Segurança de agentes de IA: as 8 principais ferramentas e ameaças para 2026

Na prática, segurança de agentes de IA significa duas coisas diferentes: proteger os agentes autônomos que sua organização implantou e usar agentes de IA para executar operações de segurança mais rapidamente do que analistas humanos.

Analisamos oito plataformas em ambas as categorias, os vetores de ataque que as tornam necessárias e os prazos de conformidade que agora estão forçando essa discussão.

Ferramentas e plataformas de segurança para agentes de IA

O mercado está dividido em duas categorias.

• Categoria 1: Protegendo agentes de IA (AI-SPM e proteção em tempo de execução): Concentra-se em proteger os agentes de IA que você implantou: analisando modelos antes da implantação, controlando a quais agentes eles podem acessar e bloqueando ataques como injeção de prompts em tempo de execução.
• Categoria 2: Agentes de IA executando operações de segurança (SOC Agente) : Implanta agentes de IA para executar operações de segurança de forma autônoma, substituindo ou complementando analistas humanos em fluxos de trabalho de SOC.

*Azure Apenas registros ML, modelos de terceiros ou auto-hospedados não estão incluídos.

• Governança de identidade do agente: monitoramento de tokens OAuth, governança de identidades não humanas (NHI) e aplicação do princípio do menor privilégio para agentes implantados.
• Segurança MCP : monitoramento nativo de conexões do servidor do Protocolo de Contexto do Modelo.
• Red Teaming Agente: simulação de ataque com múltiplos turnos e múltiplos agentes, distinta do Red Teaming padrão da LLM.

1. Ferramentas de Gestão de Postura de Segurança com IA (AI-SPM)

Palo Alto Networks Prisma AIRS

O Prisma AIRS (AI Runtime Security) é a única plataforma nesta comparação que afirma oferecer cobertura completa do ciclo de vida da IA agente, desde a análise do modelo antes da implantação até a aplicação em tempo de execução, como um produto distinto do Prisma Cloud, a oferta CNAPP da empresa. ¹

O Gateway de Agentes de IA (um plano de controle central que aplica controles de acesso baseados em identidade para agentes autônomos durante a execução em tempo real), a Segurança de Artefatos de Agentes (análise de arquitetura antes da implantação) e o recurso integrado de Red Teaming com IA para sistemas multiagentes. ² A plataforma incorporou a detecção de vulnerabilidades de serialização ModelScan da Protect AI após a aquisição pela Palo Alto Networks em julho de 2025. A segurança de endpoints baseada em agentes da Koi ainda não foi totalmente integrada e permanece como uma implementação separada até o segundo trimestre de 2026. ³

Prós:

• A verificação de modelos por IA antes da implantação detecta adulteração de modelos, scripts maliciosos e ataques de desserialização.
• O recurso integrado de Red Teaming com IA oferece suporte à simulação de ataques em várias etapas e testes de sistemas multiagentes.
• Mecanismos de segurança em tempo de execução bloqueiam a manipulação de prompts e a exposição de dados durante interações com agentes em tempo real. ⁴

Contras:

• Os preços não são divulgados publicamente; contratos empresariais são necessários.
• A integração do endpoint Koi está em andamento; agentes executados localmente fora dos perímetros da nuvem e do SaaS exigem uma implantação separada até que essa integração seja concluída.

Wiz AI-SPM

O principal diferencial do Wiz AI-SPM é o Wiz Security Graph, que correlaciona os riscos de IA com o contexto da infraestrutura de nuvem subjacente. ⁵ Enquanto a maioria das ferramentas de IA-SPM relata riscos de IA de forma isolada, o Security Graph mostra que um modelo vulnerável está sendo executado em uma VPC de produção com um contexto de saída para a internet que altera a prioridade de correção.

A plataforma inclui o Mika AI para consultas de risco em linguagem natural ("quais LLMs estão acessando bancos de dados de produção?"), o Wiz Blue Agent para investigação automatizada de ameaças e o Wiz Defend para proteção em tempo de execução contra injeção imediata e comportamento de agentes maliciosos. ⁶ A descoberta de IA Shadow opera sem agente, examinando repositórios de modelos em busca de código malicioso e dados de treinamento para exposição de PII.

Prós:

• Gera uma lista de materiais de IA (AI-BOM) que abrange modelos, estruturas e dependências que alimentam cada sistema de IA. ⁷
• Descobre cargas de trabalho de IA ocultas e serviços de IA não gerenciados sem a necessidade de implantação de agentes. ⁸
• A correlação entre código e nuvem vincula os riscos de IA em nível de aplicação à configuração da infraestrutura, permitindo sua implementação.

Contras:

• O gerenciamento nativo de postura de segurança SaaS (SSPM) não está incluído; a cobertura SaaS requer uma ferramenta complementar.
• A aquisição pendente do Salesforce introduz incerteza no roteiro para ambientes não-Salesforce.

Segurança Obsidian

Agentes de IA corporativos operam dentro do Microsoft Office, Microsoft Office 365, Microsoft Office Workspace e dezenas de outras plataformas SaaS, acumulando tokens OAuth e movimentando dados em volumes que nenhum usuário humano conseguiria. O Obsidian Security foi desenvolvido especificamente para esse ambiente.

Segundo dados de pesquisa da própria Obsidian, 90% dos agentes corporativos têm permissões excessivas, movimentam 16 vezes mais dados do que usuários humanos e 53% dos agentes de IA acessam informações confidenciais. ⁹ A plataforma detecta agentes com permissões excessivas, identifica comprometimento de tokens, rastreia a movimentação de dados entre aplicativos e revela implantações de IA não autorizadas conectadas a contas SaaS corporativas sem visibilidade da TI.

Prós:

• O SaaS Security Posture Management (SSPM) fornece visões continuamente atualizadas de configurações incorretas e lacunas de conformidade em aplicativos SaaS.
• Detecta injeção de prompts de IA e vazamento de dados em aplicativos SaaS da GenAI, incluindo Copilot e Agentforce.
• A governança de identidades não humanas abrange aplicativos conectados, tokens OAuth e contas de serviço com parâmetros comportamentais definidos. ¹⁰

Contras:

• A cobertura é focada em SaaS; organizações que executam agentes de IA em infraestrutura auto-hospedada ou nativa da nuvem precisam de uma ferramenta separada para visibilidade da camada de infraestrutura.
• Os preços não são divulgados publicamente.

Microsoft Defender para Nuvem

O módulo de segurança de IA do Defender for Cloud amplia a plataforma CSPM existente com detecção de ameaças específica para IA, sem necessidade de implantação adicional para organizações que já executam o Defender for Cloud. ¹¹ equipes que gerenciam implantações do Azure AI Foundry, agentes do Copilot Studio ou Azure OpenAI obtêm detecção de ameaças e gerenciamento de postura no mesmo console.

O preço é um dos poucos valores divulgados publicamente nesta categoria: US$ 0,0008 por 1.000 tokens escaneados por mês, com agentes da Foundry incluídos sem custo adicional e um período de teste de 30 dias limitado a 75 bilhões de tokens. ¹²

O módulo integra-se com o Azure AI Content Safety Prompt Shields para detecção de jailbreak e encaminha alertas de vazamento de dados, roubo de credenciais e comportamento anômalo do agente para o Microsoft Sentinel. ¹³ Em março de 2026, a Microsoft lançou o Agent 365, um plano de controle unificado para governar e proteger agentes em todo o ambiente Microsoft, por US$ 15 por usuário por mês. ¹⁴

Prós:

• Nenhuma infraestrutura adicional é necessária para organizações nativas do Defender for Cloud CSPM que já utilizam o Azure.
• A precificação transparente baseada em tokens permite a estimativa de custos antes da implementação.
• A integração do Prompt Shields lida com a detecção nativa de jailbreak e injeção de prompts. ¹⁵

Contras:

• As verificações de segurança do modelo de IA são realizadas apenas em registros e espaços de trabalho de aprendizado de máquina Azure, não em registros de modelos de terceiros ou hospedados internamente. ¹⁶
• Valor limitado para organizações que executam agentes de IA principalmente fora de Azure

Camada Oculta MLDR

As ferramentas de segurança com IA focam no comportamento do agente, no acesso a dados e na injeção imediata de vulnerabilidades. O HiddenLayer Machine Learning Detection and Response (MLDR) opera uma camada mais profunda: o modelo.

O MLDR monitora modelos em produção em busca de ataques adversários de evasão que manipulam as entradas para causar classificação incorreta, ataques de inversão de modelo que reconstroem dados de treinamento a partir das saídas do modelo e ataques de inferência de associação que determinam se dados específicos apareceram no treinamento. ¹⁷ Ele funciona sem agente, não exigindo acesso a dados de treinamento nem a pesos do modelo, tornando-o compatível com modelos proprietários ou de terceiros.

A análise da cadeia de suprimentos abrange repositórios de modelos antes da implantação, detectando backdoors incorporados em arquivos de modelos serializados. A classe de ataque catalogada pelo MITRE ATLAS é AML.T0010 (ML Supply Chain Compromise). ¹⁸ O módulo de Simulação de Ataque de IA realiza testes de intrusão contínuos em modelos implantados, conforme as versões e os ambientes mudam. ¹⁹

Prós:

• Detecta ataques de evasão, inversão de modelo e inferência de associação em tempo real, sem necessidade de acesso aos dados de treinamento.
• A análise da cadeia de suprimentos antes da implantação identifica vulnerabilidades de serialização e portas traseiras em arquivos de modelo.
• Os mecanismos de proteção de IA garantem a conformidade com as políticas de tempo de execução, incluindo injeção imediata e prevenção de vazamento de dados. ²⁰

Contras:

• Não oferece gerenciamento de postura de segurança SaaS nem governança de identidade não humana.
• Os preços não são divulgados publicamente.

Guarda Lakera

O Lakera Guard fica entre o seu aplicativo GenAI e o LLM, interceptando cada solicitação antes que ela chegue ao modelo e cada resposta antes que ela retorne ao usuário. ²¹ Seu banco de dados de inteligência de ameaças se baseia em mais de 80 milhões de alertas coletados por meio do desafio público de equipe vermelha Gandalf, dando ao mecanismo de detecção exposição a padrões de ataque que as equipes vermelhas internas das empresas raramente encontram. ²²

A plataforma abrange os 10 principais riscos do OWASP LLM e opera com latência inferior a um milissegundo por meio de um design com foco em API, o que é importante para aplicativos voltados para o cliente, onde a latência de detecção impacta diretamente o tempo de resposta do usuário. ²³ Um nível gratuito está disponível em platform.lakera.ai, tornando a integração e os testes iniciais acessíveis sem um processo de vendas.

Contexto da pesquisa de abril de 2026: Google e a Forcepoint confirmaram separadamente que payloads de injeção indireta de prompts estão agora ativamente incorporados em conteúdo da web pública em larga escala, aguardando que agentes de IA os processem. A detecção de injeção ²⁴ do Lakera abrange essa classe de ataque, incluindo payloads obtidos de URLs externas que o agente acessa durante a execução da tarefa.

Prós:

• Versão gratuita disponível para desenvolvimento e testes iniciais sem a necessidade de contratação do fornecedor.
• A detecção indireta de injeção de instruções abrange instruções maliciosas incorporadas em documentos e obtidas na web.
• Equipes vermelhas com IA, gerenciamento de vulnerabilidades baseado em risco e simulações de ataques diretos/indiretos. ²⁵

Contras:

• Não realiza varredura de arquivos de modelos de IA antes da implantação nem detecção de backdoors.
• O foco em tempo de execução significa que não é possível avaliar os riscos de infraestrutura ou de postura de SaaS.

2. Plataformas SOC Agéticas

CrowdStrike Falcon

A Charlotte AI opera como uma camada autônoma de investigação e resposta dentro da plataforma CrowdStrike Falcon, combinando EDR, XDR , SIEM e SOAR em uma interface conversacional de linguagem natural. ²⁶ Quando um alerta é acionado, a Charlotte AI reúne evidências, correlaciona a telemetria entre endpoints e identidades e apresenta um veredicto com justificativa, aguardando em seguida a aprovação do analista antes de executar as ações de contenção.

Essa barreira de aprovação é uma escolha arquitetônica deliberada. O Agentic SOAR da CrowdStrike combina automação programada com raciocínio de IA, com níveis de autonomia configuráveis: execução supervisionada para ações de alto impacto e execução autônoma para contenção de baixo risco. ²⁷ A plataforma utiliza aprendizado por reforço a partir do feedback dos analistas, melhorando a precisão das decisões à medida que acumula conhecimento institucional específico para o ambiente de cada cliente.

A CrowdStrike possui a certificação ISO 42001 de Governança de IA, sendo o único produto nesta comparação com validação independente de terceiros para seus controles de governança de IA. ²⁸ Na RSAC 2026, a empresa anunciou o Shadow AI Discovery, que abrange endpoints, SaaS e ambientes de nuvem, identificando mais de 1.800 aplicativos de IA em execução em dispositivos corporativos em toda a sua base de clientes. ²⁹

Prós:

• A certificação ISO 42001 de Governança de IA fornece validação por terceiros dos controles de gestão de IA. ³⁰
• A busca de ameaças em linguagem natural converte perguntas de analistas em consultas estruturadas em todo o data lake do Falcon.
• Os níveis de autonomia configuráveis permitem que as organizações controlem quais ações exigem aprovação humana. ³¹

Contras:

• A Charlotte AI não funciona como uma barreira de proteção ou firewall para aplicativos GenAI de terceiros; seu foco é a detecção de ameaças à infraestrutura, não a segurança do modelo de IA.
• Os preços começam em US$ 8,99 por dispositivo por mês, valor que aumenta significativamente para grandes frotas de dispositivos. ³²

IA roxa SentinelOne

A Purple AI está integrada ao Singularity XDR em vez de ser vendida como um produto independente, o que significa que os analistas interagem com ela na mesma interface que usam para todas as outras investigações. ³³ Um analista pergunta “Qual é a causa raiz deste alerta?” em linguagem natural; a Purple AI consulta os dados subjacentes, correlaciona a telemetria em endpoints, nuvem e sistemas de identidade e retorna uma resposta com evidências da fonte anexadas.

Este modelo de integração contrasta com as ferramentas de investigação de IA que exigem a exportação de dados para um sistema separado. A Purple AI tem acesso ao conjunto completo de dados do Singularity e utiliza a aprendizagem automática a partir de dados de incidentes anteriores para melhorar a precisão da correlação ao longo do tempo. ³⁴ A plataforma inclui um backend AI-SIEM nativo para ingestão em larga escala, e o Singularity Hyperautomation lida com a automação do fluxo de trabalho em toda a cadeia de resposta. ^{35 36}

Prós:

• A busca de ameaças em linguagem natural traduz perguntas em inglês simples em consultas otimizadas em todo o data lake corporativo.
• A correlação entre domínios abrange endpoints, ativos em nuvem e identidade em um único fluxo de trabalho de investigação.
• O backend nativo de IA-SIEM evita penalidades de preço por ingestão em grande escala. ³⁷

Contras:

• Não inspeciona nem bloqueia solicitações em aplicativos GenAI implantados pelo cliente; o foco é a infraestrutura e a telemetria de endpoints.
• Preços personalizados apenas para empresas; não há tabela de preços pública disponível.

Características comuns em plataformas de segurança de agentes de IA

Apesar de abrangerem diferentes camadas da pilha tecnológica, todas as oito plataformas desta comparação oferecem cinco funcionalidades básicas que as organizações podem esperar de qualquer fornecedor corporativo nesta categoria.

• A descoberta de ativos por IA e ML mapeia modelos implantados, agentes, ferramentas conectadas e fontes de dados, pré-requisito para qualquer programa de segurança. Sem um inventário atualizado, as equipes não conseguem avaliar a exposição ou aplicar políticas.
• A detecção de anomalias comportamentais monitora as cargas de trabalho de IA em busca de desvios em relação às linhas de base estabelecidas. O mecanismo varia (aprendizado de máquina não supervisionado na Darktrace, limiares estatísticos em outros casos), mas o resultado é o mesmo: alertas quando um agente realiza uma ação inesperada, como consultar bancos de dados que não acessou anteriormente, fazer chamadas de API incomuns ou processar volumes de dados fora dos limites normais.
• A integração com plataformas SIEM e SOAR permite que as descobertas alimentem os fluxos de trabalho de segurança existentes por meio de APIs documentadas. As organizações devem verificar se os fornecedores oferecem suporte à integração bidirecional (envio de alertas para o SIEM e recebimento de informações enriquecidas) em vez de encaminhamento de logs somente leitura.
• O registro de auditoria para fins de conformidade captura eventos de segurança, ações de agentes e decisões de acesso em formatos consultáveis. Os requisitos do Artigo 9 da Lei de IA da UE para sistemas de IA de alto risco e os Critérios de Serviços de Confiança SOC 2 exigem essa capacidade até agosto de 2026 para organizações abrangidas. ³⁸
• Os fluxos de trabalho de alerta e notificação exibem as ameaças detectadas por meio de painéis, e-mail, Slack ou integração com sistemas de tickets, para que as equipes de segurança recebam informações acionáveis em vez de registros brutos.

ameaças à segurança de agentes de IA

Agentes de IA introduzem superfícies de ataque que os controles de segurança tradicionais não foram projetados para abordar. Um EDR baseado em assinaturas detecta malware. No entanto, ele não consegue detectar um agente que recebeu instruções legítimas de um documento malicioso que deveria resumir e, em seguida, usou suas próprias credenciais legítimas para exfiltrar dados. As ameaças a seguir demonstram por que ferramentas especializadas são necessárias.

1. Injeção e desbloqueio imediatos

A injeção de instruções (prompt injection) incorpora instruções maliciosas em conteúdo processado por agentes, como páginas da web, e-mails, anexos em PDF e resultados de ferramentas, fazendo com que o agente execute comandos que o operador nunca autorizou. A OWASP classifica a injeção de instruções como a principal vulnerabilidade em seu Top 10 da LLM, presente em mais de 73% das implantações de IA em produção avaliadas durante auditorias de segurança. ³⁹

A ameaça deixou de ser teórica. Em abril de 2026, a Google e a Forcepoint publicaram, independentemente, evidências de payloads de injeção indireta incorporados em larga escala em conteúdo público da web — sites estáticos, blogs e seções de comentários — aguardando que agentes de IA os recuperem e processem. ⁴⁰ dez payloads ativos confirmados, direcionados a agentes de IA com objetivos que incluem fraude financeira, destruição de dados e roubo de chaves de API, foram catalogados no mesmo período de pesquisa. ⁴¹

A Unidade 42 descobriu que 85,2% das tentativas de injeção no mundo real usam técnicas de engenharia social em vez de simples alterações de comando, incluindo métodos de ocultação como caracteres Unicode de largura zero e payloads codificados em base64. ⁴² Uma meta-análise de 78 estudos publicada em janeiro de 2026 descobriu que as taxas de sucesso de ataques adaptativos contra defesas de última geração ultrapassam 85%. ⁴³

Em 2025, o 365 Copilot foi considerado vulnerável ao CVE-2025-32711 (EchoLeak), um exploit de injeção de prompt sem cliques que permite a exfiltração remota de dados por meio de e-mails criados especificamente para esse fim, sem interação do usuário. ⁴⁴ O Protocolo de Contexto do Modelo (MCP) permite uma classe de ataque relacionada: envenenamento de ferramentas, onde instruções maliciosas incorporadas nos metadados da ferramenta instruem os agentes a encaminhar dados confidenciais para endpoints controlados pelo atacante. ⁴⁵

2. Comprometimento de token e roubo de credenciais

Os agentes de IA autenticam-se em serviços externos usando tokens OAuth e chaves de API. Essas credenciais concedem ao agente as mesmas permissões da identidade que representam, e um atacante que as obtém herda essas permissões sem acionar a autenticação multifator (MFA), pois o próprio token é o artefato de autenticação.

A violação de segurança da Salesloft/Drift em agosto de 2025 demonstra o risco em cascata. Os invasores comprometeram a integração de um agente de chat de terceiros e extraíram tokens de atualização OAuth, usando-os em seguida para se passar pelo aplicativo Drift em mais de 700 ambientes de clientes downstream durante dez dias, acessando dados, contas do Workspace e credenciais na nuvem sem acionar alertas de autenticação. ⁴⁶ A detecção falhou porque as consultas OAuth se originaram de uma identidade de aplicativo pré-aprovada, idêntica ao tráfego legítimo nos registros de autenticação padrão. ⁴⁷

Uma pesquisa publicada no início de 2026 pela UC Santa Barbara e pela Fuzzland reforça essa ideia no nível da infraestrutura. Os pesquisadores compraram 28 roteadores de API LLM pagos e coletaram 400 gratuitos; 9 deles estavam injetando ativamente código malicioso nas respostas do modelo. Um honeypot configurado com uma chave vazada OpenAI resultou na queima de 100 milhões de tokens GPT e no sequestro de 401 sessões, 401 das quais já estavam em execução no "modo YOLO" sem nenhuma verificação humana. ⁴⁸ Nenhum provedor de API LLM impõe integridade criptográfica no caminho de resposta, o que significa que um roteador malicioso pode injetar instruções nas respostas do modelo e o agente as executará como chamadas de ferramentas legítimas.

3. Concessão excessiva de permissões e escalonamento de privilégios

Noventa por cento dos agentes corporativos têm permissões em excesso. ⁴⁹ Isso ocorre por razões estruturais: as plataformas SaaS usam por padrão escopos OAuth amplos durante a autorização do agente, os agentes herdam permissões de funcionários que saíram e cujas contas nunca foram limpas, e as permissões se acumulam sem revisão à medida que os agentes são ampliados para lidar com novas tarefas.

A OWASP coloca o excesso de agência entre os três principais riscos de segurança da IA com agentes para 2026, definindo-o como agentes que possuem capacidades além do que as tarefas exigem. ⁵⁰ A consequência do ataque é a escalada semântica de privilégios: um agente instruído a executar uma tarefa legítima adquire autonomamente acesso fora do escopo pretendido por meio de cadeias de decisões autônomas, sem que nenhuma etapa individual acione um alerta de segurança.

A análise da Okta confirma que os agentes de IA devem ser tratados como usuários privilegiados, sujeitos aos mesmos controles de acesso, políticas de rotação e trilhas de auditoria aplicados aos administradores humanos, observando que a maioria das organizações atualmente não possui esses controles para identidades não humanas. Atualmente, ⁵¹ empresas gerenciam uma proporção média de 82:1 entre identidades de máquinas e identidades humanas, com a proliferação de agentes superando a infraestrutura de governança. ⁵²

4. IA paralela e implantações de agentes não autorizados

Quando uma unidade de negócios conecta o Agentforce ao Workspace da empresa sem o envolvimento da TI, o resultado é um agente com acesso a dados de produção do SaaS, sem revisão de segurança, sem registro de acesso e sem como revogar credenciais rapidamente caso o agente se comporte de maneira inesperada. Oitenta e sete por cento das organizações têm o Copilot habilitado, tornando a descoberta de agentes ocultos uma necessidade quase universal, em vez de um caso isolado. ⁵³

As violações de segurança por meio de IA paralela custam, em média, US$ 670.000 a mais do que as violações padrão (US$ 4,63 milhões contra US$ 3,96 milhões), devido à detecção tardia causada por agentes que operam fora de ambientes monitorados. ⁵⁴ Sessenta e três por cento dos funcionários que usam ferramentas de IA colam dados confidenciais da empresa em contas pessoais de chatbots, criando violações de residência de dados que as equipes de conformidade muitas vezes desconhecem até que uma violação as revele. ⁵⁵

A IDC prevê que 60% das falhas de IA em 2026 resultarão de lacunas de governança, e não de problemas de desempenho do modelo – uma perspectiva que transfere a responsabilidade dos fornecedores de IA para as organizações que implantam agentes sem controles adequados. ⁵⁶

5. Ataques à cadeia de suprimentos de IA e adulteração de modelos.

Empresas que obtêm modelos de Hugging Face, usam pacotes PyPI para frameworks de aprendizado de máquina ou conectam agentes a servidores MCP de terceiros herdam quaisquer vulnerabilidades existentes a montante. O MITRE ATLAS cataloga essas técnicas sob o código AML.T0010 (Comprometimento da Cadeia de Suprimentos de Aprendizado de Máquina), documentando backdoors em arquivos de modelos serializados, dados de treinamento contaminados injetados em conjuntos de dados públicos e dependências maliciosas em pacotes de frameworks de aprendizado de máquina.

Em fevereiro de 2026, a campanha ClawHavoc contaminou sistematicamente o mercado de habilidades da OpenClaw, o primeiro registro de agentes de IA atacado em larga escala. Mais de 1.100 habilidades maliciosas foram carregadas, disfarçadas de ferramentas de produtividade e desenvolvimento, e várias delas se tornaram alguns dos pacotes mais baixados da plataforma antes de serem detectadas. A X-Force confirmou mais de 21.000 instâncias expostas. ⁵⁷ Uma auditoria simultânea descobriu que 43% dos servidores MCP disponíveis publicamente contêm vulnerabilidades de execução de comandos e 36,7% estão expostos a ataques de falsificação de solicitações do lado do servidor. ⁵⁸

Ataques de envenenamento de memória injetam instruções maliciosas nos armazenamentos de memória do agente, criando comprometimentos persistentes que se ativam dias ou semanas após a infecção inicial. Pesquisas demonstraram taxas de sucesso de injeção acima de 95% contra agentes de produção por meio de interação somente de consulta. ⁵⁹ Em sistemas multiagentes, um único agente comprometido contaminou 87% das decisões subsequentes em quatro horas. ⁶⁰

Estruturas de conformidade e governança para segurança de agentes de IA

As implementações de agentes de IA empresariais enfrentam requisitos de conformidade sobrepostos, provenientes de normas internacionais, regulamentações específicas do setor e legislação regional, que agora estão passando de orientações voluntárias para mandatos obrigatórios.

1. A norma ISO/IEC 42001 , publicada em dezembro de 2023, especifica os requisitos para Sistemas de Gestão de Inteligência Artificial (AIMS) com 38 controles distintos que abrangem avaliação de riscos, transparência e melhoria contínua. ⁶¹ A certificação é voluntária, mas satisfaz vários requisitos de gestão de qualidade da Lei de Inseminação Artificial da UE. ⁶² Dentre as plataformas desta comparação, a CrowdStrike Charlotte AI possui a certificação ISO 42001, sendo o único produto com essa validação específica por auditoria independente. ⁶³
2. A Estrutura de Gestão de Riscos de IA do NIST (AI RMF 1.0) organiza a governança de IA em funções de GOVERNAR, MAPEAMENTO, MEDIÇÃO e GERENCIAMENTO. ⁶⁴ Em fevereiro de 2026, o Centro de Padrões e Inovação em IA (CAISI) do NIST lançou formalmente a Iniciativa de Padrões de Agentes de IA, o primeiro programa do governo dos EUA dedicado ao desenvolvimento de padrões voluntários especificamente para segurança de IA agente. ⁶⁵ Um Perfil de Interoperabilidade de Agentes de IA com controles específicos para autenticação de identidade do agente, privilégio mínimo e prevenção imediata de injeção está previsto para o 4º trimestre de 2026. ⁶⁶ Em 7 de abril de 2026, o NIST também divulgou uma nota conceitual para um Perfil RMF de IA sobre IA Confiável em Infraestrutura Crítica, sinalizando que a IA ativa em setores regulamentados é uma prioridade. ⁶⁷
3. A aplicação dos requisitos de sistemas de IA de alto risco previstos na Lei de IA da UE começa em 2 de agosto de 2026. ⁶⁸ Organizações que utilizam agentes de IA nas áreas de finanças, RH, saúde ou infraestrutura crítica devem cumprir os requisitos de avaliação de conformidade, sob pena de multas que chegam a 35 milhões de euros ou 7% do faturamento anual global em caso de descumprimento. ⁶⁹ A Lei exige que os sistemas de IA de alto risco mantenham documentação técnica, permitam monitoramento externo, implementem supervisão humana estruturada com pontos de intervenção e incluam mecanismos de revogação que possam interromper rapidamente a operação do agente. Os requisitos de transparência do Artigo ⁷⁰ , incluindo a marcação legível por máquina para conteúdo gerado por IA, também entram em vigor em agosto de 2026. O Gabinete de IA da UE ainda não emitiu orientações detalhadas específicas para sistemas de agentes, criando incerteza quanto à conformidade que as organizações devem resolver por meio de sua própria interpretação dos princípios gerais da Lei. ⁷¹
4. O relatório OWASP Top 10 para Aplicações Agentes 2026 , lançado em dezembro de 2025, fornece a primeira taxonomia de risco de segurança revisada por pares globalmente para sistemas de IA autônomos, desenvolvida com a contribuição de mais de 100 pesquisadores de segurança. ⁷² As dez categorias de risco (ASI01 a ASI10) abrangem sequestro de objetivos de agentes, uso indevido e exploração de ferramentas, abuso de confiança delegada e vulnerabilidades da cadeia de suprimentos de agentes, entre outras. AWS, Microsoft, NVIDIA e GoDaddy já fizeram referência ou implementaram orientações da estrutura em produção. Organizações sujeitas à Lei de IA da UE encontrarão cada vez mais a cobertura do OWASP Agentic Top 10 exigida em avaliações de segurança de fornecedores.
5. O SOC 2 aplica agentes de IA como organizações de subserviços sob os Critérios de Serviços de Confiança, exigindo chaves de API com escopo definido, limites de transação e trilhas de auditoria abrangentes das decisões do agente. O artigo 22.º, n.º ⁷³ do RGPD, garante aos indivíduos direitos relativamente a decisões exclusivamente automatizadas com efeitos jurídicos, exigindo uma intervenção humana significativa e mecanismos de contestação para os agentes que tomam decisões consequenciais. ⁷⁴

Perguntas frequentes

Links de referência

1.

Prisma AIRS - Palo Alto Networks

2.

Prisma AIRS - Palo Alto Networks

3.

Securing the Agentic Endpoint

Palo Alto Networks

4.

Prisma AIRS - Palo Alto Networks

5.

AI Security Posture Management (AI-SPM) | Wiz

6.

AI Security Posture Management (AI-SPM) | Wiz

7.

AI Security Posture Management (AI-SPM) | Wiz

8.

AI Security Posture Management (AI-SPM) | Wiz

9.

Obsidian | End-to-End AI and SaaS Security for Enterprises

10.

Obsidian | End-to-End AI and SaaS Security for Enterprises

11.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

12.

What's new in Microsoft Defender for Cloud features - Microsoft Defender for Cloud | Microsoft Learn

13.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

14.

https://www.microsoft.com/en-us/security/blog/2026/03/09/secure-agentic-ai-for-your-frontier-transformation/

15.

Overview - AI threat protection - Microsoft Defender for Cloud | Microsoft Learn

16.

Discover AI models - Microsoft Defender for Cloud | Microsoft Learn

17.

Platform | HiddenLayer

18.

AI Supply Chain Security | HiddenLayer

19.

https://www.hiddenlayer.com/platform/ai-attack-simulation

20.

AI Runtime Security | HiddenLayer

21.

Lakera: The AI-Native Security Platform to Accelerate GenAI

22.

Lakera: The AI-Native Security Platform to Accelerate GenAI

23.

Lakera: The AI-Native Security Platform to Accelerate GenAI

24.

Indirect prompt injection is taking hold in the wild - Help Net Security

25.

Lakera: The AI-Native Security Platform to Accelerate GenAI

26.

Charlotte AI: Agentic Analyst for Cybersecurity

CrowdStrike

27.

Charlotte Agentic SOAR | CrowdStrike

CrowdStrike

28.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

29.

https://nand-research.com/rsac-2026-agentic-ai-security-takes-center-stage-at-industrys-marquee-event/

30.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

31.

Charlotte Agentic SOAR | CrowdStrike

CrowdStrike

32.

Charlotte AI: Agentic Analyst for Cybersecurity

CrowdStrike

33.

Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne

SentinelOne

34.

Purple AI | AI Security Analyst for Autonomous SecOps | SentinelOne

SentinelOne

35.

Singularity™ AI SIEM for the Autonomous SOC

SentinelOne

36.

Singularity™ Hyperautomation | SentinelOne

SentinelOne

37.

Singularity™ AI SIEM for the Autonomous SOC

SentinelOne

38.

Frequently Asked Questions | AI Act Service Desk

39.

LLM01:2025 Prompt Injection - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

40.

Indirect prompt injection is taking hold in the wild - Help Net Security

41.

https://www.infosecurity-magazine.com/news/researchers-10-wild-indirect/

42.

https://unit42.paloaltonetworks.com/ai-agent-prompt-injection/

43.

https://arxiv.org/abs/2601.17548

44.

https://www.obsidiansecurity.com/blog/prompt-injection

45.

https://www.elastic.co/security-labs/mcp-tools-attack-defense-recommendations

46.

https://cloudsecurityalliance.org/blog/2025/09/25/the-salesloft-drift-oauth-supply-chain-attack-cross-industry-lessons-in-third-party-access-visibility

47.

https://www.finra.org/rules-guidance/guidance/salesloft-drift-AI-supply-chain-attack

48.

Reddit - The heart of the internet

49.

Obsidian | End-to-End AI and SaaS Security for Enterprises

50.

OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

51.

https://www.okta.com/newsroom/articles/why-ai-agents-must-be-treated-as-privileged-users/

52.

https://www.security.com/product-insights/agentic-ai-tsunami

53.

AI Agent Security Vulnerabilities 2026: 88% of Enterprises Already Breached | AI Automation Global

AI Automation Global

54.

https://www.vanta.com/resources/ai-security-posture-management

55.

https://www.humansecurity.com/learn/resources/2026-state-of-ai-traffic-cyberthreat-benchmarks/

56.

Managed AI against the proliferation of AI agents 🤖🌿 Why your unsupervised AI agents will soon become a legal risk ⚠️⚖️

Xpert.Digital - Konrad Wolfenstein

57.

https://www.ibm.com/think/x-force/agentic-ai-growing-fast-vulnerabilities

58.

Agentic AI Security: Shadow Agents, MCP Exploits, and the New Attack Surface | 1337skills

59.

https://unit42.paloaltonetworks.com/indirect-prompt-injection-poisons-ai-longterm-memory/

60.

https://www.lakera.ai/blog/agentic-ai-threats-p1

61.

https://www.iso.org/standard/42001

62.

https://elevateconsult.com/insights/eu-ai-code-of-practice-iso-42001/

63.

CrowdStrike Achieves ISO 42001 Certification for Responsible AI-Powered Cybersecurity

CrowdStrike

64.

https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf

65.

https://www.nist.gov/caisi/ai-agent-standards-initiative

66.

https://labs.cloudsecurityalliance.org/agentic/agentic-nist-ai-rmf-profile-v1/

67.

AI Risk Management Framework | NIST

68.

Frequently Asked Questions | AI Act Service Desk

69.

https://artificialintelligenceact.eu/article/5/

70.

https://www.artificialintelligence-news.com/news/agentic-ais-governance-challenges-under-the-eu-ai-act-in-2026/

71.

https://www.devdiscourse.com/article/law-order/3864660-europes-ai-act-expands-reach-to-autonomous-agents

72.

OWASP Top 10 for Agentic Applications for 2026 - OWASP Gen AI Security Project

OWASP Top 10 for LLM & Generative AI Security

73.

https://goteleport.com/blog/ai-agents-soc-2/

74.

https://gdpr-info.eu/art-22-gdpr/

Sena Sezer

Analista do setor

Siga-nos

Sena é analista do setor na AIMultiple. Ela concluiu sua graduação na Universidade Bogazici.

Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios.

Nome

Endereço de email

Comentário

0/450

Postar comentário