Os agentes de IA já estão dentro dos seus sistemas e sua estratégia de identidade ainda não sabe disso
Até o final de 2026, 40% dos aplicativos empresariais incluirão agentes de IA com tarefas específicas. Doze meses atrás, esse número não chegava a 5%. O salto não é apenas estatístico: é estrutural. Milhões de identidades não humanas estão operando agora mesmo em redes corporativas com acesso a dados, sistemas e decisões, e a maioria das equipes de segurança ainda está analisando o problema com os instrumentos errados.
A gestão de identidades e acessos — o que a indústria chama de IAM, da sigla em inglês — foi construída para um mundo onde os atores do sistema eram pessoas. Alguém entra, recebe uma função, tem seu acesso revisado periodicamente e eventualmente é desvinculado. O ciclo tem uma lógica humana porque foi projetado para humanos. Os agentes de IA não entram pelo departamento de recursos humanos, não têm um gestor que aprove suas permissões e tampouco têm uma data de desligamento programada. Mas têm acesso. E esse acesso, na maioria das organizações, não é governado com o mesmo rigor que o de qualquer funcionário novo.
Isso não é um problema técnico menor. É uma fissura estrutural na forma como as empresas entendem quem — ou o quê — opera dentro dos seus sistemas.
O inventário que ninguém tem
Antes de falar sobre controles, há uma pergunta mais básica que poucas organizações conseguem responder com precisão: quantos agentes de IA estão rodando em seus ambientes agora mesmo, quem os implantou e o que eles podem fazer.
A resposta incômoda é que a maioria não sabe. De acordo com dados publicados pela Gravitee, apenas um em cada sete agentes de IA que operam em ambientes produtivos recebeu revisão formal da equipe de segurança antes de ser implantado. Os demais foram lançados por equipes de negócios ou de desenvolvimento com urgência operacional, sem passar pelos mesmos filtros aplicados a qualquer sistema novo. O resultado é um ecossistema de identidades não humanas que acumulam permissões sem auditoria, operam sob credenciais compartilhadas e permanecem ativas muito tempo depois que o fluxo de trabalho que as originou mudou ou desapareceu.
O problema não é novo em termos de conceito. As identidades não humanas — contas de serviço, chaves de API, scripts de automação — já superavam em número os usuários humanos na maioria das grandes empresas antes mesmo de os agentes de IA entrarem no panorama. O que mudou é a velocidade e a autonomia. Um cluster de Kubernetes pode provisionar milhares de contas de serviço em minutos. Um agente de IA pode interagir com múltiplos sistemas simultaneamente, tomar decisões em tempo real e modificar seu comportamento de acordo com o contexto. Isso não é uma conta de serviço passiva aguardando uma instrução. É um ator com capacidade de julgamento próprio dentro dos seus sistemas.
Sem um inventário claro de quais agentes existem, qual acesso eles têm e quem responde por eles, qualquer conversa sobre controles é posterior ao problema. Você não pode governar o que não catalogou.
Como é uma brecha quando o ator é uma máquina
O caso da Salesloft e da Drift, ocorrido no ano passado, ilustra com precisão o tipo de risco que surge quando os controles de identidade não alcançam as integrações de IA. Atacantes comprometeram tokens OAuth vinculados ao chatbot da Drift — uma integração de IA utilizada pela Salesloft — e acessaram os ambientes do Salesforce de mais de 700 organizações. A brecha passou despercebida durante dias.
O detalhe que importa não é técnico, mas operacional: a equipe de segurança podia ver que o chatbot tinha acesso. O que não podia ver era o que ele estava fazendo com esse acesso em tempo real. Do ponto de vista externo, as consultas maliciosas eram indistinguíveis do comportamento legítimo do bot. Era uma identidade não humana de confiança fazendo exatamente o que parecia que deveria fazer.
Esse padrão — acesso visível, comportamento invisível — é o núcleo do problema. Os frameworks de IAM tradicionais foram construídos para responder à pergunta de quem tem acesso a quê. Diante de agentes de IA, a pergunta que importa é o que esse acesso está fazendo em cada momento, em qual contexto e com qual propósito. São perguntas distintas e exigem instrumentos distintos.
O modelo de controle estático baseado em funções — você atribui uma função, a função define as permissões, as permissões são revisadas a cada trimestre — não foi projetado para atores que operam em velocidade de máquina e modificam seu comportamento de acordo com o contexto. Você precisa de avaliação contínua de risco, não de auditoria periódica. Você precisa que o acesso expire automaticamente quando a tarefa termina, não que persista indefinidamente porque ninguém o revogou.
Os princípios existem há muito tempo. O mínimo privilégio, o acesso just-in-time, os tokens efêmeros que expiram por conta própria, a integração com plataformas de gestão de acessos privilegiados. Nenhum desses mecanismos é novo. O que é novo é a urgência de estendê-los a uma classe de identidades para a qual não foram originalmente pensados, e fazê-lo antes que o próximo incidente apareça no relatório trimestral.
O que as organizações estão adiando e por que esse adiamento tem um custo
Há uma razão pela qual as equipes de segurança não estenderam seus frameworks de IAM aos agentes de IA com a mesma velocidade com que esses agentes são implantados: a implantação é impulsionada pelas equipes de negócios e as equipes de segurança respondem depois.
A assimetria é estrutural. Uma equipe de produto ou de operações que encontra em um agente de IA uma forma de automatizar um fluxo de trabalho não tem incentivos para parar e solicitar uma revisão de segurança que pode levar semanas. O seu incentivo é o resultado operacional imediato. O custo de não fazê-lo — uma brecha, um acesso não autorizado, um agente comprometido — é pago por outra equipe, mais tarde, sob outro orçamento.
Essa distribuição de incentivos produz exatamente o inventário caótico que descrevemos antes: dezenas ou centenas de agentes rodando em produção, muitos sem um responsável formal, com permissões que nunca foram revisadas e credenciais que ninguém sabe quando expiram.
A solução não é desacelerar a implantação de agentes. Os ganhos de produtividade são reais e as organizações que ficarem para trás pagarão esse custo de outra maneira. A solução é integrar a governança de identidades ao processo de implantação, não como uma etapa posterior, mas como uma condição prévia. Que nenhum agente entre em produção sem que alguém tenha respondido a três perguntas básicas: a quê ele tem acesso, quem responde por esse acesso e sob quais condições esse acesso expira.
O Gartner identificou a falta de governança sobre identidades de agentes de IA como uma das tendências de cibersegurança mais críticas para 2026. Não porque seja um problema novo em sua lógica, mas porque a velocidade de adoção está superando a velocidade dos controles. A lacuna entre ambas é onde os incidentes acontecem.
O governador que falta na corrida em direção à IA operacional
A narrativa dominante sobre IA nas empresas está centrada na capacidade: o que um agente pode fazer, quanto tempo economiza, quantos processos automatiza. É uma narrativa legítima. Os números de produtividade são reais.
O que essa narrativa deixa de fora é a pergunta sobre quem responde quando algo dá errado. E quando o ator que falha não é um funcionário, mas um agente com acesso a múltiplos sistemas, a pergunta se torna ainda mais difícil de responder.
A redução de custos decorrente de brechas que os frameworks de IA em IAM prometem — até 80% de acordo com alguns estudos do setor — não chega sozinha. Ela chega quando alguém decidiu que os agentes de IA são decisões de identidade antes de serem decisões de engenharia. Quando a equipe de segurança tem visibilidade em tempo real do comportamento de cada agente, não apenas de suas permissões estáticas. Quando os acessos expiram automaticamente e os fluxos de atestação são contínuos, não anuais.
As organizações que estão implantando agentes de IA sem esse nível de governança não estão agindo de forma imprudente por ignorância. Estão agindo de forma imprudente porque a pressão para se mover rapidamente é real e os controles adequados exigem investimento, coordenação e fricção deliberada nos processos de implantação.
Essa fricção, bem projetada, não freia a adoção. Ela a torna sustentável. A diferença entre um programa de IA que escala de forma ordenada e um que produz um incidente grave em dezoito meses não está na qualidade dos modelos nem na ambição dos casos de uso. Está em se alguém teve a conversa sobre identidades antes que o primeiro agente chegasse à produção.
