Este artigo integra uma série que examina como os principais enquadramentos de governação do setor abordam a identidade, a confiança e o controlo nos sistemas AIgénicos. A tese central, estabelecida em Governar Atores AIgénicos: Identidade, Confiança e Controlo, é que o problema de governação nos sistemas AIgénicos não se resolve verificando os Atores com mais rigor; dissolve-se construindo ambientes onde o âmbito do que um Ator pode fazer é limitado antes de qualquer verificação ocorrer. Cada artigo desta série avalia um enquadramento face a essa tese: o que contribui, onde a sua postura de verificação atinge um limite estrutural, e o que um líder de segurança deve acrescentar para o fechar.
A Cloud Security Alliance publicou o Agentic Trust Framework em fevereiro de 2026. O ATF é a especificação externa mais completa em termos operacionais para a governação AIgénica atualmente disponível. Aplica os princípios do Zero Trust a agentes de IA em cinco domínios e introduz um modelo de maturidade que vincula a autonomia dos agentes à preparação de governação demonstrada.1 São contribuições genuínas para um campo onde a maioria dos enquadramentos publicados é taxonomicamente ou aspiracionalmente orientada. Este artigo avalia o ATF com precisão: o que estabelece, onde a sua postura de verificação atinge um limite estrutural, e o que um líder de segurança deve acrescentar para o tornar operacional.
O Agentic Trust Framework organiza a governação em cinco elementos.
Identidade aborda quem é o agente: aprovisionamento, autenticação e atribuição de identificadores únicos. Comportamento aborda o que o agente faz: deteção de anomalias, análise de intenção e monitorização de desvios. Governação de Dados aborda que dados o agente acede, processa e retém. Segmentação aborda como os agentes são isolados uns dos outros e da infraestrutura de acesso humano. Resposta a Incidentes aborda como a organização deteta, contém e aprende com eventos de segurança relacionados com agentes.
O ATF define também um modelo de maturidade de quatro níveis: Intern, Junior, Senior e Principal. A autonomia é conquistada, não concedida por defeito.1 Um agente de nível Intern opera sob supervisão próxima com um espaço de ação estritamente delimitado. Um agente de nível Principal opera com autoridade delegada proporcional à maturidade de governação demonstrada. O modelo é um mecanismo de progressão de governação. Vincula a capacidade do agente à capacidade da organização em governá-lo.
O que estabelece o Agentic Trust Framework?
O ATF é o Zero Trust aplicado a agentes de IA. O princípio central do Zero Trust, nunca confiar, sempre verificar, estende-se por cinco elementos de governação com uma dimensão de maturidade acrescentada. Essa formulação é precisa e operacionalmente útil.
O ATF faz dois contributos de que o campo necessitava. O modelo de maturidade fornece um mecanismo de progressão: a autonomia é conquistada, não concedida por defeito.1 Uma equipa de segurança pode posicionar uma determinada população de agentes no espectro de Intern a Principal. A governação decorre então desse posicionamento. O elemento de Segmentação reconhece o isolamento de rede como um domínio de governação, não meramente uma preocupação de infraestrutura. Ambos os contributos são operacionalmente significativos. Nenhum deles aparece na maioria dos outros enquadramentos publicados.
O ATF não especifica duas coisas. Não prescreve o mecanismo pelo qual a delegação criptográfica é codificada e verificada entre agentes. Não prescreve um substrato de aplicação que torne o elemento de Segmentação obrigatório em vez de configurável. Essas são decisões de implementação que o enquadramento deixa ao profissional. Identificá-las é o ponto de partida para tornar o ATF operacional.
Onde é que a postura de verificação atinge o seu limite estrutural?
O mecanismo de confiança do ATF no elemento de Comportamento é a verificação comportamental: deteção de anomalias e análise de intenção aplicadas às ações dos agentes.1 É uma postura de monitorização. Deteta desvios após o agente já ter agido.
Para atores não determinísticos, isto cria um problema estrutural específico. O estado comportamental de um Ator AIgénico é uma função da sua janela de contexto atual. Essa janela inclui o prompt do sistema, o histórico de conversação, os resultados de ferramentas ingeridos e qualquer conteúdo semântico injetado durante a tarefa. O Ator aprovisionado corretamente no arranque tem a mesma credencial três chamadas de ferramenta depois. O seu estado operacional pode ser fundamentalmente diferente.
Um Ator com injeção de prompt apresenta uma credencial válida enquanto executa instruções do atacante. A credencial é autêntica. O comportamento não é. A deteção comportamental probabilística aplicada a um ator não determinístico produz um intervalo de confiança, não uma garantia. Intervalos de confiança não são um registo de auditoria.
Isto não é uma crítica à implementação do ATF. É uma propriedade estrutural do próprio paradigma de verificação. O Zero Trust torna a verificação mais rigorosa e contínua. Porém, uma verificação mais rigorosa não resolve o problema subjacente quando a entidade verificada pode ser semanticamente alterada durante a execução.
A alternativa arquitetónica aborda isto na camada de topologia. Um Ator AIgénico dentro de uma sub-rede com saída de tráfego negada por defeito atravessa apenas o proxy semântico.2 Não consegue alcançar a infraestrutura de acesso humano independentemente do seu estado de credencial ou de comprometimento na camada do modelo. O proxy está fora de banda. É invisível para o Ator primário e inacessível por manipulação na camada do modelo. Um Ator com injeção de prompt não consegue desativar o proxy porque não consegue perceber a existência do proxy. O controlo de segurança opera fora da superfície de ataque da entidade sendo atacada.
Esta é a distinção precisa entre o Zero Trust e um padrão de design arquitetónico com a topologia em primeiro lugar. O Zero Trust torna a questão de verificação mais rigorosa. Um padrão de design arquitetónico com a topologia em primeiro lugar torna a questão de verificação estruturalmente irrelevante para o resultado de segurança. Dentro de um ambiente delimitado, a confiabilidade do Ator não determina o que pode alcançar. A topologia determina isso. A verificação determina a atribuição. O Padrão de Proxy Semântico apresenta este padrão de design arquitetónico na íntegra.
O elemento de Segmentação do ATF reconhece o isolamento de rede como um domínio de governação. Porém, não especifica um substrato de aplicação que torne o isolamento obrigatório em vez de configurável. Esse é o limite onde a contribuição do ATF termina e a orientação de implementação deve começar.
O que necessita um líder de segurança de acrescentar para tornar o ATF operacional?
O ATF fornece um enquadramento. Torná-lo operacional requer quatro adições que a especificação não prescreve. A escala do problema que o ATF aborda é mensurável: apenas 23% das organizações têm uma estratégia formal a nível empresarial para a gestão de identidade de agentes, e apenas 18% expressam elevada confiança de que o seu IAM atual consegue lidar com identidades de agentes.3
A primeira adição é um substrato de aplicação topológico. A saída de tráfego negada por defeito com passagem obrigatória pelo proxy torna o elemento de Segmentação do ATF rígido em vez de configurável. Um Ator AIgénico não consegue contornar uma sub-rede que não consegue perceber. Esta é uma decisão de infraestrutura tomada no momento da implementação. As organizações que a ignorarem na implementação não a vão incorporar de forma limpa num ambiente agénico em produção.
A segunda adição é a delegação criptográfica por Ator entre agentes. O elemento de Identidade do ATF aborda a autenticação de agentes. Não especifica como as cadeias de delegação são codificadas e verificadas entre principais. O rascunho IETF OAuth On-Behalf-Of introduz a reivindicação act e o parâmetro requested_actor para transportar a semântica de delegação no próprio token.4 Esse mecanismo preenche uma lacuna que o ATF deixa ao implementador.
A terceira adição é o Ciclo de Vida de Identidade do Ator aplicado como disciplina operacional. O modelo de maturidade do ATF define o aspeto de um nível de agente. O Ciclo de Vida de Identidade do Ator define os atos de governação que movem um agente através desses níveis. Esses atos são: aprovisionamento, definição de âmbito, delegação, auditoria e revogação. Sem o ciclo de vida, o modelo de maturidade é uma classificação. Com o ciclo de vida, é uma lista de verificação operacional.
A quarta adição é a governação explícita de Agentlets. O modelo de maturidade do ATF governa os agentes como principais discretos. Não aborda os Agentlets como uma classe governada. Num ambiente multi-agente em produção, um orquestrador de maturidade Principal pode gerar dezenas de Agentlets. Nenhum deles terá sido avaliado relativamente a qualquer nível de maturidade do ATF. Governar a população de Atores AIgénicos requer governação ao nível da classe de Ator, não ao nível da instância.
O ATF identifica estas como decisões de implementação. Essa formulação está correta. Um enquadramento não pode prescrever cada escolha arquitetónica. Para um líder de segurança, a questão é onde o enquadramento termina e a implementação começa. Esse limite é a diferença entre um programa de governação e um rótulo de governação.
O Agentic Trust Framework exige certificação ou acreditação?
Ainda não. O ATF é uma especificação de governação aberta sem programa de certificação atualmente operacional. A MassiveScale.AI, criadora do enquadramento, anunciou uma avaliação ATF Verified e um programa de auditoria de terceiros ATF Certified, ambos atualmente em lista de espera.5 As organizações podem adotar os princípios do ATF agora e implementá-los no seu próprio ambiente e ferramentas. A infraestrutura de certificação está em desenvolvimento e ainda não é avaliável.
Como se relaciona o ATF com a Iniciativa de Normas para Agentes de IA do NIST?
O NIST lançou a Iniciativa de Normas para Agentes de IA em fevereiro de 2026.6 O seu documento de conceito associado identifica quatro áreas técnicas de foco: identificação, autorização, delegação de acesso e registo de auditoria. O ATF e o NIST não são enquadramentos concorrentes. Operam em escalas temporais diferentes. O ATF é uma especificação publicada sobre a qual uma equipa de segurança pode agir agora. A iniciativa do NIST está a desenvolver infraestrutura de normas que levará vários anos a atingir orientações normativas. A abordagem prática: tratar o ATF como o enquadramento acionável para o ano fiscal atual. Tratar os resultados do NIST como a direção que o panorama de normas tomará ao longo de três a cinco anos.
O modelo de maturidade do ATF consegue governar Agentlets, tal como agentes a nível de orquestrador?
Não diretamente. O modelo de maturidade do ATF avalia os agentes como principais discretos: Intern (só observar), Junior (recomendar com aprovação), Senior (agir com notificação) e Principal (autónomo no domínio). Os Agentlets são sub-agentes gerados que podem existir durante segundos e completar uma única tarefa. O modelo de maturidade do ATF não define os Agentlets como uma classe governada. Esta é uma lacuna para as equipas de segurança que implementam orquestração multi-agente. Os Agentlets são a classe mais numerosa de Atores AIgénicos num ambiente agénico em produção. São também a classe com menor probabilidade de ter sido avaliada relativamente a qualquer nível de maturidade. Governá-los requer aplicar os princípios do ATF ao nível da definição de classe. A definição de classe especifica que tipo de Agentlet pode existir, com que âmbito e durante quanto tempo. O Ciclo de Vida de Identidade do Ator estende o modelo de maturidade do ATF para cobrir dessa forma a população total de Atores.
Footnotes
-
Cloud Security Alliance. “The Agentic Trust Framework: Zero Trust Governance for AI Agents.” February 2026. https://cloudsecurityalliance.org/blog/2026/02/02/the-agentic-trust-framework-zero-trust-governance-for-ai-agents ↩ ↩2 ↩3 ↩4
-
Attribit-ID. “The Semantic Proxy Pattern.” https://attribit-id.com/writing/semantic-proxy-pattern ↩
-
Strata Identity, “Securing Autonomous AI Agents,” Cloud Security Alliance, 2025. Inquérito a 285 profissionais de TI e segurança, realizado de setembro a outubro de 2025. Summary at https://www.strata.io/blog/agentic-identity/the-ai-agent-identity-crisis-new-research-reveals-a-governance-gap/ ↩
-
IETF. “OAuth 2.0 Extension: On-Behalf-Of User Authorization for AI Agents.” Rascunho Internet individual, versão 01; sem grupo de trabalho IETF formal nem estatuto de via normativa. https://www.ietf.org/archive/id/draft-oauth-ai-agents-on-behalf-of-user-01.html ↩
-
MassiveScale.AI. “ATF Verified.” https://verifiedagents.ai ↩
-
NIST. “Announcing the AI Agent Standards Initiative for Interoperable and Secure AI Agents.” February 2026. https://www.nist.gov/news-events/news/2026/02/announcing-ai-agent-standards-initiative-interoperable-and-secure ↩