa.
Esse é o valor de um inventário agêntico unificado e um grafo de segurança. Ele transforma a atividade bruta em um mapa de risco compreensível.
Gerenciamento de Postura Contextual
Sistemas agênticos também precisam de gerenciamento de postura que reflita como eles realmente operam.
Não basta inventariar APIs, agentes ou ferramentas separadamente. As equipes de segurança precisam saber como esses objetos se conectam, o que cada um pode acessar e onde as combinações mais arriscadas existem.
Por exemplo, um servidor MCP pode não parecer perigoso por si só. Mas se ele expõe ferramentas poderosas a um agente com amplo acesso a APIs sensíveis, ele se torna um risco de alta prioridade.
A Salt expande a descoberta em todo o ecossistema de IA e traz modelos de risco específicos de IA para o campo de visão. À medida que as capacidades do roadmap amadurecem, o suporte para frameworks como OWASP MCP Top 10 e OWASP AI Top 10 pode ajudar as organizações a avaliar o risco em agentes, objetos MCP, ferramentas e APIs em contexto.
Proteção em Tempo Real
A visibilidade é o primeiro passo. A proteção é o próximo.
Como as ações agentivas, em última análise, passam pela camada da API, as equipes de segurança precisam da capacidade de detectar comportamentos de risco em tempo real e, onde suportado, impedi-los antes que atinjam sistemas críticos. Isso inclui capacidades como bloqueio de ferramentas e APIs, detecção de anomalias e detecção de injeção de prompt, com capacidades adicionais no roadmap destinadas a expandir a proteção para bloqueio de atacantes e detecções relacionadas a guardrails.
Isso é especialmente importante porque os ataques agentivos podem não se parecer com o abuso tradicional de API. A solicitação pode vir de um agente confiável. A ferramenta pode ser aprovada. A API pode ser legítima. O risco surge da combinação de prompt, escolha da ferramenta, permissões e ação subsequente.
A posição da Salt no ponto de estrangulamento da API oferece às equipes uma forma de monitorar e proteger a camada onde a intenção da IA se torna impacto nos negócios. Igualmente importante, a Salt oferece visibilidade sobre o contexto mais amplo do agente, incluindo a comunicação com o LLM. Com o tempo, espera-se que essa visibilidade se expanda ainda mais para o contexto de guardrail.
Quando esses sinais baseados em API são conectados, as equipes de segurança podem ver a arquitetura completa do agente em um só lugar: a solicitação do usuário, o tempo de execução do agente, a comunicação do LLM, a atividade do MCP, o uso de ferramentas, a atividade do conector e as chamadas de API subsequentes. Esse contexto completo facilita muito o raciocínio de segurança. Em vez de investigar eventos desconectados, as equipes podem entender como um agente tomou uma decisão, o que ele tentou fazer e quais sistemas foram afetados.

Conclusão
A era da segurança agentiva já chegou.
Agentes de IA não são mais interfaces passivas que apenas respondem a perguntas. Eles estão se tornando participantes ativos nos fluxos de trabalho empresariais. Eles chamam ferramentas, conectam-se a servidores MCP, acionam APIs e agem sobre dados de negócios.
Isso muda o modelo de segurança.
Construir paredes mais espessas em torno do LLM não é suficiente. Guardrails são importantes, mas não podem fornecer visibilidade total sobre o que acontece depois que um agente decide agir. Para proteger sistemas agentivos, as organizações precisam ver o caminho de execução completo: do prompt ao agente, do agente ao LLM, do agente ao MCP ou ferramenta, e da ferramenta à API. No futuro, o contexto de guardrail tornará essa visão ainda mais rica.
A camada da API é onde essas ações se tornam visíveis. Combinada com a comunicação do LLM, o contexto do MCP, a atividade da ferramenta e o futuro contexto de guardrail, ela oferece às equipes de segurança o panorama completo de que precisam para analisar riscos e investigar o comportamento do agente com confiança.
Seus agentes de IA já estão agindo. A Salt ajuda você a ver o caminho completo do prompt ao LLM, MCP, ferramentas e APIs, para que você possa analisar riscos com confiança. Solicitar uma demonstração.
