Resumo Executivo
- A Pilha Agêntica consiste em três camadas: O Cérebro (LLM), As Mãos (Servidores MCP) e A Camada de Ação (APIs).
- Agentes de IA diferem dos chatbots porque não apenas conversam; eles executam autonomamente fluxos de trabalho de várias etapas através dessas camadas.
- Risco de Segurança propaga-se por toda a pilha, o que significa que um "cérebro saudável" ainda pode executar ações maliciosas se as Mãos ou a Camada de Ação não estiverem seguras.
- A Camada de Ação é o principal plano de controle para a segurança, pois é onde a intenção autônoma se torna uma consequência empresarial.
O termo agente de IA é dominante no discurso atual de cibersegurança. Fornecedores, analistas e CISOs usam o rótulo, mas a confusão técnica persiste sobre como os agentes realmente operam e onde residem os riscos de segurança. Abaixo da familiaridade superficial, há frequentemente uma confusão significativa sobre o que um agente de IA realmente é, como ele opera tecnicamente e, o mais importante para as equipes de segurança, onde o risco realmente reside.
Para tomar decisões de segurança informadas, as organizações devem ir além da interface e entender a arquitetura subjacente. Essa estrutura arquitetônica é conhecida como Pilha Agêntica. Este artigo não é sobre nenhum fornecedor ou plataforma específica. É uma tentativa de mapear a arquitetura claramente, porque você não pode tomar boas decisões de segurança sobre um sistema que não compreende totalmente.
O que é um agente de IA?
Um agente de IA é um sistema de software projetado para perseguir objetivos autonomamente, raciocinando através de uma tarefa e executando ações usando ferramentas externas.
Em um nível elevado, podemos descrever um agente de IA como um sistema capaz de raciocinar sobre seu ambiente para perseguir autonomamente um objetivo, selecionando ações e executando-as usando as ferramentas e serviços aos quais tem acesso. A capacidade de executar ações distingue um agente de um chatbot padrão ou de um assistente de IA básico. Enquanto um chatbot gera respostas de texto, um agente realiza trabalho.
Essas ações podem incluir pesquisar na internet, executar uma consulta de banco de dados, enviar um e-mail, atualizar um registro de CRM, acionar um fluxo de trabalho financeiro ou chamar um serviço web externo. O agente pode encadear muitas ações para perseguir um objetivo. Ele pode decidir o que fazer em cada etapa com base no resultado da etapa anterior.
Essa capacidade também é o que torna os agentes poderosos o suficiente para valer a pena serem implantados em escala empresarial. E é o que os torna fundamentalmente diferentes dos sistemas de IA que os precederam. Essa autonomia cria uma mudança fundamental na superfície de ataque empresarial. As equipes de segurança não estão mais apenas protegendo o tráfego de usuário para aplicativo. Elas estão protegendo fluxos de trabalho de agente para agente (A2A) e de agente para API.
As Três Camadas da Pilha Agêntica
Para entender como os agentes funcionam e onde podem falhar, ajuda a pensar neles como um sistema de três camadas. Cada camada tem uma função distinta, um conjunto distinto de tecnologias e um perfil de risco distinto. A Pilha Agêntica consiste no cérebro, nas mãos e a camada de ação.
Camada 1: O Cérebro (O LLM)
O Modelo de Linguagem Grande (LLM) serve como o cérebro do agente. Dada uma meta ou instrução, ele raciocina sobre os passos que precisa dar para alcançá-la e as ferramentas que deve usar em cada etapa. Ele aprende e se adapta com base nos resultados de suas ações anteriores e no contexto de seu ambiente.
O LLM é a camada que a maioria das pessoas imagina quando pensa em segurança de IA. Preocupações com a injeção de prompt, onde conteúdo malicioso no ambiente manipula o comportamento do modelo, residem aqui. O mesmo acontece com questões sobre alinhamento de modelo, segurança de saída e guardrails. Estas são preocupações reais e importantes.
No entanto, elas são apenas uma das três camadas. Um LLM bem seguro conectado a ferramentas e serviços mal protegidos permanece vulnerável. O cérebro pode estar perfeitamente saudável enquanto as mãos e a camada de ação permanecem expostas. O modelo fornece a intenção, mas não executa a mudança. Se um atacante puder manipular o processo de raciocínio, ele pode, em teoria, forçar o agente a alucinar uma necessidade de realizar uma ação maliciosa, mas o dano real ocorre em outro lugar na pilha.
Camada 2: As Mãos (Servidores MCP)
O Protocolo de Contexto de Modelo (MCP) é um padrão aberto que surgiu como a principal forma de agentes de IA se conectarem a ferramentas externas, fontes de dados e serviços. Se o LLM é o cérebro, os servidores MCP são as mãos.
O servidor MCP atua como um intermediário entre o LLM e o mundo exterior. Ele expõe uma lista de capacidades que o agente pode invocar. Essas capacidades podem incluir a leitura de um sistema de arquivos, a realização de uma consulta a um banco de dados, a chamada de um serviço, o envio de uma notificação ou o acionamento de um fluxo de trabalho. Sem servidores MCP, um agente pode pensar, mas não pode agir. Com eles, ele pode acessar praticamente qualquer sistema ao qual a organização o conecte.
Do ponto de vista da segurança, os servidores MCP são significativos por várias razões:
- Escopo de Autorização: Define o escopo do que um agente pode fazer e gerencia a autenticação para os serviços aos quais ele se conecta.
- Gerenciamento de Credenciais: Eles podem carregar suas próprias configurações, credenciais e configurações de permissão.
- Lacunas de Visibilidade: Como eles se situam entre o modelo e os sistemas com os quais ele interage, um servidor MCP mal configurado ou comprometido dá a um atacante vantagem sobre tudo o que o agente pode alcançar.
O ecossistema MCP está se expandindo rapidamente. As equipes estão integrando-os em fluxos de trabalho de agentes, muitas vezes sem supervisão centralizada. Isso significa que o conjunto de ferramentas que qualquer agente pode acessar está crescendo mais rápido do que a maioria das organizações consegue acompanhar. Os servidores MCP determinam o que um agente pode tocar, tornando-os um dos pontos de maior alavancagem em toda a pilha.
Camada 3: A Camada de Ação (APIs)
As APIs representam a Camada de Ação. Esta é a interface real através da qual os agentes interagem com sistemas empresariais, dados e fluxos de trabalho. Quando um agente lê um registro de cliente, ele chama uma API. Quando ele escreve em um banco de dados, ele chama uma API. Quando ele aciona uma transação financeira, inicia uma implantação ou envia uma mensagem, ele chama uma API.
APIs não são novidade. Empresas têm construído e gerenciado portfólios de APIs por décadas. Mas os agentes de IA mudam a natureza do risco de API de duas maneiras importantes.
Primeiro, os agentes aumentam drasticamente o volume e a velocidade das chamadas de API. Onde um usuário humano pode fazer um punhado de chamadas de API por sessão, um agente buscando um objetivo complexo pode fazer centenas em minutos. Essa escala amplifica as consequências de qualquer vulnerabilidade ou má configuração nas APIs que o agente pode alcançar. Se uma API tiver uma vulnerabilidade de Autorização em Nível de Objeto Quebrada (BOLA), um agente pode explorá-la em uma escala e velocidade que nenhum humano conseguiria.
Em segundo lugar, os agentes fazem chamadas de API de forma autónoma, sem que um humano revise cada ação antes da sua execução. Decisões importantes de autorização, como se um sistema deve realizar uma ação específica agora, são tomadas pelo agente com base no seu objetivo e permissões. Se essas permissões forem demasiado permissivas, ou se os endpoints da API a que têm acesso não estiverem devidamente protegidos, há ampla oportunidade para atos ilícitos não intencionais ou intencionais.
Também é importante notar onde a atividade da API realmente ocorre. A maioria do tráfego de API agêntico é comunicação interna "leste-oeste" entre serviços dentro do ambiente empresarial. Este tráfego move-se através de sistemas que as ferramentas de segurança de perímetro nunca foram projetadas para observar. A segurança baseada na borda, como WAFs, gateways e proxies de API na fronteira da rede, simplesmente não vê a maior parte do que os agentes estão a fazer na camada de ação.
Como o Grafo de Segurança Agêntica Conecta as Camadas
Compreender as três camadas individualmente é importante. Mas a perspetiva mais significativa é como elas interagem, porque as vulnerabilidades numa camada criam riscos que se propagam pelas outras.
Um cérebro manipulado emite instruções maliciosas para as mãos (o servidor MCP). Essas mãos, então, executam essas instruções através de uma chamada de API na camada de ação. Um servidor MCP comprometido pode redirecionar quais APIs o agente chama e quais ações ele executa, independentemente do que o LLM pretendia. E APIs vulneráveis na camada de ação podem ser exploradas diretamente, ignorando completamente as camadas do modelo e do MCP, por qualquer sistema ou agente que possa alcançá-las.
Esta interdependência é o que torna a pilha agêntica um desafio de segurança genuinamente novo, em vez de uma variação dos existentes. Soluções pontuais que abordam apenas uma camada deixam as outras duas expostas. Além disso, uma vez que cada camada faz a ponte e depende das outras camadas, uma falha num pilar é uma falha da própria estrutura.
Para deter estes ataques, as equipas de segurança precisam de visibilidade sobre a "Sequência de Intenção". Isso exige mapear as relações entre agentes específicos, os servidores MCP que utilizam e as APIs que chamam. Referimo-nos a este mapa como o Grafo de Segurança Agêntica. Sem este contexto, uma equipa de segurança não consegue distinguir entre um fluxo de trabalho complexo legítimo e uma exploração maliciosa da pilha.
O Que Isto Significa para as Equipas de Segurança
Para os profissionais de segurança que procuram antecipar o risco agêntico, a arquitetura aqui descrita aponta para um conjunto claro de requisitos:
- Visibilidade em Todas as Três Camadas: A segurança não pode ser compartimentada apenas no modelo ou apenas no perímetro. É preciso ver o caminho completo desde o prompt do LLM até a chamada final da API.
- Inventário Completo: É preciso manter um inventário de todos os agentes, servidores MCP e APIs a operar no ambiente. Não se pode proteger o que não se vê.
- Mapeamento de Relações: É essencial compreender a "linha de crédito" que cada agente possui. Quais agentes se conectam a quais servidores MCP? Quais servidores MCP chamam quais APIs? A que dados e sistemas essas APIs acedem?
- Monitorização Comportamental Contínua: A monitorização deve ocorrer em toda a pilha, não apenas na borda. Isso exige analisar a intenção por trás das chamadas de API para identificar quando um agente está a ser manipulado ou está a funcionar mal.
- Avaliação de Risco Contextual: O risco deve ser avaliado com base no que cada agente pode realmente fazer (o seu impacto potencial na camada de ação), e não apenas na sua existência.
A pilha agêntica não é especialmente complicada quando você a vê claramente. Mas a maioria dos frameworks e ferramentas de segurança foram construídos antes de sua existência, e isso se reflete neles. Reduzir essa lacuna começa com a compreensão da arquitetura, todas as suas três camadas, e a construção de uma abordagem de segurança que abranja todo o cenário.
Se você quiser saber mais sobre a Salt e como podemos ajudar você, por favor, entre em contato conosco, agende uma demonstração, ou visite nosso site. Você também pode obter uma Avaliação Gratuita da Superfície de Ataque de API da equipe de pesquisa da Salt Security e descobrir o que os invasores já sabem.
